Eu uso openssl para gerar chaves privadas e CSRs em um script. O script precisa gerar a chave primeiro e, em seguida, chamar chmod 400 whatever.key para alterar as permissões da chave privada para algo mais seguro.
Existe alguma maneira de eliminar a segunda etapa e ter openssl criar o arquivo com as permissões apropriadas desde o início? Parece-me mais limpo não ter a chave privada legível por outros processos, mesmo que por um milissegundo.
Você pode usar umask em um script para fazer algo assim ou existe outra maneira?
Encontrei uma resposta à minha pergunta no site unix.stackexchange.com.
A idéia é usar umask e executar os comandos entre colchetes para executá-lo em uma subshell, para que umask não afete o restante do script.
( umask 077; openssl rsa -in secure.key -out insecure.key )
Tags umask openssl file-permissions