¿Cuáles deberían ser los permisos del directorio, certificado y clave de Apache SSL?

50

Tengo mis archivos cert.pemy cert.keyen /etc/apache2/sslcarpetas.

¿Cuáles serían los permisos y la propiedad más seguros de:

  1. /etc/apache2/ssl directorio

  2. /etc/apache2/ssl/cert.pem archivo

  3. /etc/apache2/ssl/cert.key archivo

(Garantizar el https://acceso funciona, por supuesto :).

Gracias,

JP

apache-2.2 security permissions ssl file-permissions Será
fuente

Respuestas:

69

Los permisos de directorio deben ser 700, los permisos de archivo en todos los archivos deben ser 600 y el directorio y los archivos deben ser propiedad de root.

Mike Scott
fuente
55
Gracias. Esto funciona. Una cosa: supongo que los archivos solo necesitan ser leídos por la raíz que inicia el demonio apache. ¿Por qué necesitamos otorgar permisos de "escritura" al archivo?
23
Los archivos deberán actualizarse periódicamente, ya que sus certificados caducan y deben renovarse, y dado que no existe un riesgo real de seguridad al hacer que se puedan escribir, la vida es un poco más simple. No necesitan ser legibles para el uso diario, por lo que puede usar 400 permisos (y 500 en el directorio) si no le importa tener que jugar con ellos en el momento de la renovación.
Mike Scott
55
Cabe señalar que los documentos oficiales de Apache no están de acuerdo con las sugerencias originales de Mike sobre SSL y van con su segunda sugerencia aquí en los comentarios.
meshfields
66
¿Cuál debe ser el dueño?
John Bachir
¿Dónde encontraste los "documentos oficiales de Apache" sobre SSL
User9
0

Lo más importante es asegurarse de que los *.keyarchivos solo sean legibles porroot ( SSL / TLS Strong Encryption: FAQ ).

Mi experiencia es que podría realizarse también a otros archivos de los certificados (como *.crtpor ejemplo).

Por lo tanto, debemos establecer el rootcomo el único propietario del directorio y sus archivos:

$ chown -R root:root /etc/apache2/ssl

Y podemos establecer los permisos más restrictivos para esta localización:

$ chmod -R 000 /etc/apache2/ssl

En algún caso particular, la localización puede ser diferente, por supuesto.

simhumileco
fuente