Как открыть файлы сертификатов Letsencrypt среди нескольких демонов с разными именами групп

Несколько приложений-демонов хотели бы получить доступ к одним и тем же ключам сертификатов TLS (или цепочки, или закрытым).

  • NGINX хочет получить доступ к /etc/letsencrypt/live/example.org/privkey.pem
  • Так же как и Apache.
  • И СВЯЗАТЬ.
  • И мой любимый пакет [sftdyn] Github.

И все они запускают своих демонов с разными GID и именами групп.

Мои попытки защитить личный ключ безопасным способом, но при этом делиться им с разными демонами (имеющими собственный GID), используя следующие различные подходы (и некоторые из них позже):

  1. Установить разрешение файла "Blaze of Glory" chmod a+rwx, Это было отменено, потому что он открывает секретный файл privkey.pem для всей файловой системы.

  2. Создать новую группу keys и добавить nginx, apache, named (или же bind), а также sftdyn группа к keys группа в /etc/group (или используя adduser nginx keys). Используйте новый keys группа по файлам PEM. Затем ограничьте разрешение файлов PEM с помощью chmod 0640,

  3. использование setfacl,

Какой из 2 или 3 лучше всего решить эту непростую проблему?

Источник

1 ответ

Решение

Со стороны системного администратора я твердо верю в "будь проще" и говорит, что делать это можно через группу "ключей" (или ssldaemons, или как ты хочешь это назвать - я думаю, что имена групп должны описывать членство или цель, если это возможно) и регулярные старые скучные разрешения файловой системы.

С другой стороны, если вы уже используете списки ACL, то использование только одного или трех правил ACL будет лучше соответствовать стилю вашего рабочего потока / политики / администрирования.

Если вы еще не используете ACL, я бы не пошел по этому пути - не нужно делать вещи слишком сложными. Если, конечно, вам не нужно оправдание руководству, чтобы сделать это:)

Источник
Другие вопросы по тегам