From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Tue, 7 Jan 2003 15:43:41 +1000 From: Dmitry Lebkov To: devel@altlinux.ru Subject: Re: [devel] =?KOI8-R?Q?[Q]=EF=C2=DD=C5=D3=C9=D3=D4=C5=CD=CE=D9=CA?= =?KOI8-R?Q?=CB=C1=D4=C1=CC=CF=C7_=C4=CC=D1_SSL-=D3=C5=D2=D4=C9=C6=C9=CB?= =?KOI8-R?Q?=C1=D4=CF=D7.?= Message-Id: <20030107154341.51db757a.dima@sakhalin.ru> In-Reply-To: References: <20030107011043.5e1af8e1.dima@sakhalin.ru> X-Mailer: Sylpheed version 0.8.8 (GTK+ 1.2.10; i586-alt-linux-gnu) Mime-Version: 1.0 Content-Type: text/plain; charset=KOI8-R Content-Transfer-Encoding: 8bit Sender: devel-admin@altlinux.ru Errors-To: devel-admin@altlinux.ru X-BeenThere: devel@altlinux.ru X-Mailman-Version: 2.0.9 Precedence: bulk Reply-To: devel@altlinux.ru List-Unsubscribe: , List-Id: List-Post: List-Help: List-Subscribe: , List-Archive: Archived-At: List-Archive: List-Post: On Mon, 6 Jan 2003 22:00:21 +0300 (MSK) Ivan Zakharyaschev wrote: > Hello, Dmitry! > > On Tue, 7 Jan 2003, Dmitry Lebkov wrote: > > > Есть ли в нас в системе какой-нить общий каталог, куда следует > > складывать SSL-сертификаты сервисов, запускаемых на отдельно > > взятой машине? > > Насколько я помню, было принято решение, что это /var/lib/ssl/certs/. > > (Нашёл: > http://www.altlinux.ru/pipermail/devel/2002-September/006355.html) Спасибо за линк. К сожалению, я упустил это обсуждение ... :( > > > Сейчас имеем ситуацию, когда сервис, поддерживающий SSL/TLS, > > хранит сертификаты там где понравилось автору/пакаджеру пакета, > > что есть не очень хорошо. > > > > Может быть имеет смысл сделать что-то типа /usr/share/ssl-cert > > и внутри создавать структуру каталогов (?) для каждого сервиса, > > умеющего SSL/TLS (с соответствующм разграничением доступа)? > > > > Из плюсов: > > - монтировать /usr в read-only значительно проще чем /etc или /var; > > - упрощается контроль целостности сертификатов в случае размещения > > их всех в одном, оговоренном, месте; > > > > Из минусов: > > - патчить все существующие сервисы на предмет размещения > > сертификатов; > > - поддерживать внесенные измененияж > > - это не соответствует правилу о том, что то, что лежит в /usr/ (без > local/), предоставляется утсановкой дистрибутива. Местная конфигурация > попадает в /etc/, /usr/local/; данные, меняющиеся при работе -- в > /var/. Может я непонятно объяснил, но имелось ввиду следующее: собираю пакет courier-imap. Демоны из пакета умеют SSL/TLS. По-умолчанию, поиск ssl-сертификатов для сервисов pop3/imap4 производится в каталоге /etc/courier-imap/ssl. Создание сертификатов (самоподписанных) возможно на стадии %post. Т.е. это вроде бы попадает под определение "предоставляется установкой дистрибутива"? Т.к. эти файлы _не меняются_ в процессе работы (меняет их только администратор, в случае устаревания) - им не место в /var. И т.к. это достаточно критичная составляющая сервиса (очень плохо, если кто-то сможет стащить незащищенные сертификаты сервера, а они не закрыты паролем для того, чтоб сервис стартовал автоматом, при старте системы) - доступ в католг, содержащий сертификаты должен быть ограничен по-максимуму. Остается либо /etc/package_name/ssl (достаточно сложно смонтировать в r/o), либо /usr/lib/ssl (а этого делать не следует, судя по сентябрьскому обсуждению). Можно, конечно и в/usr/share/package_name/ssl засунуть, но это как-то неправильно. По поводу /var/lib/ssl/certs - терзают меня смутные сомнения :) Я думаю, что этот каталог имеет смысл пользовать для _создания_ сертификатов, предназначенных для других сервисов/хостов на, локальной машине. Но как место хранения сертификатов локальных сервисов он не подходит. "Истертый" вопрос - что делать? %) -- WBR, Dmitry Lebkov