From: Dmitry Lebkov <dima@sakhalin.ru>
To: devel@altlinux.ru
Subject: Re: [devel] [Q]Общесистемныйкаталог для SSL-сертификатов.
Date: Tue, 7 Jan 2003 15:43:41 +1000
Message-ID: <20030107154341.51db757a.dima@sakhalin.ru> (raw)
In-Reply-To: <Pine.LNX.4.51L.0301062152460.12735@arrakis.zephyrous>
On Mon, 6 Jan 2003 22:00:21 +0300 (MSK)
Ivan Zakharyaschev <imz@altlinux.ru> wrote:
> Hello, Dmitry!
>
> On Tue, 7 Jan 2003, Dmitry Lebkov wrote:
>
> > Есть ли в нас в системе какой-нить общий каталог, куда следует
> > складывать SSL-сертификаты сервисов, запускаемых на отдельно
> > взятой машине?
>
> Насколько я помню, было принято решение, что это /var/lib/ssl/certs/.
>
> (Нашёл:
> http://www.altlinux.ru/pipermail/devel/2002-September/006355.html)
Спасибо за линк. К сожалению, я упустил это обсуждение ... :(
>
> > Сейчас имеем ситуацию, когда сервис, поддерживающий SSL/TLS,
> > хранит сертификаты там где понравилось автору/пакаджеру пакета,
> > что есть не очень хорошо.
> >
> > Может быть имеет смысл сделать что-то типа /usr/share/ssl-cert
> > и внутри создавать структуру каталогов (?) для каждого сервиса,
> > умеющего SSL/TLS (с соответствующм разграничением доступа)?
> >
> > Из плюсов:
> > - монтировать /usr в read-only значительно проще чем /etc или /var;
> > - упрощается контроль целостности сертификатов в случае размещения
> > их всех в одном, оговоренном, месте;
> >
> > Из минусов:
> > - патчить все существующие сервисы на предмет размещения
> > сертификатов;
> > - поддерживать внесенные измененияж
>
> - это не соответствует правилу о том, что то, что лежит в /usr/ (без
> local/), предоставляется утсановкой дистрибутива. Местная конфигурация
> попадает в /etc/, /usr/local/; данные, меняющиеся при работе -- в
> /var/.
Может я непонятно объяснил, но имелось ввиду следующее:
собираю пакет courier-imap. Демоны из пакета умеют SSL/TLS.
По-умолчанию, поиск ssl-сертификатов для сервисов pop3/imap4
производится в каталоге /etc/courier-imap/ssl. Создание
сертификатов (самоподписанных) возможно на стадии %post. Т.е.
это вроде бы попадает под определение "предоставляется установкой
дистрибутива"?
Т.к. эти файлы _не меняются_ в процессе работы (меняет их только
администратор, в случае устаревания) - им не место в /var. И т.к.
это достаточно критичная составляющая сервиса (очень плохо, если
кто-то сможет стащить незащищенные сертификаты сервера, а они не
закрыты паролем для того, чтоб сервис стартовал автоматом, при
старте системы) - доступ в католг, содержащий сертификаты должен
быть ограничен по-максимуму.
Остается либо /etc/package_name/ssl (достаточно сложно смонтировать
в r/o), либо /usr/lib/ssl (а этого делать не следует, судя по
сентябрьскому обсуждению). Можно, конечно и в/usr/share/package_name/ssl
засунуть, но это как-то неправильно.
По поводу /var/lib/ssl/certs - терзают меня смутные сомнения :)
Я думаю, что этот каталог имеет смысл пользовать для _создания_
сертификатов, предназначенных для других сервисов/хостов на, локальной
машине. Но как место хранения сертификатов локальных сервисов он не
подходит.
"Истертый" вопрос - что делать? %)
--
WBR, Dmitry Lebkov
next prev parent reply other threads:[~2003-01-07 5:43 UTC|newest]
Thread overview: 7+ messages / expand[flat|nested] mbox.gz Atom feed top
2003-01-06 15:10 [devel] [Q]Общесистемный каталог " Dmitry Lebkov
2003-01-06 19:00 ` Ivan Zakharyaschev
2003-01-07 5:43 ` Dmitry Lebkov [this message]
2003-01-07 11:06 ` [devel] Q: systemwide directories for SSL certificates Dmitry V. Levin
2003-01-07 13:43 ` Dmitry Lebkov
2003-01-07 14:21 ` Dmitry V. Levin
2003-01-08 9:32 ` [devel] " Michael Shigorin
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20030107154341.51db757a.dima@sakhalin.ru \
--to=dima@sakhalin.ru \
--cc=devel@altlinux.ru \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git