Loick.B wrote:
Bonjour � tous.
Migrant actuellement des serveurs sous Woody (avec apache *et* apache-ssl
tournant ensemble) vers Sarge, je m'essaye � l'installation de mod-ssl
propos�e par d�faut.
Pas de pb � l'installation, mais le serveur me demande d�sormais le mot de
passe du certificat au d�marrage du serveur.
Cela m'ennuie car la situation devient bloquante lors d'un boot du serveur (le
script d'init ne transmet pas le mdp mais garde la main, m'emp�chant
d'intervenir et gelant le boot)...
Je souhaiterai donc savoir si il est possible;
1. De passer automatiquement le mot de passe au d�marrage (de cette fa�on et
en cas de shutdown auto de la machine, le serveur apache red�marrera seul).
2 De g�n�rer les certifs sans mot de passe (ce qui n'est pas possible par
d�faut).
Je dois avouer que cette solution serait celle de la derni�re chance, car elle
ne me satisfait pas en terme de CQ... +
CQ ? Charte Qualit� ?
En fait, c'est normal de ne pas g�n�rer de mot de passe pour le
certificat du serveur: qu'est-ce que �a apporte de plus, au final ?
Si l'attaquant � acc�s au fichier: c'est qu'il a obtenu les privil�ges
root (parce que le fichier ne doit pas �tre lisible par n'importe qui
non plus). En outre, si jamais tu mets quand m�me un mot de passe, que
soit via l'option SSLPassPhraseDialog qui a �t� cit�e soit en la passant
au serveur au d�marrage (donc, en la stockant quelque part, en clair,
parce que jusqu'� preuve du contraire, je ne sais pas si tu peux faire
autrement, � moins de faire un script de d�marrage assez �volu�...),
le fameux mot de passe sera rapidemment accessible � ce m�me attaquant.
Morale de l'histoire: si tu veux que ce certificat assure bien de
l'int�grit� de ton serveur, assure-toi de sa s�curit�.
--
Rapha�l 'SurcouF' Bordet
http://debianfr.net/ | surcouf at debianfr dot net
