Linux əməliyyat sistemlərində bir çox vacib sistem qovluqları mövcuddur. Bu qovluqlar sistemin təhlükəsiz və səmərəli işləməsinə xidmət edir. Onlardan biri də /etc/pki qovluğudur. /etc/pki əsasən təhlükəsizliklə bağlı faylların saxlandığı bir məkandır. Bu qovluq kriptoqrafik açarlar, sertifikatlar və sertifikat avtoritetlərinin məlumatları üçün istifadə edilir. Kriptoqrafiya məlumatların şifrələnməsi və təhlükəsiz mübadiləsi üçün əsas mexanizmdir. Linux sistemləri təhlükəsizlik üçün bu metodlardan istifadə edir. Məhz buna görə /etc/pki sistemi üçün vacib qovluqdur. Bu qovluq olmadan bir çox təhlükəsiz xidmətlər düzgün işləyə bilməz. /etc/pki əsasən Red Hat ailəsinə daxil olan sistemlərdə geniş istifadə olunur. Məsələn, RHEL, CentOS, Fedora kimi sistemlərdə bu qovluq mövcuddur. Bu qovluğun içərisində müxtəlif alt qovluqlar yerləşir. Hər bir alt qovluq fərqli təhlükəsizlik məqsədlərinə xidmət edir. Bu da təşkilatlanmış bir quruluş yaradır. İstifadəçilər və administratorlar üçün bu struktur faydalıdır. Çünki hər bir açar və sertifikat öz yerində saxlanılır. İndi isə bu qovluğun içindəki alt qovluqları izah edək. /etc/pki/tls/ qovluğu SSL və TLS üçün istifadə olunur. Burada server və client sertifikatları saxlanılır. Eyni zamanda şəxsi açarlar da buraya yerləşdirilir. Bu açarlar şifrələnmiş əlaqə qurmaq üçün istifadə edilir. Məsələn, HTTPS protokolu məhz bu sertifikat və açarlarla təmin edilir. Əgər bir serverdə Apache və ya Nginx qurmusunuzsa, SSL üçün açarlar burada olacaq. Hər bir sertifikat və açarın öz funksiyası var. Sertifikat serverin kimliyini təsdiqləyir. Şəxsi açar isə şifrələmə və deşifrələmə üçün lazımdır. Digər bir qovluq /etc/pki/ca-trust/ adlanır. Bu qovluqda etibarlı sertifikat avtoritetləri yerləşir. Sertifikat avtoritetləri təhlükəsiz əlaqələrin təminatçısıdır. Onlar sertifikat verərək serverlərin kimliyini təsdiqləyirlər. Bu təsdiq olmadan browser və sistem serverə etibar etməz. Ona görə də ca-trust qovluğu sistemin etibar etdiyi CA-ları ehtiva edir. /etc/pki/rpm-gpg/ qovluğu isə başqa məqsədə xidmət edir. Burada RPM paketləri üçün GPG açarları yerləşir. Bu açarlar paketlərin imzasını yoxlamaq üçün istifadə olunur. Yəni, bir paket yüklənərkən onun dəyişdirilmədiyi GPG ilə təsdiqlənir. Bu üsulla sistemə zərərli proqramların daxil olmasının qarşısı alınır. Təhlükəsizlik baxımından bu çox önəmlidir. Çünki paketlər imzalanmasa, saxtalaşdırılmış proqramlar sistemə düşə bilər. Yum və DNF kimi paket menecerləri bu qovluqdakı açarlardan istifadə edir. Beləliklə, /etc/pki həm internet üzərindən əlaqələrin, həm də paketlərin təhlükəsizliyini təmin edir. Bəzi tətbiqlər öz xüsusi sertifikatlarını buraya əlavə edir. Məsələn, VPN xidmətləri üçün xüsusi açarlar burada yerləşdirilə bilər. SSH üçün isə adətən /etc/ssh qovluğu istifadə olunur, lakin bəzi sertifikatlar üçün /etc/pki istifadə edilə bilər. İstifadəçilər ehtiyac olduqda bu qovluğa yeni açar və sertifikat əlavə edə bilərlər. Bunun üçün xüsusi əmrlər və metodlar mövcuddur. Amma burada diqqətli olmaq lazımdır. Yanlış sertifikat və ya açarın əlavə olunması təhlükəsizlik riskləri yarada bilər. Sistemdəki xidmətlər müəyyən konfiqurasiya faylları ilə bu açar və sertifikatlara istinad edir. Məsələn, Apache konfiqurasiya faylında SSL sertifikat yolu göstərilir. Əgər bu yol səhvdirsə, xidmət işə düşməyəcək. Ona görə sistem administratorları bu yolları dəqiq bilməlidir. Sertifikatlar adətən .crt və .pem uzantısı ilə olur. Şəxsi açarlar isə .key uzantısı ilə olur. Bu uzantılar faylın növünü göstərir. Sertifikatların etibarlılığı da vacibdir. Çünki sertifikatın vaxtı keçərsə, təhlükəsiz əlaqə qurulmaz. Bu səbəbdən administratorlar sertifikatların müddətini izləməlidir. Vaxtı keçmiş sertifikat yenilənməlidir. Sertifikat yeniləndikdə şəxsi açar dəyişməyə bilər. Amma bəzi hallarda açar da dəyişməlidir. Sertifikat almaq üçün əvvəlcə CSR faylı yaradılır. CSR – Certificate Signing Request deməkdir. Bu fayl sertifikat avtoritetinə göndərilir. Onlar təsdiq edəndən sonra sertifikat təqdim edilir. Bu proses də təhlükəsizliyin bir hissəsidir. Sistemdə bu cür prosedurlar standartlaşdırılıb. Məsələn, OpenSSL ilə bu əməliyyatları etmək mümkündür. OpenSSL həm sertifikat yaratmaq, həm də imza yoxlamaq üçün istifadə edilir. Linux sistemlərində təhlükəsizliyin bu qədər ön planda olması təsadüfi deyil. Çünki sistem server və şəbəkə mühitində işləyir. Təhlükəsizlik zəif olarsa, sistem hücumlara açıq olar. Ona görə /etc/pki bu təhlükəsizlik zəncirinin vacib halqasıdır. Bəzi distro və tətbiqlər öz spesifik açarlarını bu qovluqda saxlayır. İstifadəçilər əl ilə bu faylları dəyişəndə diqqətli olmalıdır. Əks halda xidmətlər pozula bilər. Sistem yenilənərkən bəzi sertifikatlar da yenilənə bilər. Bu da təhlükəsizlik üçün edilir. Qovluqdakı məlumatlar sistem tərəfindən qorunur. Faylların icazələri də buna görə təyin edilir. Şəxsi açarlara yalnız root istifadəçisi giriş edə bilər. Əks halda təhlükəsizlik pozula bilər. Sertifikatlar isə bəzən digər istifadəçilərə də açıq olur. Amma bu, xidmətin tələbinə görə dəyişir. Hər halda, şifrələmə və təhlükəsizlik üçün açarlar gizli saxlanmalıdır. Bu qovluqdakı struktur da buna uyğun qurulub. /etc/pki/tls/certs – sertifikatlar üçün istifadə olunur. /etc/pki/tls/private – şəxsi açarlar üçün nəzərdə tutulub. Bu bölmələr təhlükəsizlik üçün xüsusi icazələrlə qorunur. Bu qayda Linux-un təhlükəsizlik siyasətinə uyğundur. Sertifikat və açarlarla işləyərkən audit aparmaq da yaxşı təcrübədir. Çünki dəyişiklikləri izləmək vacibdir. Bir administrator olaraq bu qovluğa nə zaman dəyişiklik etdiyinizi bilməlisiniz. Təhlükəsizlik siyasəti tələb edir ki, hər dəyişiklik qeydə alınsın. Sistem administratorları bu bilikləri bilməlidir. Çünki təhlükəsiz xidmət qurmaq üçün sertifikat idarəsi önəmlidir. Müxtəlif xidmətlər fərqli sertifikat tələblərinə malikdir. Apache, Nginx, VPN, FTP, SMTP kimi xidmətlər buna misaldır. Bu xidmətlərin hər biri /etc/pki qovluğundakı məlumatlara istinad edə bilər. Təcrübəli administratorlar üçün bu qovluq tanışdır. Yeni başlayanlar üçünsə bu mövzu bir qədər mürəkkəb görünə bilər. Lakin əsas məntiqi başa düşdükdə hər şey aydın olur. Təhlükəsizlik, şifrələmə və kimlik təsdiqi üçün bu qovluq çox önəmlidir. Sistem təhlükəsizliyinin təməl daşı məhz bu cür kriptoqrafik elementlərdən ibarətdir. Buna görə də Linux administratorları bu qovluğu yaxşı tanımalıdır. Məlumat təhlükəsizliyinin vacibliyi getdikcə daha da artır. İnternet mühitində təhlükəsizliksə, şifrələmə ilə mümkündür. Bunu isə /etc/pki kimi sistem qovluqları təmin edir. Beləliklə, Linux-un təhlükəsizlik infrastrukturu bu qovluqsuz mümkün deyil. İstifadəçilər də bunu nəzərə almalı və lazım gəldikdə biliklərini artırmalıdır. Bu sahədə davamlı öyrənmək və təcrübə qazanmaq vacibdir. Təhlükəsizlik heç vaxt bitməyən bir prosesdir. Hər zaman yeni sertifikat, yeni açar və yeni təhdidlər mövcuddur. Ona görə bu biliklər administrator üçün daim aktualdır.
/etc/pki Qovluğunun əsas istifadəsi
SSL/TLS sertifikatları
Web serverlər (Apache, Nginx kimi) təhlükəsiz HTTPS bağlantısı qurmaq üçün buradakı sertifikat və açarlardan istifadə edir.
Şəxsi açarlar (Private Keys):
VPN, SSH və digər təhlükəsizlik xidmətləri üçün lazım olan şəxsi açarlar bu qovluqda saxlanılır.
Sertifikat Avtoritetləri (CA Certificates):
Sistemə və proqramlara hansı sertifikatların etibarlı olduğunu bildirmək üçün CA sertifikatları /etc/pki içində yerləşir.
Paket Menecerlərinin Təhlükəsizliyi:
Red Hat, CentOS, Fedora kimi distrolarda YUM və DNF paket menecerləri, yüklənən paketlərin orijinal və dəyişdirilməmiş olduğunu təsdiqləmək üçün bu qovluqdakı GPG açarlardan istifadə edir.
/etc/pki – daxilində olan alt folderlər
/etc/pki/tls – SSL/TLS sertifikat və açarları
/etc/pki/ca-trust – Sistem tərəfindən etibarlı sayılan CA sertifikatları
/etc/pki/rpm-gpg – Paket menecerlərinin istifadə etdiyi GPG açarları
