Bug 30360

Summary: Приватные ключи SSL доступны для всеобщего чтения
Product: ALT Linux Centaurus Reporter: Стас <stas.grumbler>
Component: Ошибки работыAssignee: Anton V. Boyarshinov <boyarsh>
Status: CLOSED NOTABUG QA Contact: QA p6 <qa-p6>
Severity: normal    
Priority: P3 CC: cas
Version: 7.0.3   
Hardware: all   
OS: Linux   

Description Стас 2014-09-28 16:51:01 MSK 
Вот такие права доступа у всех файлов в каталоге /var/lib/ssl/private/:
-rw-r--r-- root root

Оптимально сделать группу у каждого файла свою - такую, чтобы соответствующий демон мог прочитать ключ, и сделать для "other" запрет чтения файла.

То есть делаем `su root -c "chmod 640 /var/lib/ssl/private/*"`
Для dovecot.*  оставляем владельца root:root,
для postfix делаем root:postfix (я не проверял, возможно, демон прочитает и с владельцем root:root),
для остальных соответсвенно EUID демона.
Comment 1 Andrey Cherepanov 2014-09-29 11:12:42 MSK 
[cas@cas ~]$ ll -d /var/lib/ssl/private/
drwx------ 2 root root 4096 июн  5 18:07 /var/lib/ssl/private/
[cas@cas ~]$ cat /var/lib/ssl/private/ahttpd.pem
cat: /var/lib/ssl/private/ahttpd.pem: Отказано в доступе

Смотрите права на каталог /var/lib/ssl/private/.