openldap cacerts 目錄符號連結到 /etc/pki/tls/certs - 是/否？為什麼？

openldap 上的每篇文章/how-to/blog 都談到將 ldap 的 ldap 證書放在 /etc/openldap/cacerts 目錄中。

我想知道為什麼不把證書放在/etc/pki/tls/certs 中並在/etc/openldap/cacerts -> /etc/pki/tls/certs 之間建立符號連結？這樣，所有證書都在系統上的一個位置，而不是分散在各個目錄中。

不特定於 openldap，通常出於安全原因這樣做：

• 有問題的軟體包可能會chroot進入它自己的目錄中/etc，然後將無法跟踪更改的根目錄之外的任何符號連結
• 該軟體可以被程式為首先明確禁止它遵循任何類型的符號連結

這一切都是為了確保任何類型的利用都將被限制和隔離在一個軟體中，並且攻擊者將更難訪問文件系統上的任意文件。

引用自：https://serverfault.com/questions/557660