@Fixid

Как безопасно хранить SSL сертификаты в Linux?

Добрый день, как максимально безопасно хранить SSL сертификаты в Linux?
На Ubuntu использую зашифрованный .key файл, Nginx при старте запрашивает пароль. Схема вроде бы устойчивая от кражи и компрометации.
На Debian 8 начинай с Nginx 1.6 убрали поддержку зашифрованных .key файлов, пароль пришлось снять.
Как теперь правильно хранить сертификат? Где, с какими правами и в каком виде?
Обычно рекомендуется chmod 600 на файлы
  • Вопрос задан
  • 986 просмотров
Пригласить эксперта
Ответы на вопрос 2
CityCat4
@CityCat4
У тролля даже мозги - и то каменные!
Зашифрованный key-файл - паранойя и лишние трудности. В CentOS оно хранится в /etc/pki/tls/private. Права на каталог 0700, на все ключи - 0400. Если Вы не полагаетесь на права, значит предполагаете, что Вас хакнули на уровне ядра. Если это на самом деле так - тут бесполезно все. Поэтому храните в расшифрованном виде там где по layout-у они должны лежать с правами 0400 на файлы и 0700 на каталог - и не заморачивайтесь.
Ответ написан
Gem
@Gem
могу предложить:
1. Копать в сторону криптопровайдера NSS - у него есть свои контейнеры
2. SELinux или прочие схемы усиления контроля доступа
3. Хуки с криптоконтейнерами aka LUKS
4. Аппаратные токены pkcs11 (не подскажу на счёт nginx)
так или иначе нужно будет делать обвязку
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы