From: Dmitry Lebkov <dima@sakhalin.ru>
To: devel@altlinux.ru
Subject: Re: [devel] Q: systemwide directories for SSL certificates
Date: Tue, 7 Jan 2003 23:43:02 +1000
Message-ID: <20030107234302.093fac16.dima@sakhalin.ru> (raw)
In-Reply-To: <20030107110603.GA23353@basalt.office.altlinux.ru>
On Tue, 7 Jan 2003 14:06:03 +0300
"Dmitry V. Levin" <ldv@altlinux.org> wrote:
> On Tue, Jan 07, 2003 at 03:43:41PM +1000, Dmitry Lebkov wrote:
> > Может я непонятно объяснил, но имелось ввиду следующее:
> > собираю пакет courier-imap. Демоны из пакета умеют SSL/TLS.
> > По-умолчанию, поиск ssl-сертификатов для сервисов pop3/imap4
> > производится в каталоге /etc/courier-imap/ssl. Создание
> > сертификатов (самоподписанных) возможно на стадии %post. Т.е.
> > это вроде бы попадает под определение "предоставляется установкой
> > дистрибутива"?
>
> Нет.
> Администратор вправе заменить эти сертификаты по своему желанию.
>
> > Т.к. эти файлы _не меняются_ в процессе работы (меняет их только
> > администратор, в случае устаревания) - им не место в /var. И т.к.
>
> Мы это все уже обсуждали. Вы настаиваете на помещении их в /etc?
Нет, я просто спрашивал как сделать лучше и правильнее. Меня смутило
следующее:
$ rpm -qf /etc/httpd/conf/ssl/server.crt
mod_ssl-2.8.12-alt1
$ rpm -qf /var/lib/ssl/certs/stunnel.pem
stunnel-3.22-alt2
Вот и начал метаться, куда бы положить этои @#$% сертификаты. %)
> > это достаточно критичная составляющая сервиса (очень плохо, если
> > кто-то сможет стащить незащищенные сертификаты сервера, а они не
> > закрыты паролем для того, чтоб сервис стартовал автоматом, при
> > старте системы) - доступ в католг, содержащий сертификаты должен
> > быть ограничен по-максимуму.
> >
> > Остается либо /etc/package_name/ssl (достаточно сложно смонтировать
> > в r/o), либо /usr/lib/ssl (а этого делать не следует, судя по
> > сентябрьскому обсуждению). Можно, конечно и
> > в/usr/share/package_name/ssl засунуть, но это как-то неправильно.
>
> Обратите внимание на %attr(700,root,root) /var/lib/ssl/private
Это понятно. В пакете так и буду делать, раз таковы требования
дистрибутива.
В размещении в /var cмущает только одно - невозможность
монтирования в R/O.
>
> > По поводу /var/lib/ssl/certs - терзают меня смутные сомнения :)
> > Я думаю, что этот каталог имеет смысл пользовать для _создания_
> > сертификатов, предназначенных для других сервисов/хостов на,
> > локальной машине. Но как место хранения сертификатов локальных
> > сервисов он не подходит.
>
> По моему, уже имеющейся инфраструктуры в /var/lib/ssl/ достаточно, не
> так ли?
Наверняка. Но моя паранойя не позволяет мне использовать /var для
хранения сертификатов :) (но это уже к делу не относится).
Спасибо всем, ответившим. Пойду "дотачивать" пакет.
--
WBR, Dmitry Lebkov
next prev parent reply other threads:[~2003-01-07 13:43 UTC|newest]
Thread overview: 7+ messages / expand[flat|nested] mbox.gz Atom feed top
2003-01-06 15:10 [devel] [Q]Общесистемный каталог для SSL-сертификатов Dmitry Lebkov
2003-01-06 19:00 ` Ivan Zakharyaschev
2003-01-07 5:43 ` [devel] [Q]Общесистемныйкаталог " Dmitry Lebkov
2003-01-07 11:06 ` [devel] Q: systemwide directories for SSL certificates Dmitry V. Levin
2003-01-07 13:43 ` Dmitry Lebkov [this message]
2003-01-07 14:21 ` Dmitry V. Levin
2003-01-08 9:32 ` [devel] " Michael Shigorin
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20030107234302.093fac16.dima@sakhalin.ru \
--to=dima@sakhalin.ru \
--cc=devel@altlinux.ru \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git