Bug 30360 - Приватные ключи SSL доступны для всеобщего чтения
Summary: Приватные ключи SSL доступны для всеобщего чтения
Status: CLOSED NOTABUG
Alias: None
Product: ALT Linux Centaurus
Classification: Distributions
Component: Ошибки работы (show other bugs)
Version: 7.0.3
Hardware: all Linux
: P3 normal
Assignee: Anton V. Boyarshinov
QA Contact: QA p6
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2014-09-28 16:51 MSK by Стас
Modified: 2014-09-29 11:12 MSK (History)
1 user (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Стас 2014-09-28 16:51:01 MSK 
Вот такие права доступа у всех файлов в каталоге /var/lib/ssl/private/:
-rw-r--r-- root root

Оптимально сделать группу у каждого файла свою - такую, чтобы соответствующий демон мог прочитать ключ, и сделать для "other" запрет чтения файла.

То есть делаем `su root -c "chmod 640 /var/lib/ssl/private/*"`
Для dovecot.*  оставляем владельца root:root,
для postfix делаем root:postfix (я не проверял, возможно, демон прочитает и с владельцем root:root),
для остальных соответсвенно EUID демона.
Comment 1 Andrey Cherepanov 2014-09-29 11:12:42 MSK 
[cas@cas ~]$ ll -d /var/lib/ssl/private/
drwx------ 2 root root 4096 июн  5 18:07 /var/lib/ssl/private/
[cas@cas ~]$ cat /var/lib/ssl/private/ahttpd.pem
cat: /var/lib/ssl/private/ahttpd.pem: Отказано в доступе

Смотрите права на каталог /var/lib/ssl/private/.