Quali dovrebbero essere le autorizzazioni della directory, del certificato e della chiave SSL di Apache?

50

Ho i miei file cert.peme cert.keynelle /etc/apache2/sslcartelle.

Quali sarebbero le autorizzazioni e la proprietà più sicure di:

  1. /etc/apache2/ssl elenco

  2. /etc/apache2/ssl/cert.pem file

  3. /etc/apache2/ssl/cert.key file

(Garantire l' https://accesso funziona ovviamente :).

Grazie,

JP

apache-2.2  security  permissions  ssl  file-permissions 
Volontà
fonte

Risposte:

69

Le autorizzazioni della directory dovrebbero essere 700, le autorizzazioni dei file su tutti i file dovrebbero essere 600 e la directory e i file dovrebbero essere di proprietà di root.

Mike Scott
fonte
5
Grazie. Questo funziona Una cosa: immagino che i file debbano solo essere letti da root che avvia il demone apache. Perché è necessario concedere le autorizzazioni di "scrittura" al file?
23
I file dovranno essere aggiornati periodicamente, poiché i certificati scadono e devono essere rinnovati, e poiché non esiste un reale rischio per la sicurezza nel renderli scrivibili, la vita diventa leggermente più semplice. Non devono essere leggibili per l'uso quotidiano, quindi puoi usare 400 permessi (e 500 sulla directory) se non ti dispiace dover giocherellare con loro al momento del rinnovo.
Mike Scott,
5
Va notato che i documenti ufficiali di Apache non sono d'accordo con i suggerimenti originali di Mike su SSL e vanno con il suo secondo suggerimento qui nei commenti.
meshfields,
6
Cosa dovrebbe essere il proprietario?
John Bachir,
dove hai trovato i "Documenti ufficiali di Apache" su ssl
user9
0

La cosa più importante è assicurarsi che i *.keyfile siano leggibili solo daroot ( SSL / TLS Strong Encryption: FAQ ).

La mia esperienza è che potrebbe essere realizzato anche su altri file dei certificati (come *.crtad esempio).

Quindi dovremmo impostare rootcome l'unico proprietario della directory e dei suoi file:

$ chown -R root:root /etc/apache2/ssl

E possiamo impostare le autorizzazioni più restrittive per questa localizzazione:

$ chmod -R 000 /etc/apache2/ssl

In alcuni casi particolari, la localizzazione può ovviamente essere diversa.

simhumileco
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.