LINUX.ORG.RU

Неэкспортируемый сертификат в nginx

 , ,


0

1

Добрый день! Подскажите, можно ли как-то в linux разместить ssl сертификат для nginx'a, но так чтоб его нельзя было выгрузить, просмотреть, перекопировать или экспортировать? На сервак имеет доступ вендор через учетку с полными sudo-правами, вот от него поставили задачу уберечь этот серт, но при этом, чтоб nginx успешно мог работать с этим сертификатом.


Ограничить права на sudo у вендора (легко), либо ограничить его через selinux (сложно). Так или иначе, полного доступа у него не должно быть.

slvrn ★★★ ()

План:
1) Выдать кому-то полный доступ к серверу
2) Попытаться техническими средствами запретить ему делать что-то-там
Офигенный план.

Но если всё-таки очень хочется оставить полный доступ к системе, но не давать доступ к сертификату то фокус в том чтобы убрать сертификат из системы. Можно это сделать круто и дорого: перенести криптографию в специализированную железку не позволяющую доставать из ней закрытые ключи. А можно проще: делать ssl offload в другой системе

MrClon ★★★★★ ()
Ответ на: комментарий от MrClon

Это называется - недалекие менеджера проектов. Я лишь исполнитель и уже устал бодаться с этим sudo! Ранее я еще как-то пытался заставлять их составлять с вендорами или подрядчиками списки команд и прочего, что им может понадобиться через sudo, но выходило боком потом именно мне, поскольку: «почему не сдан во время проект? Админ не выдал права на такие-то вещи подрядчику!» Хотя сам подрядчик дурак и предоставил не полные списки. А руководству это до фени, вот и я в итоге забил и сказал, что раз никто не заморачивается, я с себя тоже ответственность снимаю, пускай делают чо хотят, спрашивайте потом с них, а не с меня. И никто возражать не стал, так и живем! =(
За SSL offload как раз спасибо)

amkgi ()
Ответ на: комментарий от amkgi

Вообще говоря если сторонний васян должен делать в системе что-то нетривиальное, не сводящееся к использованию конечного списка безопасных интерфейсов, и избежать этой ситуации нельзя, то полный доступ к системе это пожалуй необходимость. Но систему эту стоит максимально изолировать от остального мира, оставив только то что нужно (например 22 порт для управления и 80 порт чтобы пробрасывать на неё те запросы которые одна должна обслуживать), остальное не пропускать. Пусть васян делает в своей песочнице что хочет, нас интересуют только внешние интерфейсы этой песочницы

MrClon ★★★★★ ()
Ответ на: комментарий от MrClon

Сейчас таким образом и поступили. Просто теперь для веба стал нужен этот сертификат, который нужно положить на этот сервак. Но сделаем теперь через SSL offload.

amkgi ()