Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 28/01/2016, à 15:32

Martoni35220

[Serveur&SSL] - lecture de la clé privée

Bonjour,

Pour des raisons de sécurité, on peut préciser que la configuration des fichiers openssl par défaut se compose comme ceci :
root@home00:/etc/ssl# ls -lrt
total 36
drwx--x--- 2 root ssl-cert  4096 juin  17  2015 private
drwxr-xr-x 2 root root     20480 juin  17  2015 certs
-rw-r--r-- 1 root root     10836 juil.  1  2015 openssl.cnf
root@home00:/etc/ssl/private# ls -lrt
total 4
-rw-r----- 1 root ssl-cert 1704 juin  17  2015 ssl-cert-snakeoil.key

On remarque qu'ici le groupe system "ssl-cert" est le groupe propriétaire pour les clés. En cas d'absence de ce groupe, on peut avoir le groupe de root.
Pour apache, par exemple, on peut utiliser ce type de configuration des répertoires certificat et clé.
    # chown root: /etc/apache2/ssl/*
    # chmod 644 /etc/apache2/ssl/*
    # chmod 600 /etc/apache2/ssl/monsite.dom-key.pem
La clé privée monsite.dom-key.pem sera en droit de lecture seulement pour root.
Source : https://www.certificats-ssl.com/support … httpd.html

Si nous avons ce type de configuration, comment APACHE peut lire la clé privée pour la bonne exécution du chiffrement ?

Hors ligne

#2 Le 29/01/2016, à 09:52

bruno

Re : [Serveur&SSL] - lecture de la clé privée

Bonjour,

Le processus parent (processus de contrôle) d'apache est exécuté en tant que root, il peut donc lire les clefs appartenant à root. Les processus enfants (qui servent es pages web aux clients) sont exécutés (par défaut) en tant que www-data.

Hors ligne

#3 Le 29/01/2016, à 11:21

Martoni35220

Re : [Serveur&SSL] - lecture de la clé privée

Bonjour,

Merci pour cette explication.

Par contre, peux tu m'expliquer le processus parent (processus de contrôle) d'apache est exécuté en tant que root ?
Quel est ce processus parent ou processus de contrôle ?

On est d'accord, que le lancement d'apache se fait par le lancement du script dans /etc/init.d.
Ce script est lancé par init qui est un programme géré par le system, et non l'utilisateur root.
Enfin, ce programme init, est lancé par le noyau...

Désolé mais je ne fais pas la relation....peux tu m'apporter des explications supplémentaires ?

Hors ligne

#4 Le 29/01/2016, à 14:38

bruno

Re : [Serveur&SSL] - lecture de la clé privée

Martoni35220 a écrit :

Bonjour,

Merci pour cette explication.

Par contre, peux tu m'expliquer le processus parent (processus de contrôle) d'apache est exécuté en tant que root ?
Quel est ce processus parent ou processus de contrôle ?

On est d'accord, que le lancement d'apache se fait par le lancement du script dans /etc/init.d.

Oui, ou via systemd, mais là n'est pas la question. Ces scripts sont lancés par l'utilisateur root.

Dans le cas d'Apache le premier processus est donc lancé en tant que root, c'est lui qui charge et interprète les différents fichiers de configuration.

Apache utilise ensuite un MPM (module multi processus) qui lance et gère les processus enfants pour servir les pages web. Ces processus sont lancé par défaut en tant qu'utilisateur système www-data.
Sur une installation de base d'Apache sous Ubuntu c'est le MPM prefork qui est utilisé.

Hors ligne

Pages : 1