Неэкспортируемый сертификат в nginx

0

1

Добрый день! Подскажите, можно ли как-то в linux разместить ssl сертификат для nginx'a, но так чтоб его нельзя было выгрузить, просмотреть, перекопировать или экспортировать? На сервак имеет доступ вендор через учетку с полными sudo-правами, вот от него поставили задачу уберечь этот серт, но при этом, чтоб nginx успешно мог работать с этим сертификатом.

Ссылка

←	Проблема с postfix

ubuntu 14.04-vlan-dhcp прошу помощи

→

Ограничить права на sudo у вендора (легко), либо ограничить его через selinux (сложно). Так или иначе, полного доступа у него не должно быть.

Deleted
(06.02.18 07:20:42 MSK)

Ответ на: комментарий от Deleted 06.02.18 07:20:42 MSK

Да, вот после написания поста, так и подумал) не заморачиваться, а сделать по sudo ограничения

amkgi
(06.02.18 07:37:16 MSK) автор топика

Ссылка

План:
1) Выдать кому-то полный доступ к серверу
2) Попытаться техническими средствами запретить ему делать что-то-там
Офигенный план.

Но если всё-таки очень хочется оставить полный доступ к системе, но не давать доступ к сертификату то фокус в том чтобы убрать сертификат из системы. Можно это сделать круто и дорого: перенести криптографию в специализированную железку не позволяющую доставать из ней закрытые ключи. А можно проще: делать ssl offload в другой системе

MrClon ★★★★★
(06.02.18 07:47:50 MSK)

Ответ на: комментарий от MrClon 06.02.18 07:47:50 MSK

Это называется - недалекие менеджера проектов. Я лишь исполнитель и уже устал бодаться с этим sudo! Ранее я еще как-то пытался заставлять их составлять с вендорами или подрядчиками списки команд и прочего, что им может понадобиться через sudo, но выходило боком потом именно мне, поскольку: «почему не сдан во время проект? Админ не выдал права на такие-то вещи подрядчику!» Хотя сам подрядчик дурак и предоставил не полные списки. А руководству это до фени, вот и я в итоге забил и сказал, что раз никто не заморачивается, я с себя тоже ответственность снимаю, пускай делают чо хотят, спрашивайте потом с них, а не с меня. И никто возражать не стал, так и живем! =(
За SSL offload как раз спасибо)

amkgi
(07.02.18 06:39:23 MSK) автор топика

Ответ на: комментарий от amkgi 07.02.18 06:39:23 MSK

Вообще говоря если сторонний васян должен делать в системе что-то нетривиальное, не сводящееся к использованию конечного списка безопасных интерфейсов, и избежать этой ситуации нельзя, то полный доступ к системе это пожалуй необходимость. Но систему эту стоит максимально изолировать от остального мира, оставив только то что нужно (например 22 порт для управления и 80 порт чтобы пробрасывать на неё те запросы которые одна должна обслуживать), остальное не пропускать. Пусть васян делает в своей песочнице что хочет, нас интересуют только внешние интерфейсы этой песочницы

MrClon ★★★★★
(07.02.18 09:29:49 MSK)

Ответ на: комментарий от MrClon 07.02.18 09:29:49 MSK

Сейчас таким образом и поступили. Просто теперь для веба стал нужен этот сертификат, который нужно положить на этот сервак. Но сделаем теперь через SSL offload.

amkgi
(07.02.18 12:19:32 MSK) автор топика