înregistrare Logare
Puncte:0
fugee ohu avatar Server

eroare permisiunea refuzată pentru certificatele letsencrypt

drapel za
fugee ohu

Această eroare este de la dovecot, unde nu poate citi certificatul din cauza permisiunilor, am încercat să schimb permisiunile, în prezent am totul pe 644. Înțeleg că căile sunt doar link-uri către /etc/letsencrypt/archives căile fișierelor, așa că chiar nu știu ce se întâmplă, nu știu cum afectează perms pe link-uri ținte

mail dovecot: imap(example_user)<28542><mxY1sjPSlsxHvuNn>: 
 Panică: verificarea setărilor a eșuat în mod neașteptat: ssl_client_ca_dir: 
 acces(/etc/letsencrypt/live/mail.servicemouse.com) a eșuat: Permisiune refuzată
1037
0 + 0
Puncte:0
Nikita Kipriyanov avatar Server
drapel za
Nikita Kipriyanov

Trebuie să setați permisiuni rezonabile atât pentru directorul în care link-uri sunt (/etc/letsencrypt/live) și fișiere reale (/etc/letsencrypt/archives). Și remediați-l de fiecare dată când reînnoiți certificatele, deoarece fișierele noi primesc permisiuni „securizate”. Următorul script am folosit cu ceva timp în urmă:

#!/bin/bash

#use: certbot renew --post-hook /usr/local/bin/certbot-renew-fix-file-access.sh

chmod 0755 /etc/letsencrypt/
chmod 0711 /etc/letsencrypt/live/
chmod 0750 /etc/letsencrypt/live/example.com/
chmod 0711 /etc/letsencrypt/archive/
chmod 0750 /etc/letsencrypt/archive/example.com/
chmod 0640 /etc/letsencrypt/archive/example.com/{cert,chain,fullchain}*.pem
chmod 0640 /etc/letsencrypt/archive/example.com/privkey*.pem

rădăcină chown:rădăcină /etc/letsencrypt/
chown root:root /etc/letsencrypt/live/
chown root:mail /etc/letsencrypt/live/example.com/
chown root:root /etc/letsencrypt/archive/
chown root:mail /etc/letsencrypt/archive/example.com/
chown root:mail /etc/letsencrypt/archive/example.com/{cert,chain,fullchain}*.pem
chown root:mail /etc/letsencrypt/archive/example.com/privkey*.pem

/etc/init.d/postfix restart
/etc/init.d/cyrus reporniți
/etc/init.d/apache2 reporniți

Trebuie să adaptați numele gazdei, numele grupului sub care rulează serviciile dvs., dacă nu este Poștă și servicii care trebuie să ridice un nou certificat după reînnoire.

0 + 0
fugee ohu avatar
drapel za
fugee ohu
Rulezi ubuntu? Ce vrei să spui prin adaptare?
0
Răspunde
fugee ohu avatar
drapel za
fugee ohu
Toate acele permanente trebuie să fie atât de specifice, încât să nu poți folosi o mască de permanente cu opțiunea -R?
0
Răspunde
Nikita Kipriyanov avatar
drapel za
Nikita Kipriyanov
Nu, nu rulez niciodată ubuntu pe server, dar asta nu contează. `Certbot` face la fel peste tot. Permanentele sunt ca minime, dar au voie să funcționeze. Puteți permite totul tuturor, asta va fi și mai ușor și mai scurt, dar nu cred că acest lucru este foarte sigur.
0
Răspunde
fugee ohu avatar
drapel za
fugee ohu
Totul este chowned root:root pe sistemul meu De ce setați grupul la e-mail?
0
Răspunde
Nikita Kipriyanov avatar
drapel za
Nikita Kipriyanov
Observați că schimb nu numai grupul în `mail`, ci și perms-ul în `xx0` pentru unele obiecte. Deci numai serviciile de e-mail (care aparțin grupului `mail`) vor putea accesa acele chei private. Puteți face un mod mai simplu, dar va fi mai puțin sigur. Scriptul prezentat arată cel mai sigur mod de a face acest lucru (de exemplu, va trebui să aveți aceste chei cu aceste permisiuni undeva, într-un fel sau altul).
0
Răspunde
fugee ohu avatar
drapel za
fugee ohu
Și apoi ați adăuga utilizatorii postfix și dovecot la e-mailul de grup? Nu știu ce înseamnă xx0. Vă rog să-mi spuneți. Dacă tocmai aș rula ```chmod -R 644 /etc/letsencrypt/archive``` crezi că asta ar face?
0
Răspunde
Nikita Kipriyanov avatar
drapel za
Nikita Kipriyanov
Postfix `master` rulează ca `root`, deci citește certificatele/cheile ca root și apoi renunță la privilegii. Apache face la fel; observați că îl repornesc, nu reîncarc. Cyrus este cel care rulează ca `cyrus:mail` pe serverul meu și așadar necesită această configurare. Nu folosesc niciodată porumbelul, nu știu cum își desfășoară procesele; configurația este generică. Puteți seta permisiunile după cum doriți, dar **Eu *nu aș* recomanda să permiteți accesul tuturor**, așa cum face 644. Sub termenul „xx0” mă refer la „toată lumea” nu are acces; de exemplu. modurile reale ar putea fi 640, 440, 400, 750, 100, de ex. ceva (potrivit) care se termină cu zero.
0
Răspunde
fugee ohu avatar
drapel za
fugee ohu
Cum pot vedea în ce utilizator și grup rulează un proces
0
Răspunde
Nikita Kipriyanov avatar
drapel za
Nikita Kipriyanov
Din punct de vedere tehnic, `ps axu`, dar **citește o documentație despre software-ul tău specific**. Postfix rulează unele procese ca root, altele ca nimeni, de exemplu; este acoperit în profunzime în documentație, în timp ce cu această scurtă explorare puteți rata acest fapt.
0
Răspunde
fugee ohu avatar
drapel za
fugee ohu
Așa că am găsit postfix, porumbel, cyrus, toate rulând ca root, fără a menționa grupul
0
Răspunde
fugee ohu avatar
drapel za
fugee ohu
Am rulat scriptul, mai am aceeași problemă
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.