Quyền của Thư mục, Chứng chỉ và Khóa của Apache là gì?

Tôi có của tôi cert.pemvà cert.keycác tập tin trong /etc/apache2/sslcác thư mục.

Điều gì sẽ là quyền và quyền sở hữu an toàn nhất của:

/etc/apache2/ssl danh mục
/etc/apache2/ssl/cert.pem tập tin
/etc/apache2/ssl/cert.key tập tin

(Đảm bảo https://truy cập công trình tất nhiên :).

Cảm ơn,

— Sẽ
nguồn

Câu trả lời:

Quyền truy cập thư mục phải là 700, quyền truy cập tệp trên tất cả các tệp phải là 600 và thư mục và tệp phải được sở hữu bởi root.

— Mike Scott
nguồn

Cảm ơn. Những công việc này. Một điều - tôi đoán các tập tin chỉ cần được đọc bằng root để bắt đầu trình nền apache. Tại sao chúng ta cần cấp quyền "ghi" cho tệp?

Các tệp sẽ cần cập nhật định kỳ, vì chứng chỉ của bạn hết hạn và cần được gia hạn, và vì không có rủi ro bảo mật thực sự trong việc làm cho chúng có thể ghi được, nó làm cho cuộc sống đơn giản hơn một chút. Chúng không cần phải đọc để sử dụng hàng ngày, vì vậy bạn có thể sử dụng 400 quyền (và 500 trên thư mục) nếu bạn không phải loay hoay với chúng khi gia hạn.

— Mike Scott

Cần lưu ý rằng Tài liệu Apache chính thức không đồng ý với các đề xuất ban đầu của Mike về SSL và đi với đề xuất thứ hai của anh ấy ở đây trong các bình luận.

— sân lưới

Chủ sở hữu nên là gì?

— John Bachir

bạn đã tìm thấy "Tài liệu Apache chính thức" về ssl

— user9

Điều quan trọng nhất là đảm bảo các *.keytệp chỉ có thể đọc được bằngroot ( Mã hóa mạnh SSL / TLS: FAQ ).

Kinh nghiệm của tôi là nó cũng có thể được nhận ra đối với các tệp chứng chỉ khác ( *.crtví dụ như).

Vì vậy, chúng ta nên đặt rootlà chủ sở hữu duy nhất của thư mục và các tệp của nó:

$ chown -R root:root /etc/apache2/ssl

Và chúng ta có thể đặt các quyền hạn chế nhất cho nội địa hóa này:

$ chmod -R 000 /etc/apache2/ssl

Trong một số trường hợp cụ thể, nội địa hóa có thể khác nhau tất nhiên.

— simhumileco
nguồn