Onde armazenar as chaves privadas openssl no servidor Linux?

2

Eu tenho uma chave SSL privada no meu VPS que é usada por vários aplicativos (Apache, Postfix, etc). O problema é que não consigo definir exatamente as permissões para 0600 ( -rw------- ) porque esses vários aplicativos são executados como usuários diferentes (www-data, vmail, etc). Curiosamente, o Apache é capaz de lê-lo, mas o Postfix estava bombardeando sempre que eu tentava enviar e-mails através da porta SSL 465, e descobri que é por causa das permissões na chave.

Existe uma convenção de segurança sobre como lidar com isso? Eu apenas faço cópias duplicadas desta chave SSL e a coloco em lugares diferentes, chupando-a para cada usuário / grupo que precisa usá-la?

    
por CaptSaltyJack 05.04.2013 / 06:49

1 resposta

2

Existem algumas maneiras de lidar com isso. Primeiro, preciso mencionar que somente other access é normalmente proibido por todos os programas que precisam ler as chaves. Em outras palavras, permissões como 640 ( rw-r----- ) normalmente são aceitáveis.

Com isso em mente, alguns métodos:

  1. Faça o certificado pertencer a algum programa, digamos o apache: www-data : www-data e com permissões 640 . Faça alguns outros programas que precisam ler o certificado para serem membros de www-data group. Este é provavelmente o método mais conveniente, mas menos seguro, pois potencialmente abre privilégios indesejados para processos que não o tinham originalmente.

  2. Tornar certificado de propriedade do apache, mas no grupo de vmails: www-data : vmail e permissões 640 . Dessa forma, o apache pode lê-lo como proprietário e o vmail pode lê-lo como membro do grupo. Isso é um pouco mais seguro, mas não ultrapassa 2 programas.

  3. Crie um script para copiar o certificado original em alguns segmentados e altere as permissões adequadamente para cada um. Essa abordagem é provavelmente mais segura e se adapta bem, mas cria cópias. E não, você não pode criar links físicos, porque todos os arquivos com link físico compartilham proprietários e permissões.

por 05.04.2013 / 07:57