Где хранить закрытые ключи openssl на сервере Linux?

Question

У меня есть частный ключ SSL на моем VPS, который используется несколькими приложениями (Apache, Postfix и т.д.). Проблема в том, что я не могу точно установить разрешения на 0600 (-rw-------), потому что эти различные приложения работают как разные пользователи (www-data, vmail и т.д.). Как ни странно, Apache каким-то образом способен читать его, но Postfix запускал бомбу всякий раз, когда я пытался отправить почту через SSL-порт 465, и я обнаружил, что это из-за разрешений на ключ.

Есть ли соглашение по безопасности о том, как справиться с этим? Я просто делаю дубликаты этого ключа SSL и помещаю его в разные места, разбивая его на каждого пользователя / группу, которым он нужен?

Answer 1

Есть несколько способов справиться с этим. Во-первых, я должен упомянуть, что все другие программы, которым нужно читать ключи, обычно запрещают только other доступ - иными словами, разрешения типа 640 (rw-r-----) обычно в порядке.

Имея это в виду, некоторые методы:

1. Сделайте сертификат полностью принадлежащим какой-либо программе, скажем, apache: www-data: www-data , и с разрешениями 640 . Сделайте несколько других программ, которым нужно прочитать сертификат, чтобы быть членами группы www-data . Вероятно, это наиболее удобный, но наименее безопасный метод, поскольку он потенциально открывает нежелательные привилегии для процессов, у которых его изначально не было.

2. Создайте сертификат, принадлежащий apache, но в группе vmail: www-data: vmail и разрешения 640 . Таким образом, apache может читать его как владельца, а vmail может читать как члена группы. Это немного более безопасно, но не выходит за рамки 2 программ.

3. Создайте скрипт для копирования оригинального сертификата на несколько целевых и измените разрешения для каждого. Этот подход, вероятно, наиболее безопасный и хорошо масштабируется, но создает копии. И нет, вы не можете создавать жесткие ссылки, потому что все жестко связанные файлы имеют общих владельцев и разрешения.