Quais devem ser as permissões do diretório, certificado e chave SSL do Apache?

Eu tenho meus arquivos cert.peme cert.keyem /etc/apache2/sslpastas.

Quais seriam as permissões e a propriedade mais seguras de:

/etc/apache2/ssl diretório
/etc/apache2/ssl/cert.pem Arquivo
/etc/apache2/ssl/cert.key Arquivo

(Garantir o https://acesso funciona, é claro :)

Obrigado,

— Vai
fonte

Respostas:

As permissões de diretório devem ser 700, as permissões de arquivo em todos os arquivos devem ser 600 e o diretório e os arquivos devem pertencer à raiz.

— Mike Scott
fonte

Obrigado. Isso funciona. Uma coisa - acho que os arquivos só precisam ser lidos pela raiz que inicia o daemon apache. Por que precisamos conceder permissões de "gravação" ao arquivo?

Os arquivos precisarão ser atualizados periodicamente, pois seus certificados expiram e precisam ser renovados, e, como não há risco real de segurança para torná-los graváveis, torna a vida um pouco mais simples. Eles não precisam ser legíveis para uso no dia-a-dia; portanto, você pode usar 400 permissões (e 500 no diretório) se não se importar de ter que mexer com elas no momento da renovação.

— Mike Scott

Deve-se notar que o Apache Docs oficial não concorda com as sugestões originais de Mike sobre SSL e segue sua segunda sugestão aqui nos comentários.

— meshfields

Qual deve ser o dono?

— John Bachir

onde você encontrou o "Apache Docs oficial" sobre ssl

— user9

O mais importante é garantir que os *.keyarquivos sejam legíveis apenas porroot ( SSL / TLS Strong Encryption: FAQ ).

Minha experiência é que isso poderia ser realizado também para outros arquivos dos certificados (como *.crtpor exemplo).

Portanto, devemos definir rootcomo o único proprietário do diretório e de seus arquivos:

$ chown -R root:root /etc/apache2/ssl

E podemos definir as permissões mais restritivas para esta localização:

$ chmod -R 000 /etc/apache2/ssl

Em alguns casos específicos, a localização pode ser diferente, é claro.

— simhumileco
fonte