Re: Is it a bad idea to start Apache with SSL by non-root?
新城@筑波大学情報です。こんにちは。
In article <bvbak7$2oge$1@news1.wakwak.com>
KATOH Yasufumi <karma@prog.club.ne.jp> writes:
> ファイル名はなんとでも付けられるのでアレですが,server.key という名前
> からするとそれが秘密鍵です.というか設定で SSLCertificateKeyFileで指定
> されているのが隠すべきファイルで,SSLCertificateFileは公開鍵証明書です
> から隠す必要なしです.
そうですね。文脈としては、隠すべきものをどうするかという話な
ので、だいたい通じていたとは思います。
> そうですね.普通は root しか読めないようにしておきますものね (秘密鍵).
それを一般ユーザの権限(たとえば www )で読めるようにしたとす
ると、今度は、一般ユーザが cgi か何かで読み出しちゃうと。
suExec 使うと、この辺りは何とかなるんでしょう。
CGI でなくて ln -s でもいいかもしれないけれど。
秘密鍵を暗号化して置いておくと、今度は起動時に暗号を解くため
のパスワードを要求してくるから、運用上面倒です。
CGI はいいとして、PHP とか mod_perl とか怖い感じがしますが、
どうなんでしょうか。
\\ 新城 靖 (しんじょう やすし) \\
\\ 筑波大学 電子・情報 \\
Fnews-brouse 1.9(20180406) -- by Mizuno, MWE <mwe@ccsf.jp>
GnuPG Key ID = ECC8A735
GnuPG Key fingerprint = 9BE6 B9E9 55A5 A499 CD51 946E 9BDC 7870 ECC8 A735