https://mobile.opennet.me/openforum/vsluhforumID3/96766.html Доступен (http://mailman.nginx.org/pipermail/nginx-announce/2014/000141.html) новый выпуск основной ветки высокопроизводительного HTTP-сервера nginx 1.7.3 (http://nginx.org/), в котором продолжено развитие новых возможностей. В новой версии добавлена (http://nginx.org/en/CHANGES) директива ssl_password_file (http://nginx.org/ru/docs/http/ngx_http_ssl_module.html#ssl_password_file) для определения файла с паролями от секретных ключей. При возможности для ревалидации кэша теперь используется HTTP-заголовок If-None-Match. При изменении ответа слабые ETag (http://ru.wikipedia.org/wiki/HTTP_ETag) теперь сохраняются, а сильные ETag преобразуются в слабые.<br><br><br>URL: http://mailman.nginx.org/pipermail/nginx-announce/2014/000141.html<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=40163<br> https://mobile.opennet.me/openforum/vsluhforumID3/96766.html#25 Thu, 10 Jul 2014 14:00:18 GMT &gt; Ну и берешь убиваешь процесс и ждешь када подмонтируется фс<br><br>Необязательно автоматом, руками.<br><br>&gt; , а то <br>&gt; и сам подмонтируй, конечно если рут <br><br>Я про сетевую папку.<br>Можно примонтировать папку с отдельного сервера по sshfs, с авторизацией по паролю, или по ключу (с пробросом ключа с девелоперской машины, через ssh agent).<br><br>Т.е. все заводится на группу лиц, у которых есть права на доступ к хранилищу паролей.<br>Практический смысл - представьте, у вас 100-1000 ssl сертификатов и каждый будет запрашивать пароль.<br>Во первых, веб сервер будет стартовать долго, пока все пароли введете.<br>Во вторых, эти пароли надо откуда-то копипастить - все равно дырка.<br>Лучше держать их в отдельном месте, куда имеют доступ по ключу нужные люди.<br>И логировать каждое подключение, или монтирование.<br> https://mobile.opennet.me/openforum/vsluhforumID3/96766.html#24 Thu, 10 Jul 2014 09:16:28 GMT Это опять Systemd !!! :))<br><br>в общем хотелки пользователя:<br><br>http://trac.nginx.org/nginx/ticket/433<br> https://mobile.opennet.me/openforum/vsluhforumID3/96766.html#23 Wed, 09 Jul 2014 10:42:25 GMT &gt; Зачем такие сложности, когда в случае рута ключ можно и из памяти <br>&gt; nginx достать.<br><br>ну и смысл всего этого ? типа холивара - зачем хранить в файле пароли )))<br><br>а шо типа /etc/shadow не файл с хешами ?<br> https://mobile.opennet.me/openforum/vsluhforumID3/96766.html#22 Wed, 09 Jul 2014 10:36:37 GMT &gt; нуно, а если порутали то кранты ничего не спасёт.<br><br>NSA спасает! Ну, то есть SElinux. B) Там, где включён. И настроен.<br> https://mobile.opennet.me/openforum/vsluhforumID3/96766.html#21 Wed, 09 Jul 2014 10:32:38 GMT &gt; Ну, смотря как софтину сделать. Можно, например, приватные ключи хранить в памяти <br>&gt; шифрованными, а файлик с паролями при загрузке тоже шифровать случайным ключом, <br>&gt; для паролей были подальше друг от друга, то вероятность успешной компрометации <br>&gt; при аналоге heartbleed-а несколько снизится.<br><br>Хацкеры из скайпа ещё, если правильно помню, широуют код, расшифровывая его перед исполнением, загружают куски корабля-ностителя (сервера хозяев), перемешивают это всё указателями на функции и повторением всего вышеперечисленного и взбалтыванием.<br><br>А ещё еcть волшебные буквы drm/tpm.<br><br>Какое это всё имеет отношение к безопасности? Примерно такое же, как покупка голограмы-наклейки. Никому ж нельзя верить.<br> https://mobile.opennet.me/openforum/vsluhforumID3/96766.html#20 Wed, 09 Jul 2014 10:29:23 GMT опять таки приватный ключ с правами 777 лежать не будет - и нужен как минимум рут, систему рутать нуно, а если порутали то кранты ничего не спасёт.<br> https://mobile.opennet.me/openforum/vsluhforumID3/96766.html#19 Wed, 09 Jul 2014 10:22:38 GMT &gt; Если уперли приватный ключ, значить и файлик с паролями рядом, тоже самое и с уязвимостями типа хертблид<br><br>Ну, смотря как софтину сделать. Можно, например, приватные ключи хранить в памяти шифрованными, а файлик с паролями при загрузке тоже шифровать случайным ключом, генерируемым при запуске, и расшифровывать всё это дело только при необходимости (расшифровали -&gt; попользовались -&gt; затёрли рашифрованные данные). Если при этом [постараться] сделать так, чтобы участки памяти с приватными ключами, паролями и ключом для паролей были подальше друг от друга, то вероятность успешной компрометации при аналоге heartbleed-а несколько снизится.<br><br>Но, опять же, такое усиление безопасности, где пароли хранятся открытым текстом в отдельном файле, весьма условно. Классическая проблема "безопасность vs. удобство".<br> https://mobile.opennet.me/openforum/vsluhforumID3/96766.html#18 Wed, 09 Jul 2014 08:46:59 GMT Зачем такие сложности, когда в случае рута ключ можно и из памяти nginx достать.<br> https://mobile.opennet.me/openforum/vsluhforumID3/96766.html#17 Wed, 09 Jul 2014 08:23:24 GMT &gt;&gt; Если есть другие мнения, интересно их послушать.<br>&gt; Можно подумать про подмонтировать папку по sshfs, а после запуска - отмонтировать. <br>&gt; Хотя куча ssl сертификатов с ключами - узкое применение.<br>&gt; Наверное это актуально всяким хостерам/cdn/anti ddos сервисам, у которых куча ssl сертификатов <br>&gt; от клиентов.<br>&gt; "сделать клиентские сертификаты безпарольными" - это снижение безопасности, за которое <br>&gt; а-та-та.<br>&gt; А "подставлять пароли из файла" - разумная альтернатива, особенно если папку с <br>&gt; паролями монтировать только на время запуска.<br><br>Ну и берешь убиваешь процесс и ждешь када подмонтируется фс, а то и сам подмонтируй, конечно если рут<br>