dso*_*len 0 web-server centos private-key
我必须配置许多网络服务器才能使用 HTTPS,我不会考虑任何“高安全性”,但我想至少涵盖基本的安全最佳实践。
我想知道我应该在哪里存储网络服务器支持 HTTPS 所需的私钥,以及我应该如何处理对它的访问?从我读到的使私钥无密码并取决于文件权限是不需要高安全性的 Web 服务器的标准。然而,任何 Web 服务器最可能的妥协角度是服务器本身的漏洞利用,导致任何有权访问该框的人已经对我的密钥进行了读取访问。有没有什么简单的方法可以减少这种威胁?
我也不确定在何处保存有关 centos 约定的密钥。看起来 /etc/pki 是我应该放置密钥的地方,但我不确定该目录中私钥/公钥通常存储在哪里,我不明白它的目录布局。我读过有关存储在 /etc/pki/private 中的私钥,但默认情况下它直接不存在,这让我想知道约定是否是创建目录或将密钥存储在其他地方。更重要的是,我读到的内容还说 /etc/pki/private 应该只能由 root 读取,但我的 Web 服务器不会以 root 身份运行,因此我需要将私钥存储在其他地方或打开对 /etc 的访问/pki/private 也适用于我的 Web 服务器。
小智 5
在现代版本的 CentOS 上,私钥的正常目录是/etc/pki/tls/private/,除了 root 之外,它不应该有任何权限。相应的公钥应该存储在/etc/pki/tls/certs.
如果您愿意,启用 SELinux、AppArmor 或其他一些 MAC(强制访问控制)应该有助于防止任何网络漏洞访问您的私钥。
当然,没有什么可以阻止您将它们存储在其他地方,但是如果您正在使用 MAC ACL,则需要手动设置 MAC ACL。
| 归档时间: |
|
| 查看次数: |
5395 次 |
| 最近记录: |