अपाचे एसएसएल डायरेक्टरी, सर्टिफिकेट और की की अनुमतियां क्या होनी चाहिए?

मेरे पास फ़ोल्डर्स में मेरी cert.pemऔर cert.keyफाइलें /etc/apache2/sslहैं।

सबसे सुरक्षित अनुमति और स्वामित्व क्या होगा:

/etc/apache2/ssl निर्देशिका
/etc/apache2/ssl/cert.pem फ़ाइल
/etc/apache2/ssl/cert.key फ़ाइल

( https://पाठ्यक्रम के पहुँच कार्यों को सुनिश्चित करना :)।

धन्यवाद,

जेपी

— मर्जी
स्रोत

जवाबों:

निर्देशिका अनुमतियाँ 700 होनी चाहिए, सभी फ़ाइलों पर फ़ाइल अनुमतियाँ 600 होनी चाहिए, और निर्देशिका और फ़ाइलों को रूट द्वारा स्वामित्व में होना चाहिए।

— माइक स्कॉट
स्रोत

धन्यवाद। यह काम। एक बात - मुझे लगता है कि फाइलों को केवल रूट द्वारा पढ़ा जाना चाहिए जो अपाचे डेमॉन शुरू करता है। हमें फ़ाइल को "लिखने" की अनुमति देने की आवश्यकता क्यों है?

फ़ाइलों को समय-समय पर अद्यतन करने की आवश्यकता होगी, क्योंकि आपके प्रमाणपत्र समाप्त हो जाते हैं और उन्हें नवीनीकृत करने की आवश्यकता होती है, और चूंकि उन्हें लिखने योग्य बनाने में कोई वास्तविक सुरक्षा जोखिम नहीं है, यह जीवन को थोड़ा सरल बनाता है। अगर आपको उनके साथ नवीकरण समय पर करने की इच्छा नहीं है, तो उन्हें दिन-प्रतिदिन के उपयोग के लिए पठनीय होने की आवश्यकता नहीं है, इसलिए आप 400 अनुमतियों (और निर्देशिका पर 500) का उपयोग कर सकते हैं।

— माइक स्कॉट

यह ध्यान दिया जाना चाहिए, कि आधिकारिक Apache डॉक्स SSL के बारे में माइक के मूल सुझावों से सहमत नहीं हैं और टिप्पणियों में यहां अपने दूसरे सुझाव के साथ जाएं।

— meshfields

मालिक क्या होना चाहिए?

— जॉन बाकिर

आपने ssl के बारे में "आधिकारिक अपाचे डॉक्स"

— कहां पाया

यह सुनिश्चित करना सबसे महत्वपूर्ण है कि *.keyफाइलें केवल पठनीयroot ( एसएसएल / टीएलएस मजबूत एन्क्रिप्शन: एफएक्यू ) द्वारा पठनीय हैं ।

मेरा अनुभव है कि यह प्रमाण पत्र की अन्य फाइलों ( *.crtउदाहरण के लिए) को भी महसूस किया जा सकता है ।

इसलिए हमें rootनिर्देशिका और इसकी फ़ाइलों के केवल एक मालिक के रूप में सेट करना चाहिए :

$ chown -R root:root /etc/apache2/ssl

और हम इस स्थानीयकरण के लिए सबसे अधिक प्रतिबंधात्मक अनुमति दे सकते हैं:

$ chmod -R 000 /etc/apache2/ssl

कुछ विशेष मामलों में, स्थानीयकरण अलग हो सकता है।

— simhumileco
स्रोत