Was sollten die Berechtigungen für das Apache SSL-Verzeichnis, das Zertifikat und den Schlüssel sein?

50

Ich habe meine cert.pemund cert.keyDateien in /etc/apache2/sslOrdnern.

Was wäre die sicherste Berechtigung und das sicherste Eigentum an:

  1. /etc/apache2/ssl Verzeichnis

  2. /etc/apache2/ssl/cert.pem Datei

  3. /etc/apache2/ssl/cert.key Datei

(Sicherstellen, dass der https://Zugang funktioniert natürlich :).

Vielen Dank,

JP

Wille
quelle

Antworten:

69

Die Verzeichnisberechtigungen sollten 700 sein, die Dateiberechtigungen für alle Dateien sollten 600 sein und das Verzeichnis und die Dateien sollten Eigentum von root sein.

Mike Scott
quelle
5
Vielen Dank. Das funktioniert. Eine Sache - ich denke, die Dateien müssen nur von root gelesen werden, der den Apache-Daemon startet. Warum müssen wir der Datei Schreibrechte geben?
23
Die Dateien müssen regelmäßig aktualisiert werden, da Ihre Zertifikate ablaufen und erneuert werden müssen. Da die Beschreibbarkeit kein echtes Sicherheitsrisiko darstellt, wird das Leben etwas einfacher. Sie müssen für die tägliche Verwendung nicht lesbar sein, sodass Sie 400 Berechtigungen (und 500 für das Verzeichnis) verwenden können, wenn Sie bei der Erneuerung nichts dagegen haben, mit ihnen zu experimentieren.
Mike Scott
5
Es sollte beachtet werden, dass die offiziellen Apache Docs Mikes ursprünglichen Vorschlägen zu SSL nicht zustimmen und mit seinem zweiten Vorschlag hier in den Kommentaren gehen.
Maschenfelder
5
Was soll der Besitzer sein?
John Bachir
wo hast du die "offiziellen Apache Docs" über ssl
user9
0

Am wichtigsten ist es, sicherzustellen, dass die *.keyDateien nur vonroot ( SSL / TLS Strong Encryption: FAQ ) gelesen werden können .

Meine Erfahrung ist, dass es auch zu anderen Dateien der Zertifikate (wie *.crtzum Beispiel) realisiert werden könnte.

Deshalb sollten wir den rootals einzigen Eigentümer des Verzeichnisses und seiner Dateien festlegen :

$ chown -R root:root /etc/apache2/ssl

Und wir können die restriktivsten Berechtigungen für diese Lokalisierung festlegen:

$ chmod -R 000 /etc/apache2/ssl

In bestimmten Fällen kann die Lokalisierung natürlich unterschiedlich sein.

simhumileco
quelle