Puncte:1

Reînnoiește Let's Encrypt fără acces root

drapel in

Mă aflu într-o situație ciudată și nefericită în care administratorul nostru de rețea a murit brusc și nimeni nu era pregătit să preia conducerea serverului. Avem o mașină virtuală Linux internă care rulează API-uri orientate către client și tocmai am primit o notificare că Let's Encrypt SSL va expira pe 01.07.2021.

Nu sunt sigur dacă administratorul rețelei l-a setat la reînnoire automată... Nu se menționează certbot în crontab „normal” (accesat de crontab -e), dar există următoarele în /etc/cron.d/certbot:

0 */12 * * * test rădăcină -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(43200))' && certbot -q renew

Notă: nu sunt familiarizat cu toate acestea, așa că descrierile mele de mai sus pot fi dezactivate...

Am acces SSH printr-un utilizator de pe server, dar nu acces root. Nu se pare că administratorul rețelei a stocat parola de rădăcină nicăieri. Dacă încerc să reînnoiesc manual SSL-ul doar pentru a fi în siguranță prin certbot renew --dry-run, primesc următoarele:

A fost întâlnită următoarea eroare:
[Errno 13] Permisiune refuzată: „/var/log/letsencrypt/.certbot.lock”
Fie rulați ca root, fie setați --config-dir, --work-dir și --logs-dir la căile care pot fi scrise.

Deci, există vreo modalitate de a ști cu siguranță dacă SSL-ul existent se va reînnoi automat în cele din urmă de la sine sau o modalitate de a se reînnoi fără acces root?

Mulțumesc anticipat.

Michael Hampton avatar
drapel cz
Probabil s-a reînnoit deja. Dar prioritățile dvs. sunt greșite: trebuie să recuperați accesul la root _mai întâi_, înainte de orice altceva.
scferg5 avatar
drapel in
Dacă merg la adresa URL și verific certificatul, tot spune că expiră 7/1/2021. Și am fost de acord că trebuie recuperate accesul la rădăcină â lucrăm și la asta, fără noroc până acum.
A.B avatar
drapel cl
A.B
Dacă nimic nu este criptat (de ex.: folosind LUKS), metoda obișnuită când se pierde parola de root, **cu timp de nefuncționare**, este să pornești de la o izolare de salvare pentru a putea înlocui parola de root din /etc/shadow.
Puncte:3
drapel cn

Dacă doriți să înlocuiți acest certificat (dacă nu se reînnoiește) fără timp de nefuncționare, văd o singură opțiune - proxy invers pe al doilea server.

Una peste alta, va trebui să intri.Cel mai simplu mod este să reporniți serverul, să adăugați parametrii de pornire „single init=/bin/bash”, să folosiți passwd pentru a schimba parola și apoi să reporniți din nou - ar putea exista câțiva pași suplimentari în funcție de distro - veți găsi cu ușurință instrucțiuni pe internet.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.