From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Tue, 7 Jan 2003 14:06:03 +0300 From: "Dmitry V. Levin" To: ALT Devel discussion list Subject: Re: [devel] Q: systemwide directories for SSL certificates Message-ID: <20030107110603.GA23353@basalt.office.altlinux.ru> Mail-Followup-To: ALT Devel discussion list References: <20030107011043.5e1af8e1.dima@sakhalin.ru> <20030107154341.51db757a.dima@sakhalin.ru> Mime-Version: 1.0 Content-Type: multipart/signed; micalg=pgp-sha1; protocol="application/pgp-signature"; boundary="HcAYCG3uE/tztfnV" Content-Disposition: inline In-Reply-To: <20030107154341.51db757a.dima@sakhalin.ru> X-fingerprint: 9658 398D 181B 1200 8FC5 26B8 F6F8 846B C1E2 3429 Sender: devel-admin@altlinux.ru Errors-To: devel-admin@altlinux.ru X-BeenThere: devel@altlinux.ru X-Mailman-Version: 2.0.9 Precedence: bulk Reply-To: devel@altlinux.ru List-Unsubscribe: , List-Id: List-Post: List-Help: List-Subscribe: , List-Archive: Archived-At: List-Archive: List-Post: --HcAYCG3uE/tztfnV Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit On Tue, Jan 07, 2003 at 03:43:41PM +1000, Dmitry Lebkov wrote: > Может я непонятно объяснил, но имелось ввиду следующее: > собираю пакет courier-imap. Демоны из пакета умеют SSL/TLS. > По-умолчанию, поиск ssl-сертификатов для сервисов pop3/imap4 > производится в каталоге /etc/courier-imap/ssl. Создание > сертификатов (самоподписанных) возможно на стадии %post. Т.е. > это вроде бы попадает под определение "предоставляется установкой > дистрибутива"? Нет. Администратор вправе заменить эти сертификаты по своему желанию. > Т.к. эти файлы _не меняются_ в процессе работы (меняет их только > администратор, в случае устаревания) - им не место в /var. И т.к. Мы это все уже обсуждали. Вы настаиваете на помещении их в /etc? > это достаточно критичная составляющая сервиса (очень плохо, если > кто-то сможет стащить незащищенные сертификаты сервера, а они не > закрыты паролем для того, чтоб сервис стартовал автоматом, при > старте системы) - доступ в католг, содержащий сертификаты должен > быть ограничен по-максимуму. > > Остается либо /etc/package_name/ssl (достаточно сложно смонтировать > в r/o), либо /usr/lib/ssl (а этого делать не следует, судя по > сентябрьскому обсуждению). Можно, конечно и в/usr/share/package_name/ssl > засунуть, но это как-то неправильно. Обратите внимание на %attr(700,root,root) /var/lib/ssl/private > По поводу /var/lib/ssl/certs - терзают меня смутные сомнения :) > Я думаю, что этот каталог имеет смысл пользовать для _создания_ > сертификатов, предназначенных для других сервисов/хостов на, локальной > машине. Но как место хранения сертификатов локальных сервисов он не > подходит. По моему, уже имеющейся инфраструктуры в /var/lib/ssl/ достаточно, не так ли? -- ldv --HcAYCG3uE/tztfnV Content-Type: application/pgp-signature Content-Disposition: inline -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.1 (GNU/Linux) iD8DBQE+GrSa9viEa8HiNCkRAuZRAJ98dlwL1LDWz+igjKO+x2InVi+yMQCeIOnK K1wVVo7EjOtR3gOMLkpPBNA= =Qp7U -----END PGP SIGNATURE----- --HcAYCG3uE/tztfnV--