* [devel] [Q]Общесистемный каталог для SSL-сертификатов. @ 2003-01-06 15:10 Dmitry Lebkov 2003-01-06 19:00 ` Ivan Zakharyaschev 0 siblings, 1 reply; 7+ messages in thread From: Dmitry Lebkov @ 2003-01-06 15:10 UTC (permalink / raw) To: devel Доброго времени суток, Есть ли в нас в системе какой-нить общий каталог, куда следует складывать SSL-сертификаты сервисов, запускаемых на отдельно взятой машине? Сейчас имеем ситуацию, когда сервис, поддерживающий SSL/TLS, хранит сертификаты там где понравилось автору/пакаджеру пакета, что есть не очень хорошо. Может быть имеет смысл сделать что-то типа /usr/share/ssl-cert и внутри создавать структуру каталогов (?) для каждого сервиса, умеющего SSL/TLS (с соответствующм разграничением доступа)? Из плюсов: - монтировать /usr в read-only значительно проще чем /etc или /var; - упрощается контроль целостности сертификатов в случае размещения их всех в одном, оговоренном, месте; Из минусов: - патчить все существующие сервисы на предмет размещения сертификатов; - поддерживать внесенные измененияж Какие будут предложения? -- WBR, Dmitry Lebkov ^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [devel] [Q]Общесистемный каталог для SSL-сертификатов. 2003-01-06 15:10 [devel] [Q]Общесистемный каталог для SSL-сертификатов Dmitry Lebkov @ 2003-01-06 19:00 ` Ivan Zakharyaschev 2003-01-07 5:43 ` [devel] [Q]Общесистемныйкаталог " Dmitry Lebkov 0 siblings, 1 reply; 7+ messages in thread From: Ivan Zakharyaschev @ 2003-01-06 19:00 UTC (permalink / raw) To: devel Hello, Dmitry! On Tue, 7 Jan 2003, Dmitry Lebkov wrote: > Есть ли в нас в системе какой-нить общий каталог, куда следует > складывать SSL-сертификаты сервисов, запускаемых на отдельно > взятой машине? Насколько я помню, было принято решение, что это /var/lib/ssl/certs/. (Нашёл: http://www.altlinux.ru/pipermail/devel/2002-September/006355.html) > Сейчас имеем ситуацию, когда сервис, поддерживающий SSL/TLS, > хранит сертификаты там где понравилось автору/пакаджеру пакета, > что есть не очень хорошо. > > Может быть имеет смысл сделать что-то типа /usr/share/ssl-cert > и внутри создавать структуру каталогов (?) для каждого сервиса, > умеющего SSL/TLS (с соответствующм разграничением доступа)? > > Из плюсов: > - монтировать /usr в read-only значительно проще чем /etc или /var; > - упрощается контроль целостности сертификатов в случае размещения > их всех в одном, оговоренном, месте; > > Из минусов: > - патчить все существующие сервисы на предмет размещения > сертификатов; > - поддерживать внесенные измененияж - это не соответствует правилу о том, что то, что лежит в /usr/ (без local/), предоставляется утсановкой дистрибутива. Местная конфигурация попадает в /etc/, /usr/local/; данные, меняющиеся при работе -- в /var/. -- С наилучшими пожеланиями, Иван Захарьящев, Москва ^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [devel] [Q]Общесистемныйкаталог для SSL-сертификатов. 2003-01-06 19:00 ` Ivan Zakharyaschev @ 2003-01-07 5:43 ` Dmitry Lebkov 2003-01-07 11:06 ` [devel] Q: systemwide directories for SSL certificates Dmitry V. Levin 0 siblings, 1 reply; 7+ messages in thread From: Dmitry Lebkov @ 2003-01-07 5:43 UTC (permalink / raw) To: devel On Mon, 6 Jan 2003 22:00:21 +0300 (MSK) Ivan Zakharyaschev <imz@altlinux.ru> wrote: > Hello, Dmitry! > > On Tue, 7 Jan 2003, Dmitry Lebkov wrote: > > > Есть ли в нас в системе какой-нить общий каталог, куда следует > > складывать SSL-сертификаты сервисов, запускаемых на отдельно > > взятой машине? > > Насколько я помню, было принято решение, что это /var/lib/ssl/certs/. > > (Нашёл: > http://www.altlinux.ru/pipermail/devel/2002-September/006355.html) Спасибо за линк. К сожалению, я упустил это обсуждение ... :( > > > Сейчас имеем ситуацию, когда сервис, поддерживающий SSL/TLS, > > хранит сертификаты там где понравилось автору/пакаджеру пакета, > > что есть не очень хорошо. > > > > Может быть имеет смысл сделать что-то типа /usr/share/ssl-cert > > и внутри создавать структуру каталогов (?) для каждого сервиса, > > умеющего SSL/TLS (с соответствующм разграничением доступа)? > > > > Из плюсов: > > - монтировать /usr в read-only значительно проще чем /etc или /var; > > - упрощается контроль целостности сертификатов в случае размещения > > их всех в одном, оговоренном, месте; > > > > Из минусов: > > - патчить все существующие сервисы на предмет размещения > > сертификатов; > > - поддерживать внесенные измененияж > > - это не соответствует правилу о том, что то, что лежит в /usr/ (без > local/), предоставляется утсановкой дистрибутива. Местная конфигурация > попадает в /etc/, /usr/local/; данные, меняющиеся при работе -- в > /var/. Может я непонятно объяснил, но имелось ввиду следующее: собираю пакет courier-imap. Демоны из пакета умеют SSL/TLS. По-умолчанию, поиск ssl-сертификатов для сервисов pop3/imap4 производится в каталоге /etc/courier-imap/ssl. Создание сертификатов (самоподписанных) возможно на стадии %post. Т.е. это вроде бы попадает под определение "предоставляется установкой дистрибутива"? Т.к. эти файлы _не меняются_ в процессе работы (меняет их только администратор, в случае устаревания) - им не место в /var. И т.к. это достаточно критичная составляющая сервиса (очень плохо, если кто-то сможет стащить незащищенные сертификаты сервера, а они не закрыты паролем для того, чтоб сервис стартовал автоматом, при старте системы) - доступ в католг, содержащий сертификаты должен быть ограничен по-максимуму. Остается либо /etc/package_name/ssl (достаточно сложно смонтировать в r/o), либо /usr/lib/ssl (а этого делать не следует, судя по сентябрьскому обсуждению). Можно, конечно и в/usr/share/package_name/ssl засунуть, но это как-то неправильно. По поводу /var/lib/ssl/certs - терзают меня смутные сомнения :) Я думаю, что этот каталог имеет смысл пользовать для _создания_ сертификатов, предназначенных для других сервисов/хостов на, локальной машине. Но как место хранения сертификатов локальных сервисов он не подходит. "Истертый" вопрос - что делать? %) -- WBR, Dmitry Lebkov ^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [devel] Q: systemwide directories for SSL certificates 2003-01-07 5:43 ` [devel] [Q]Общесистемныйкаталог " Dmitry Lebkov @ 2003-01-07 11:06 ` Dmitry V. Levin 2003-01-07 13:43 ` Dmitry Lebkov 0 siblings, 1 reply; 7+ messages in thread From: Dmitry V. Levin @ 2003-01-07 11:06 UTC (permalink / raw) To: ALT Devel discussion list [-- Attachment #1: Type: text/plain, Size: 1715 bytes --] On Tue, Jan 07, 2003 at 03:43:41PM +1000, Dmitry Lebkov wrote: > Может я непонятно объяснил, но имелось ввиду следующее: > собираю пакет courier-imap. Демоны из пакета умеют SSL/TLS. > По-умолчанию, поиск ssl-сертификатов для сервисов pop3/imap4 > производится в каталоге /etc/courier-imap/ssl. Создание > сертификатов (самоподписанных) возможно на стадии %post. Т.е. > это вроде бы попадает под определение "предоставляется установкой > дистрибутива"? Нет. Администратор вправе заменить эти сертификаты по своему желанию. > Т.к. эти файлы _не меняются_ в процессе работы (меняет их только > администратор, в случае устаревания) - им не место в /var. И т.к. Мы это все уже обсуждали. Вы настаиваете на помещении их в /etc? > это достаточно критичная составляющая сервиса (очень плохо, если > кто-то сможет стащить незащищенные сертификаты сервера, а они не > закрыты паролем для того, чтоб сервис стартовал автоматом, при > старте системы) - доступ в католг, содержащий сертификаты должен > быть ограничен по-максимуму. > > Остается либо /etc/package_name/ssl (достаточно сложно смонтировать > в r/o), либо /usr/lib/ssl (а этого делать не следует, судя по > сентябрьскому обсуждению). Можно, конечно и в/usr/share/package_name/ssl > засунуть, но это как-то неправильно. Обратите внимание на %attr(700,root,root) /var/lib/ssl/private > По поводу /var/lib/ssl/certs - терзают меня смутные сомнения :) > Я думаю, что этот каталог имеет смысл пользовать для _создания_ > сертификатов, предназначенных для других сервисов/хостов на, локальной > машине. Но как место хранения сертификатов локальных сервисов он не > подходит. По моему, уже имеющейся инфраструктуры в /var/lib/ssl/ достаточно, не так ли? -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [devel] Q: systemwide directories for SSL certificates 2003-01-07 11:06 ` [devel] Q: systemwide directories for SSL certificates Dmitry V. Levin @ 2003-01-07 13:43 ` Dmitry Lebkov 2003-01-07 14:21 ` Dmitry V. Levin 0 siblings, 1 reply; 7+ messages in thread From: Dmitry Lebkov @ 2003-01-07 13:43 UTC (permalink / raw) To: devel On Tue, 7 Jan 2003 14:06:03 +0300 "Dmitry V. Levin" <ldv@altlinux.org> wrote: > On Tue, Jan 07, 2003 at 03:43:41PM +1000, Dmitry Lebkov wrote: > > Может я непонятно объяснил, но имелось ввиду следующее: > > собираю пакет courier-imap. Демоны из пакета умеют SSL/TLS. > > По-умолчанию, поиск ssl-сертификатов для сервисов pop3/imap4 > > производится в каталоге /etc/courier-imap/ssl. Создание > > сертификатов (самоподписанных) возможно на стадии %post. Т.е. > > это вроде бы попадает под определение "предоставляется установкой > > дистрибутива"? > > Нет. > Администратор вправе заменить эти сертификаты по своему желанию. > > > Т.к. эти файлы _не меняются_ в процессе работы (меняет их только > > администратор, в случае устаревания) - им не место в /var. И т.к. > > Мы это все уже обсуждали. Вы настаиваете на помещении их в /etc? Нет, я просто спрашивал как сделать лучше и правильнее. Меня смутило следующее: $ rpm -qf /etc/httpd/conf/ssl/server.crt mod_ssl-2.8.12-alt1 $ rpm -qf /var/lib/ssl/certs/stunnel.pem stunnel-3.22-alt2 Вот и начал метаться, куда бы положить этои @#$% сертификаты. %) > > это достаточно критичная составляющая сервиса (очень плохо, если > > кто-то сможет стащить незащищенные сертификаты сервера, а они не > > закрыты паролем для того, чтоб сервис стартовал автоматом, при > > старте системы) - доступ в католг, содержащий сертификаты должен > > быть ограничен по-максимуму. > > > > Остается либо /etc/package_name/ssl (достаточно сложно смонтировать > > в r/o), либо /usr/lib/ssl (а этого делать не следует, судя по > > сентябрьскому обсуждению). Можно, конечно и > > в/usr/share/package_name/ssl засунуть, но это как-то неправильно. > > Обратите внимание на %attr(700,root,root) /var/lib/ssl/private Это понятно. В пакете так и буду делать, раз таковы требования дистрибутива. В размещении в /var cмущает только одно - невозможность монтирования в R/O. > > > По поводу /var/lib/ssl/certs - терзают меня смутные сомнения :) > > Я думаю, что этот каталог имеет смысл пользовать для _создания_ > > сертификатов, предназначенных для других сервисов/хостов на, > > локальной машине. Но как место хранения сертификатов локальных > > сервисов он не подходит. > > По моему, уже имеющейся инфраструктуры в /var/lib/ssl/ достаточно, не > так ли? Наверняка. Но моя паранойя не позволяет мне использовать /var для хранения сертификатов :) (но это уже к делу не относится). Спасибо всем, ответившим. Пойду "дотачивать" пакет. -- WBR, Dmitry Lebkov ^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [devel] Q: systemwide directories for SSL certificates 2003-01-07 13:43 ` Dmitry Lebkov @ 2003-01-07 14:21 ` Dmitry V. Levin 2003-01-08 9:32 ` [devel] " Michael Shigorin 0 siblings, 1 reply; 7+ messages in thread From: Dmitry V. Levin @ 2003-01-07 14:21 UTC (permalink / raw) To: ALT Devel discussion list [-- Attachment #1: Type: text/plain, Size: 2010 bytes --] On Tue, Jan 07, 2003 at 11:43:02PM +1000, Dmitry Lebkov wrote: > > > Может я непонятно объяснил, но имелось ввиду следующее: > > > собираю пакет courier-imap. Демоны из пакета умеют SSL/TLS. > > > По-умолчанию, поиск ssl-сертификатов для сервисов pop3/imap4 > > > производится в каталоге /etc/courier-imap/ssl. Создание > > > сертификатов (самоподписанных) возможно на стадии %post. Т.е. > > > это вроде бы попадает под определение "предоставляется установкой > > > дистрибутива"? > > > > Нет. > > Администратор вправе заменить эти сертификаты по своему желанию. > > > > > Т.к. эти файлы _не меняются_ в процессе работы (меняет их только > > > администратор, в случае устаревания) - им не место в /var. И т.к. > > > > Мы это все уже обсуждали. Вы настаиваете на помещении их в /etc? > > Нет, я просто спрашивал как сделать лучше и правильнее. Меня смутило > следующее: > > $ rpm -qf /etc/httpd/conf/ssl/server.crt > mod_ssl-2.8.12-alt1 > > $ rpm -qf /var/lib/ssl/certs/stunnel.pem > stunnel-3.22-alt2 > > Вот и начал метаться, куда бы положить этои @#$% сертификаты. %) "Кто - в лес, кто - по дрова"? > > > это достаточно критичная составляющая сервиса (очень плохо, если > > > кто-то сможет стащить незащищенные сертификаты сервера, а они не > > > закрыты паролем для того, чтоб сервис стартовал автоматом, при > > > старте системы) - доступ в католг, содержащий сертификаты должен > > > быть ограничен по-максимуму. > > > > > > Остается либо /etc/package_name/ssl (достаточно сложно смонтировать > > > в r/o), либо /usr/lib/ssl (а этого делать не следует, судя по > > > сентябрьскому обсуждению). Можно, конечно и > > > в/usr/share/package_name/ssl засунуть, но это как-то неправильно. > > > > Обратите внимание на %attr(700,root,root) /var/lib/ssl/private > > Это понятно. В пакете так и буду делать, раз таковы требования > дистрибутива. > > В размещении в /var cмущает только одно - невозможность > монтирования в R/O. Администратор может поместить этот каталог на readonly-раздел. -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 7+ messages in thread
* [devel] Re: Q: systemwide directories for SSL certificates 2003-01-07 14:21 ` Dmitry V. Levin @ 2003-01-08 9:32 ` Michael Shigorin 0 siblings, 0 replies; 7+ messages in thread From: Michael Shigorin @ 2003-01-08 9:32 UTC (permalink / raw) To: ALT Devel discussion list [-- Attachment #1: Type: text/plain, Size: 421 bytes --] On Tue, Jan 07, 2003 at 05:21:40PM +0300, Dmitry V. Levin wrote: > > $ rpm -qf /etc/httpd/conf/ssl/server.crt > > mod_ssl-2.8.12-alt1 > "Кто - в лес, кто - по дрова"? Там еще один check/fix к mod_ssl нужен -- он свою конфигурацию как-то странно перекладывает/трогает. Были жалобы на грабли при ALM2+=updates. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ [-- Attachment #2: Type: application/pgp-signature, Size: 187 bytes --] ^ permalink raw reply [flat|nested] 7+ messages in thread
end of thread, other threads:[~2003-01-08 9:32 UTC | newest] Thread overview: 7+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2003-01-06 15:10 [devel] [Q]Общесистемный каталог для SSL-сертификатов Dmitry Lebkov 2003-01-06 19:00 ` Ivan Zakharyaschev 2003-01-07 5:43 ` [devel] [Q]Общесистемныйкаталог " Dmitry Lebkov 2003-01-07 11:06 ` [devel] Q: systemwide directories for SSL certificates Dmitry V. Levin 2003-01-07 13:43 ` Dmitry Lebkov 2003-01-07 14:21 ` Dmitry V. Levin 2003-01-08 9:32 ` [devel] " Michael Shigorin
ALT Linux Team development discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \ devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru public-inbox-index devel Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.devel AGPL code for this site: git clone https://public-inbox.org/public-inbox.git