stunnel i certyfikaty
Maciek Pasternacki
maciekp w japhy.fnord.org
Czw, 22 Kwi 2004, 14:06:50 CEST
On Pungenday, Discord 40, 3170 YOLD, Paweł Gołaszewski wrote:
>> Certyfikat nie jest plikiem z danymi, nie jest zmieniany przez program
>> (program nawet nie powinien mieć praw zapisu do certyfikatu), nie trzyma
>> ,,stanu'' (przynajmniej nie bardziej niż np. httpd.conf czy shadow) i
>> generalnie jest tworzony i zapisywany przez administratora, nie przez
>> sam program. Chyba żeby jako wyznacznik przyjąć to, że nie jest pisany
>> przez administratora bezpośrednio w $EDITOR, a generowany przez program,
>> a to już IMO naciąganie...
>
> ... więc gdzie byś go umieścił?
> Bo /etc/ nie pasuje - to są rzeczy konfiguracyjne, a certyfikat jest taką
> samą konfiguracją jak każda binarka IMvHO. Z drugiej strony - trzeba mieć
> możliwość zapisania jej i podmienienia. /var/costam najlepiej pasuje...
Dlaczego według Ciebie nie jest to część konfiguracji?
I czemu w takim razie host keys openssh są w /etc/ssh/?
Właśnie jak na moje rozumienie FHS, jak najbardziej pasuje do /etc;
nie jest to plik ,,należący do programu'' (plik, którym program
manipuluje podczas normalnej pracy). Certyfikaty są zakodowane w PEM,
więc nie są binarne (chociaż takie np. ld.so.cache też w /etc siedzi,
ale to już przypadek szczególny).
Możliwość zapisania i podmieniania powinien mieć administrator (co
czyni rzadko), a nie program, a to dla danych, na których operuje
program, jest przewidziane /var.
Poza tym, względy praktyczne: w sytuacji, w której chcę mieć /etc
read-only, dotyczy to też certyfikatu. Certyfikaty wolę mieć
backupowane razem z resztą konfigów (bo są częścią konfiguracji, a nie
stanem programu), a nie razem z np. dumpem bazy albo logami.
--
__ Maciek Pasternacki <maciekp w japhy.fnord.org> [ http://japhy.fnord.org/ ]
`| _ |_\ / { ...ludzie mówią, mówią, mówią -- oni mówią, że jest dobrze,
,|{-}|}| }\/ że to zwykła noc przed końcem i nie warto kłaść się spać...
\/ |____/ ...tutaj, tutaj, tutaj wesoło... } ( L. Janerka ) -><-
-------------- następna część ---------
Załącznik, który nie był tekstem został usunięty...
Name: nie znany
Type: application/pgp-signature
Size: 188 bytes
Desc: nie znany
Url : /mailman/pipermail/pld-devel-pl/attachments/20040626/b21c298c/attachment.bin
Więcej informacji o liście dyskusyjnej pld-devel-pl