Re: apache e certificato (perplessità)
> In altre parole, attento al falso senso di sicurezza. > L'unico caso che mi vien in mente e potrebbe essere logico è che tu > vuoi far partire quel server solo tu. ma a questo punto non lo metti > più in avvio e semplicemente lo avvie quando sei pronto a mettere la > password. CIAO ! Non sono convinto che questa metodologia innalzi il fattore di sicurezza del sistema, bensì che lo startup del demone "digitando una password" crei una sensazione di FALSA sicurezza addizionale in "root". Se i permessi del certificato sono corretti, dovrebbe bastare, se mantieni la macchina aggiornata, ecc. ecc. se non si fanno cavolate nelle configurazioni, se si ha una sana e giustificata paranoia, poi, se non basta, potresti studiarti (cosa che io non ho fatto ma sempre vorrei) SELinux. Trovo che ci siano soluzioni più efficaci per sicurizzare un sistema oltre gli standard, se davvero se ne ha necessità, ancora trovo che proteggere i certificati con un sistema simmetrico allo startup del demone dia solo una falsa sicurezza. IMHO Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20130521161644.m65...@corep.it
Re: apache e certificato (perplessità)
On Thu, 16 May 2013, mauro wrote: non per essere rompi balle, pero' posso immaginare questo: hai un server con certificati ssl. Non so' in che contesto tu lavori, quindi cerco di ragionare sulla mia esperienza. all'interno del server un tuo cliente, collegato via https utilizza un sito bacato, oppure ha a sua volta il pc compromesso o tutt'e due. il tuo server e' gia' un pezzo in avanti per rischiare la sua integrita'. In altre parole, attento al falso senso di sicurezza. L'unico caso che mi vien in mente e potrebbe essere logico è che tu vuoi far partire quel server solo tu. ma a questo punto non lo metti più in avvio e semplicemente lo avvie quando sei pronto a mettere la password. -- Leonardo Boselli -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/alpine.deb.2.00.1305211138420.17...@dipolo.dicea.unifi.it
Re: apache e certificato (perplessità)
Il giorno 16/mag/2013, alle ore 15:21, Pol Hallen ha scritto: > documentandomi mi sbilancio un pò ad avere una maggiore sicurezza MA più > interventi fisici... allora possiamo argomentare a volonta'. la sicurezza non e' nel mettere o non mettere la password del certificato ssl all'avvio del server ma fare in modo che su quel server non entri nessuno ne' via rete ne via hardware. regola 1: se un server e' fisicamente accessibile, la sicurezza va a belle signore. regola 2: un certificato ssl garantisce il server e garantisce la comunicazione, ma di per se' garantisce solo una parte di tutto il discorso sicurezza. regola 3: anche non usando ssl puoi avere un server ragionevolmente sicuro. non per essere rompi balle, pero' posso immaginare questo: hai un server con certificati ssl. Non so' in che contesto tu lavori, quindi cerco di ragionare sulla mia esperienza. all'interno del server un tuo cliente, collegato via https utilizza un sito bacato, oppure ha a sua volta il pc compromesso o tutt'e due. il tuo server e' gia' un pezzo in avanti per rischiare la sua integrita'. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/681187d6-c262-4491-a135-f0fed70e5...@nonsolocomputer.com
Re: apache e certificato (perplessità)
> La perplessità nel subject mi lascia perplesso. Credimi, non è normale. > Hai mai visto un sistemista con "n" macchine che in seguito ad un riavvio > deve digitare la password dei vari certificati SSL ? documentandomi mi sbilancio un pò ad avere una maggiore sicurezza MA più interventi fisici... > Non è normale... vuol dire farsi del male, parliamone. :-D grazie Pol -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/201305161118.30950.polhal...@fuckaround.org
Re: apache e certificato (perplessità)
> La perplessità nel subject mi lascia perplesso. Credimi, non è normale. > Hai mai visto un sistemista con "n" macchine che in seguito ad un riavvio > deve digitare la password dei vari certificati SSL ? documentandomi mi sbilancio un pò ad avere una maggiore sicurezza MA più interventi fisici... > Non è normale... vuol dire farsi del male, parliamone. :-D grazie Pol -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/201305161527.43150.polhal...@fuckaround.org
Re: apache e certificato (perplessità)
> La perplessità nel subject mi lascia perplesso. Credimi, non è normale. > Hai mai visto un sistemista con "n" macchine che in seguito ad un riavvio > deve digitare la password dei vari certificati SSL ? documentandomi mi sbilancio un pò ad avere una maggiore sicurezza MA più interventi fisici... > Non è normale... vuol dire farsi del male, parliamone. :-D grazie Pol -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/201305161521.03424.polhal...@fuckaround.org
Re: apache e certificato (perplessità)
>Consapevole che al riavvio di apache devo inserire la > passphrase (idem al riavvio del server). Pol... La perplessità nel subject mi lascia perplesso. Credimi, non è normale. Hai mai visto un sistemista con "n" macchine che in seguito ad un riavvio deve digitare la password dei vari certificati SSL ? Non è normale... vuol dire farsi del male, parliamone. :) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20130515154329.m20...@corep.it
Re: apache e certificato (perplessità)
> PS: è ovvio che posso mettere apache come ultimo servizio S99 o gestirmela > in modo diverso... che poi: il problema si risolve solo in parte: se metto S99apache anzichè S10apache e successivamente installo un qualche daemon (che casualmente viene messo anche lui in S99) init cosa avvia per primo? S99apache o (esempio) S99uptimed? va in ordine alfabetico? mi sembra una soluzione troppo grezza per un OS debian grazie! Pol -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/201305151310.45133.debitv...@fuckaround.org
apache e certificato (perplessità)
Ciao a tutti :-) recentemente ho installato apache2-ssl con un certificato con passphrase. Consapevole che al riavvio di apache devo inserire la passphrase (idem al riavvio del server). La perplessità è questa: in rc2.d apache è come S10 quando ho riavviato, mentre venivano eseguiti gli script nel runlevel, apache ha chiesto la passphrase - fin qui tutto ok. Quello che mi lascia stupito è che tutti i servizi successivi a S10 non sono stati avviati :-O Pensavo ci fosse un qualcosa tipo timeout o altro e continuasse ad avviare gli script... invece no :-((( grazie! PS: è ovvio che posso mettere apache come ultimo servizio S99 o gestirmela in modo diverso... Pol -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/201305151300.58985.debitv...@fuckaround.org
