From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Tue, 7 Jan 2003 17:21:40 +0300 From: "Dmitry V. Levin" To: ALT Devel discussion list Subject: Re: [devel] Q: systemwide directories for SSL certificates Message-ID: <20030107142140.GB25522@basalt.office.altlinux.ru> Mail-Followup-To: ALT Devel discussion list References: <20030107011043.5e1af8e1.dima@sakhalin.ru> <20030107154341.51db757a.dima@sakhalin.ru> <20030107110603.GA23353@basalt.office.altlinux.ru> <20030107234302.093fac16.dima@sakhalin.ru> Mime-Version: 1.0 Content-Type: multipart/signed; micalg=pgp-sha1; protocol="application/pgp-signature"; boundary="xXmbgvnjoT4axfJE" Content-Disposition: inline In-Reply-To: <20030107234302.093fac16.dima@sakhalin.ru> X-fingerprint: 9658 398D 181B 1200 8FC5 26B8 F6F8 846B C1E2 3429 Sender: devel-admin@altlinux.ru Errors-To: devel-admin@altlinux.ru X-BeenThere: devel@altlinux.ru X-Mailman-Version: 2.0.9 Precedence: bulk Reply-To: devel@altlinux.ru List-Unsubscribe: , List-Id: List-Post: List-Help: List-Subscribe: , List-Archive: Archived-At: List-Archive: List-Post: --xXmbgvnjoT4axfJE Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit On Tue, Jan 07, 2003 at 11:43:02PM +1000, Dmitry Lebkov wrote: > > > Может я непонятно объяснил, но имелось ввиду следующее: > > > собираю пакет courier-imap. Демоны из пакета умеют SSL/TLS. > > > По-умолчанию, поиск ssl-сертификатов для сервисов pop3/imap4 > > > производится в каталоге /etc/courier-imap/ssl. Создание > > > сертификатов (самоподписанных) возможно на стадии %post. Т.е. > > > это вроде бы попадает под определение "предоставляется установкой > > > дистрибутива"? > > > > Нет. > > Администратор вправе заменить эти сертификаты по своему желанию. > > > > > Т.к. эти файлы _не меняются_ в процессе работы (меняет их только > > > администратор, в случае устаревания) - им не место в /var. И т.к. > > > > Мы это все уже обсуждали. Вы настаиваете на помещении их в /etc? > > Нет, я просто спрашивал как сделать лучше и правильнее. Меня смутило > следующее: > > $ rpm -qf /etc/httpd/conf/ssl/server.crt > mod_ssl-2.8.12-alt1 > > $ rpm -qf /var/lib/ssl/certs/stunnel.pem > stunnel-3.22-alt2 > > Вот и начал метаться, куда бы положить этои @#$% сертификаты. %) "Кто - в лес, кто - по дрова"? > > > это достаточно критичная составляющая сервиса (очень плохо, если > > > кто-то сможет стащить незащищенные сертификаты сервера, а они не > > > закрыты паролем для того, чтоб сервис стартовал автоматом, при > > > старте системы) - доступ в католг, содержащий сертификаты должен > > > быть ограничен по-максимуму. > > > > > > Остается либо /etc/package_name/ssl (достаточно сложно смонтировать > > > в r/o), либо /usr/lib/ssl (а этого делать не следует, судя по > > > сентябрьскому обсуждению). Можно, конечно и > > > в/usr/share/package_name/ssl засунуть, но это как-то неправильно. > > > > Обратите внимание на %attr(700,root,root) /var/lib/ssl/private > > Это понятно. В пакете так и буду делать, раз таковы требования > дистрибутива. > > В размещении в /var cмущает только одно - невозможность > монтирования в R/O. Администратор может поместить этот каталог на readonly-раздел. -- ldv --xXmbgvnjoT4axfJE Content-Type: application/pgp-signature Content-Disposition: inline -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.1 (GNU/Linux) iD8DBQE+GuJ09viEa8HiNCkRAjPcAJ9EOYx6lhQwY4jjjLuRAqO4YZx2VACfRolD mk3+taLze1J+VplbWjewMj4= =CwET -----END PGP SIGNATURE----- --xXmbgvnjoT4axfJE--