สิ่งที่ควรได้รับการอนุญาตจาก Apache SSL Directory, Certificate และ Key


50

ฉันมีcert.pemและcert.keyไฟล์ใน/etc/apache2/sslโฟลเดอร์

สิ่งที่จะได้รับอนุญาตที่ปลอดภัยที่สุดและเป็นเจ้าของ:

  1. /etc/apache2/ssl ไดเรกทอรี

  2. /etc/apache2/ssl/cert.pem ไฟล์

  3. /etc/apache2/ssl/cert.key ไฟล์

(มั่นใจว่าhttps://เข้าถึงงานแน่นอน :)

ขอบคุณ

JP

คำตอบ:


69

สิทธิ์ของไดเรกทอรีควรเป็น 700 สิทธิ์ของไฟล์ในทุกไฟล์ควรเป็น 600 และไดเรกทอรีและไฟล์ควรเป็นของ root


5
ขอบคุณ วิธีนี้ใช้ได้ผล สิ่งหนึ่ง - ฉันเดาว่าไฟล์จะต้องอ่านโดย root ที่เริ่ม apache daemon ทำไมเราต้องให้สิทธิ์ "เขียน" กับไฟล์?

23
ไฟล์จะต้องอัปเดตเป็นระยะเนื่องจากใบรับรองของคุณหมดอายุและต้องได้รับการต่ออายุและเนื่องจากไม่มีความเสี่ยงด้านความปลอดภัยที่แท้จริงในการทำให้เขียนได้ทำให้ชีวิตง่ายขึ้นเล็กน้อย พวกเขาไม่จำเป็นต้องสามารถอ่านได้สำหรับการใช้งานแบบวันต่อวันดังนั้นคุณสามารถใช้สิทธิ์ 400 รายการ (และ 500 รายการในไดเรกทอรี) หากคุณไม่คิดว่าจะต้องทำตามขั้นตอนการต่ออายุ
Mike Scott

5
ควรสังเกตว่า Apache เอกสารอย่างเป็นทางการไม่เห็นด้วยกับคำแนะนำดั้งเดิมของ Mike เกี่ยวกับ SSL และไปกับคำแนะนำที่สองของเขาที่นี่ในความคิดเห็น
meshfields

5
เจ้าของควรเป็นอย่างไร
John Bachir

คุณพบ "เอกสาร Apache อย่างเป็นทางการ" ที่ใดเกี่ยวกับ ssl
user9

0

สิ่งสำคัญที่สุดคือการทำให้แน่ใจว่า*.keyไฟล์นั้นสามารถอ่านได้โดยroot ( SSL / TLS Strong Encryption: FAQ )

ประสบการณ์ของฉันคือมันสามารถรับรู้ไปยังไฟล์อื่น ๆ ของใบรับรอง (เช่น*.crtตัวอย่าง)

ดังนั้นเราควรตั้งrootเป็นเจ้าของไดเรกทอรีและไฟล์ของมัน:

$ chown -R root:root /etc/apache2/ssl

และเราสามารถตั้งค่าการอนุญาตที่ จำกัด มากที่สุดสำหรับการแปลภาษานี้:

$ chmod -R 000 /etc/apache2/ssl

ในบางกรณีการแปลอาจแตกต่างกันแน่นอน

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.