J'ai mes fichiers cert.pem et cert.key dans le dossier /etc/apache2/ssl.
Quelles seraient les autorisations et la propriété les plus sécurisées de :
le répertoire /etc/apache2/ssl
le fichier /etc/apache2/ssl/cert.pem
le fichier /etc/apache2/ssl/cert.key
(En s'assurant bien sûr que l'accès en https:// fonctionne :).
Merci,
JP
Merci. Cela fonctionne. Une chose - je suppose que seuls les fichiers doivent être lus par root qui lance le démon apache. Pourquoi avons-nous besoin de donner des autorisations "d'écriture" au fichier?
Les fichiers devront être mis à jour périodiquement, car vos certificats expirent et doivent être renouvelés, et comme il n'y a aucun risque de sécurité réel à les rendre inscriptibles, cela simplifie un peu la vie. Ils n'ont pas besoin d'être lisibles pour une utilisation quotidienne, donc vous pouvez utiliser des autorisations à 400 (et 500 sur le répertoire) si cela ne vous dérange pas de devoir y toucher lors du renouvellement.
Il convient de noter que la documentation officielle d'Apache ne est pas d'accord avec les suggestions initiales de Mike sur SSL et va avec sa deuxième suggestion ici dans les commentaires.
*Le plus important est de s'assurer que les fichiers `.keyne peuvent être lus que parroot`** (Chiffrement SSL/TLS fort : FAQ).
D'après mon expérience, cela pourrait également s'appliquer à d'autres fichiers des certificats (comme par exemple *.crt).
Nous devrions donc définir root comme seul propriétaire du répertoire et de ses fichiers :
$ chown -R root:root /etc/apache2/sslEt nous pouvons définir les autorisations les plus restrictives pour cette localisation :
$ chmod -R 000 /etc/apache2/sslDans certains cas particuliers, la localisation peut bien sûr être différente.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
