지금은 ssh를 통해 액세스하려는 우분투 12.04.3 서버를 설치했습니다. 이런 이유로 나는 개인 키를 만들었습니다.
/etc/ssl/private/
왜 이미 개인 키가 있는지 궁금 ssl-cert-snakeoil.key합니다. 이 개인 키는 어디에 사용되며 삭제할 수 있습니까?
답변
ssl-snakeoil.key는 ssl-cert 패키지 설치 후 스크립트로 작성된 키입니다. snakeoil 사용자를 위해 작성되었으며 삭제해서는 안됩니다 .
grep '#' /var/lib/dpkg/info/ssl-cert.postinst
#!/bin/sh -e
# Create the ssl-cert system group for snakeoil ownership:
# Check if the generated snakeoil key/cert has been generated
# from a vulnerable openssl version and replace it if necessary.
# check if the cert and key file exist,
# the issuer and subject are the same (self signed cert)
# and the private key is vulnerable
# no need to perform any check. If the certificates are there
# it will exit 0.
# allow group ssl-cert to access /etc/ssl/private
# If we're upgrading from an older version, fix the unreadable key:
이제 ssl-cert 패키지는 무엇입니까?
이 패키지는 SSL 인증서를 작성해야하는 패키지의 무인 설치를 가능하게합니다.
올바른 사용자 변수를 제공하는 OpenSSL의 인증서 요청 유틸리티를위한 간단한 래퍼입니다.
따라서 SSL 인증서를 작성해야하는 패키지를 설치하는 데 사용되는 인증서이므로 시스템은이 패키지를 설치하여 즉시 인증서를 생성합니다.
참고로이 패키지는 데비안에도 포함되어 있기 때문에 우분투에서만 사용할 수있는 것은 아닙니다.
답변
서버의 데비안 기반 OS가 설치 될 때 생성되는 서버 별 공개 및 개인 키 쌍입니다 (예 : 우분투).
다른 SSL 인증서가 설치 또는 구성되어 있지 않지만 암호화 된 통신이 사용 가능하고 원하는 경우에 사용됩니다.
트래픽을 안전하게 암호화하는 동안 루트 권한 서명이 없기 때문에 안전하지 않으며 ‘snakeoil’이라는 이름으로 가장 단순한 MITM (Man-in-the-Middle) 공격에 취약합니다.
웹 사이트 관리자는 실제로 자신의 HTTPS 키에 사용하는 것과 같이 CA에서 올바르게 서명 된 키를 사용하여 snakeoil 키를 참조하는 서비스를 재구성해야합니다.
