パスフレーズで保護された SSL キーを使用した Apache 2 での logrotate によって引き起こされる障害
-
09-06-2019 - |
質問
Debian に Apache 2 をインストールし、mod_ssl をインストールしています。サーバーの秘密キーは、起動時に入力する必要があるパスフェーズによって保護されています。エラー ログとアクセス ログは、毎週ログローテーションの対象となります。logrotate の実行直後に、Apache がパスフレーズ関連のエラーでクラッシュすることがわかりました。
logrotate がログのアーカイブ後に Apache への SIGHUP を起動することは理解していますが、これがリロードとその後のサーバー キーのパスフレーズの取得失敗の原因になっているのではないかと考えています。
さて、私の理論はこれで十分ですが、ここで質問があります。
logrotate の実行時にクラッシュしないように、(パスフレーズをファイルのどこかに保存せずに) SSL サーバーキーをパスフレーズで保護できるように Apache を構成する「ベストプラクティス」の方法はありますか?
サーバーの起動時にユーザー入力を要求するのは問題ありませんが、再起動やリロードは要求しません。
解決
1 つのオプションは、Apache が提供するログ ローテーション ツールを使用することです。システムの logrotate とは構成が少し異なりますが、パイプで動作するため、Apache を再起動せずにファイルを移動できます。
他のヒント
使用できます クロノログ, 、ため息をつく必要はありません。以下に例を示します。
CustomLog "| /usr/sbin/cronolog /pathtologs/%Y_%m/sitename.com-%Y%m%d.log" combined
次のコマンドを使用してパスフレーズをオフにすることもできます。
openssl rsa -in example.tld.key -out example.tld.key
所属していません StackOverflow