Я пытаюсь настроить безопасное соединение (https) в nginx.
Но я немного беспокоюсь о разрешениях закрытого ключа, которые не упоминаются ни в одном учебнике.
Должен ли я изменить их? К чему?
Я пытаюсь настроить безопасное соединение (https) в nginx.
Но я немного беспокоюсь о разрешениях закрытого ключа, которые не упоминаются ни в одном учебнике.
Должен ли я изменить их? К чему?
Ответы:
Закрытые ключи должны иметь строго ограниченное чтение. Настройка разрешений 600
и принадлежность root
должны работать. Однако есть и другие параметры безопасных разрешений - Ubuntu хранит ключи в каталоге с владельцем, root
группой ssl-cert
и разрешениями 710
. Это означает, что только члены ssl-cert
могут иметь доступ к любым файлам в этом каталоге. Закрытые ключи имеют группу ssl-cert
, владельца root
и разрешения 640
.
У меня была проблема с настройкой nginx, и я столкнулся с этим вопросом. Другой ответ здесь уже напрямую ответил на вопрос, но я подумал, что немного больше информации будет полезно.
Обычно nginx запускается root
пользователем как init-скрипты / systemd. Однако nginx также может переключаться на менее привилегированного пользователя для нормальной работы. Итак, мой вопрос был, какой пользователь используется для загрузки сертификата / ключа ssl? Начальный привилегированный пользователь или тот, на которого переключаются?
К счастью, nginx использует начальные разрешения для чтения сертификата и ввода ключа в память перед переключением пользователей. Поэтому обычно вы можете оставить ключи с очень ограниченными разрешениями, так как они загружаются nginx, когда он все еще работает как root
.
Проблема, с которой я столкнулся, которая привела меня сюда, заключалась в том, что я определял ssl_certificate
только в своих server
блоках nginx.conf
. Я получал ошибки, как [error] 18606#18606: *311 no "ssl_certificate" is defined in server listening on SSL port while SSL handshaking
когда я знал, чертовски хорошо, что мои ключи были в нужном месте. Эта проблема заключалась в том, что у меня не было ssl_certificate
на http
уровне nginx.conf
.
Надеюсь, это полезно для кого-то.
nginx
группы. Веб-сервер сможет использовать их, даже если они доступны для чтения толькоroot
(как и должно быть).