From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Tue, 7 Jan 2003 23:43:02 +1000 From: Dmitry Lebkov To: devel@altlinux.ru Subject: Re: [devel] Q: systemwide directories for SSL certificates Message-Id: <20030107234302.093fac16.dima@sakhalin.ru> In-Reply-To: <20030107110603.GA23353@basalt.office.altlinux.ru> References: <20030107011043.5e1af8e1.dima@sakhalin.ru> <20030107154341.51db757a.dima@sakhalin.ru> <20030107110603.GA23353@basalt.office.altlinux.ru> X-Mailer: Sylpheed version 0.8.8 (GTK+ 1.2.10; i586-alt-linux-gnu) Mime-Version: 1.0 Content-Type: text/plain; charset=KOI8-R Content-Transfer-Encoding: 8bit Sender: devel-admin@altlinux.ru Errors-To: devel-admin@altlinux.ru X-BeenThere: devel@altlinux.ru X-Mailman-Version: 2.0.9 Precedence: bulk Reply-To: devel@altlinux.ru List-Unsubscribe: , List-Id: List-Post: List-Help: List-Subscribe: , List-Archive: Archived-At: List-Archive: List-Post: On Tue, 7 Jan 2003 14:06:03 +0300 "Dmitry V. Levin" wrote: > On Tue, Jan 07, 2003 at 03:43:41PM +1000, Dmitry Lebkov wrote: > > Может я непонятно объяснил, но имелось ввиду следующее: > > собираю пакет courier-imap. Демоны из пакета умеют SSL/TLS. > > По-умолчанию, поиск ssl-сертификатов для сервисов pop3/imap4 > > производится в каталоге /etc/courier-imap/ssl. Создание > > сертификатов (самоподписанных) возможно на стадии %post. Т.е. > > это вроде бы попадает под определение "предоставляется установкой > > дистрибутива"? > > Нет. > Администратор вправе заменить эти сертификаты по своему желанию. > > > Т.к. эти файлы _не меняются_ в процессе работы (меняет их только > > администратор, в случае устаревания) - им не место в /var. И т.к. > > Мы это все уже обсуждали. Вы настаиваете на помещении их в /etc? Нет, я просто спрашивал как сделать лучше и правильнее. Меня смутило следующее: $ rpm -qf /etc/httpd/conf/ssl/server.crt mod_ssl-2.8.12-alt1 $ rpm -qf /var/lib/ssl/certs/stunnel.pem stunnel-3.22-alt2 Вот и начал метаться, куда бы положить этои @#$% сертификаты. %) > > это достаточно критичная составляющая сервиса (очень плохо, если > > кто-то сможет стащить незащищенные сертификаты сервера, а они не > > закрыты паролем для того, чтоб сервис стартовал автоматом, при > > старте системы) - доступ в католг, содержащий сертификаты должен > > быть ограничен по-максимуму. > > > > Остается либо /etc/package_name/ssl (достаточно сложно смонтировать > > в r/o), либо /usr/lib/ssl (а этого делать не следует, судя по > > сентябрьскому обсуждению). Можно, конечно и > > в/usr/share/package_name/ssl засунуть, но это как-то неправильно. > > Обратите внимание на %attr(700,root,root) /var/lib/ssl/private Это понятно. В пакете так и буду делать, раз таковы требования дистрибутива. В размещении в /var cмущает только одно - невозможность монтирования в R/O. > > > По поводу /var/lib/ssl/certs - терзают меня смутные сомнения :) > > Я думаю, что этот каталог имеет смысл пользовать для _создания_ > > сертификатов, предназначенных для других сервисов/хостов на, > > локальной машине. Но как место хранения сертификатов локальных > > сервисов он не подходит. > > По моему, уже имеющейся инфраструктуры в /var/lib/ssl/ достаточно, не > так ли? Наверняка. Но моя паранойя не позволяет мне использовать /var для хранения сертификатов :) (но это уже к делу не относится). Спасибо всем, ответившим. Пойду "дотачивать" пакет. -- WBR, Dmitry Lebkov