Quelles devraient être les autorisations du répertoire SSL, du certificat et de la clé Apache?

50

J'ai mes fichiers cert.pemet cert.keydans des /etc/apache2/ssldossiers.

Quelles seraient les autorisations et la propriété les plus sécurisées de:

  1. /etc/apache2/ssl annuaire

  2. /etc/apache2/ssl/cert.pem fichier

  3. /etc/apache2/ssl/cert.key fichier

(Assurer l' https://accès fonctionne bien sûr :).

Merci,

JP

Volonté
la source

Réponses:

69

Les autorisations de répertoire doivent être 700, les autorisations de fichier sur tous les fichiers doivent être 600 et le répertoire et les fichiers doivent appartenir à root.

Mike Scott
la source
5
Merci. Cela marche. Une chose - je suppose que les fichiers n’ont besoin que d’être lus par la racine qui lance le démon apache. Pourquoi devons-nous accorder des autorisations "en écriture" au fichier?
23
Les fichiers devront être mis à jour périodiquement, car vos certificats expirent et doivent être renouvelés. Comme il n’existe aucun risque réel de sécurité pour les écrire, cela simplifie un peu la vie. Elles n'ont pas besoin d'être lisibles pour une utilisation quotidienne, vous pouvez donc utiliser 400 autorisations (et 500 sur l'annuaire) si vous ne vous dérangez pas de les modifier au moment du renouvellement.
Mike Scott
5
Il convient de noter que les documents officiels Apache Docs ne sont pas d'accord avec les suggestions originales de Mike concernant SSL et vont avec sa deuxième suggestion ici dans les commentaires.
Meshfields
6
Que devrait être le propriétaire?
John Bachir le
où avez-vous trouvé les "documents officiels Apache" sur ssl
utilisateur9
0

Le plus important est de vous assurer que les *.keyfichiers ne sont lisibles que parroot ( SSL / TLS Strong Encryption: FAQ ).

Mon expérience est que cela pourrait être réalisé aussi à d'autres fichiers des certificats (comme *.crtpar exemple).

Nous devrions donc définir le en roottant que seul propriétaire du répertoire et de ses fichiers:

$ chown -R root:root /etc/apache2/ssl

Et nous pouvons définir les autorisations les plus restrictives pour cette localisation:

$ chmod -R 000 /etc/apache2/ssl

Dans certains cas particuliers, la localisation peut bien sûr être différente.

Simhumileco
la source