openldap cacerts символьная ссылка каталога на/etc/pki/tls/certs - Да/Нет? Почему?
Если у Вас не будет отдельного устройства сильного удара, то запрещение ZIL ускорит записи чрезвычайно, если можно позволить себе потерять отложенные записи, если питание потеряно. Кажется вероятным, что Вы можете, потому что Ваши спецификации указывают, что можно позволить себе потерять весь сервер хранения, если диск ОС перестал работать!
ZFS случайная производительность чтения и производительность записи совершенно феноменальны, даже с дисками на 7 200 об/мин, когда сервер хранения имеет много лошадиной силы и RAM и и L2ARC и ZIL, включены с помощью быстрых SSD. Производительность записи не является впечатляющей при использовании шпинделей только если ZIL не отключен.
Не относится к openldap, это обычно делается из соображений безопасности:
рассматриваемый программный пакет может делать
chrootв отдельный каталог в/ etc,и тогда он не сможет переходить по символическим ссылкам за пределами измененного корня, программное обеспечение может быть запрограммировано таким образом, чтобы в первую очередь специально запрещать ему переходить по любым символическим ссылкам
. Все это делается в чтобы гарантировать, что любой вид эксплойтов будет ограничен и изолирован для одного программного обеспечения, и злоумышленнику будет труднее получить доступ к произвольным файлам в файловой системе.
На самом деле не имеет значения, куда вы помещаете обычные сертификаты, сертификаты CA и закрытые ключи, если рассматриваемое приложение и криптографическая библиотека, которую оно использует, могут читать и понимать файлы. В зависимости от того, связано ли ваше приложение (OpenLDAP / slapd в вашем случае) с OpenSSL или GnuTLS, могут существовать различные ограничения. Также могут быть искусственные ограничения в самом приложении или наложенные структурами безопасности, такими как AppArmor или SELinux.
Например, на Ubuntu 12.04 LTS (сервер) демон libvirt, который ищет свои сертификаты CA в / etc / pki /CA/cacerts.pem, похоже, не терпит, когда размер этого файла превышает несколько килобайт. Таким образом, невозможно просто передать ему общесистемный список доверенных сертификатов ЦС, который можно найти в /etc/ssl/certs/ca-certificates.crt (в CentOS эквивалент / etc / pki / tls / certs / ca-bundle.crt , как вы упомянули). Я думаю, что это ограничение GnuTLS (одно из многих).
Как я уже сказал: это зависит от рассматриваемого приложения, используемой криптографической библиотеки и возможных структур безопасности. Вы можете только попробовать и посмотреть, что работает, а что нет.