From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <imz@altlinux.ru>
Date: Mon, 6 Jan 2003 22:00:21 +0300 (MSK)
From: Ivan Zakharyaschev <imz@altlinux.ru>
X-X-Sender: ivan@arrakis.zephyrous
To: devel@altlinux.ru
Subject: Re: [devel] =?KOI8-R?Q?[Q]=EF=C2=DD=C5=D3=C9=D3=D4=C5=CD=CE=D9=CA_=CB=C1=D4?=
 =?KOI8-R?Q?=C1=CC=CF=C7_=C4=CC=D1_SSL-=D3=C5=D2=D4=C9=C6=C9=CB=C1=D4=CF?=
 =?KOI8-R?Q?=D7.?=
In-Reply-To: <20030107011043.5e1af8e1.dima@sakhalin.ru>
Message-ID: <Pine.LNX.4.51L.0301062152460.12735@arrakis.zephyrous>
References: <20030107011043.5e1af8e1.dima@sakhalin.ru>
X-Mailer: try to guess
MIME-Version: 1.0
Content-Type: TEXT/PLAIN; charset=koi8-r
Content-Transfer-Encoding: 8BIT
Sender: devel-admin@altlinux.ru
Errors-To: devel-admin@altlinux.ru
X-BeenThere: devel@altlinux.ru
X-Mailman-Version: 2.0.9
Precedence: bulk
Reply-To: devel@altlinux.ru
List-Unsubscribe: <http://altlinux.ru/mailman/listinfo/devel>,
	<mailto:devel-request@altlinux.ru?subject=unsubscribe>
List-Id: <devel.altlinux.ru>
List-Post: <mailto:devel@altlinux.ru>
List-Help: <mailto:devel-request@altlinux.ru?subject=help>
List-Subscribe: <http://altlinux.ru/mailman/listinfo/devel>,
	<mailto:devel-request@altlinux.ru?subject=subscribe>
List-Archive: <http://altlinux.ru/pipermail/devel/>
Archived-At: <http://lore.altlinux.org/devel/Pine.LNX.4.51L.0301062152460.12735@arrakis.zephyrous/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

	Hello, Dmitry!

On Tue, 7 Jan 2003, Dmitry Lebkov wrote:

> Есть ли в нас в системе какой-нить общий каталог, куда следует
> складывать SSL-сертификаты сервисов, запускаемых на отдельно
> взятой машине?

Насколько я помню, было принято решение, что это /var/lib/ssl/certs/.

(Нашёл:
http://www.altlinux.ru/pipermail/devel/2002-September/006355.html)

> Сейчас имеем ситуацию, когда сервис, поддерживающий SSL/TLS,
> хранит сертификаты там где понравилось автору/пакаджеру пакета,
> что есть не очень хорошо.
>
> Может быть имеет смысл сделать что-то типа /usr/share/ssl-cert
> и внутри создавать структуру каталогов (?) для каждого сервиса,
> умеющего SSL/TLS (с соответствующм разграничением доступа)?
>
> Из плюсов:
>  - монтировать /usr в read-only значительно проще чем /etc или /var;
>  - упрощается контроль целостности сертификатов в случае размещения
>    их всех в одном, оговоренном, месте;
>
> Из минусов:
>  - патчить все существующие сервисы на предмет размещения
> сертификатов;
>  - поддерживать внесенные измененияж

- это не соответствует правилу о том, что то, что лежит в /usr/ (без
local/), предоставляется утсановкой дистрибутива. Местная конфигурация
попадает в /etc/, /usr/local/; данные, меняющиеся при работе -- в /var/.

-- 
С наилучшими пожеланиями,
Иван Захарьящев, Москва