Apache SSLディレクトリ、証明書、およびキーのアクセス許可はどうあるべきですか?

50

フォルダーに自分cert.pemcert.keyファイルがあり/etc/apache2/sslます。

最も安全な許可と所有権は次のとおりです。

  1. /etc/apache2/ssl ディレクトリ

  2. /etc/apache2/ssl/cert.pem ファイル

  3. /etc/apache2/ssl/cert.key ファイル

https://もちろんアクセス作品を保証する:)。

おかげで、

JP

apache-2.2  security  permissions  ssl  file-permissions 
意志
ソース

回答:

69

ディレクトリのアクセス許可は700、すべてのファイルのファイルのアクセス許可は600、ディレクトリとファイルはルートが所有する必要があります。

マイク・スコット
ソース
5
ありがとう。これは動作します。一つのこと-ファイルは、Apacheデーモンを起動するルートによってのみ読み込まれる必要があると思います。ファイルに「書き込み」アクセス許可を与える必要があるのはなぜですか?
23
証明書の有効期限が切れて更新する必要があるため、ファイルを定期的に更新する必要があります。また、ファイルを書き込み可能にすることで実際のセキュリティ上のリスクがないため、ファイルの寿命がわずかに単純になります。日常的に使用するために読み取り可能である必要はないため、更新時にそれらをいじる必要がない場合は、400個のアクセス許可(およびディレクトリで500個)を使用できます。
マイクスコット
5
公式のApache Docsは、MikeのSSLに関する最初の提案に同意せず、コメントの2番目の提案に進みます。
メッシュフィールド
5
所有者は何をすべきですか?
ジョンバチャー
sslについての「公式のApacheドキュメント」はどこで見つけましたか?
user9
0

最も重要なのは、*.keyファイルがrootSSL / TLS Strong Encryption:FAQのみによって読み取り可能であることを確認することです

私の経験では、証明書の他のファイル(*.crtたとえば)でも実現できます。

したがってroot、ディレクトリとそのファイルの唯一の所有者としてを設定する必要があります。

$ chown -R root:root /etc/apache2/ssl

そして、このローカライズに対して最も制限の厳しい許可を設定できます。

$ chmod -R 000 /etc/apache2/ssl

ある特定のケースでは、ローカライズはもちろん異なる場合があります。

シムヒレコ
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.