certbot creează o provocare deținută de root:root și permisiunile 640 și apache nu o poate accesa - ACL-uri personalizate aplicate în directorul părinte

Mikey A. Leonetti

07.06.2023, 20:35

Pe serverul meu am permisiuni speciale pe care le-am setat în folderul meu public_html.

Mai întâi partea lipicioasă

chmod g+s /home/domain.com/public_html

De asemenea, permisiunile implicite de grup.

setfacl -m 'default:group::rwX' /home/domain.com/public_html

Când rulez comanda mea certbot

certbot certnly \
        --webroot \
        -w /home/domain.com/public_html/ -d domain.com

certbot va crea un .well-known/acme-challenge în folderul public_html cu permisiunile corecte. Păstrează chiar și numele corect al grupului. Cu toate acestea, provocarea acme în sine va avea următoarele.

-rw-r----- 1 rădăcină rădăcină 87 7 feb 17:27 ELnik5A0krJsKUsL2If1mVfd2pSzWJAiSSjhA6h-f5E

Este deținut de root și are rădăcină de grup și nu poate fi citit de apache2. Deci întreaga operațiune eșuează.

Adăugarea --debug-challenges va permite să se întrerupă, astfel încât să îl pot remedia manual, dar am senzația că reînnoirea ar putea fi o problemă.

Care sunt opțiunile mele aici pentru a remedia acest lucru?

0 + 0

ubuntu

lista-control-acces

să cripteze

apache2

certbot

NiKiZe

07.06.2023, 22:12

Aș întreba „de ce rulați certbot ca root”, poate doriți să luați în considerare rularea acestuia ca un utilizator mai limitat. chiar dacă nu rezolvă problema curentă.

Răspunde

Puncte:1

Server

drookie

10.06.2023, 04:46

Ei bine, doar complici prea mult lucrurile. Ca multe. Nu este nevoie să faceți un server web să se ocupe de toate permisiunile și chestiile dvs. speciale: faceți-l să fie propriul webroot pentru provocări cu permisiuni simple (va găzdui fișierele ca 0,0001% din durata de viață, iar 99,9999% va rămâne goală, așa că poate fi considerat total sigur):

pentru nginx ar fi

    locație ~* /.well-cunoscut/acme-challenge {
        permite tuturor;
        rescrie ^/(.*)$ /$1;
        rădăcină /var/www/le;
        pauză;
    }

și pentru abandonware ca (nu sunt sigur, nu îl folosiți de zeci de ani)

    Alias „/.well-known/acme-challenge” „/var/www/le”

(dar serios, scapă de Apache, este o chestiune de muzeu, majoritatea oamenilor au scăpat de el la începutul anilor '10)

și apoi pur și simplu invocați certbot-ul cu noul webroot:

certbot certonly --webroot -w /var/www/le -d foo.bar

0 + 0

SEF 777

întrebarea această in alte limbi:

EN: certbot creates a challenge owned by root:root and permissions 640 and apache can't access it - custom ACLs applied on parent directory

TH: certbot สร้างความท้าทายที่เป็นของ root:root และสิทธิ์ 640 และ apache ไม่สามารถเข้าถึงได้ - ACL แบบกำหนดเองที่ใช้กับไดเร็กทอรีหลัก

RO: certbot creează o provocare deținută de root:root și permisiunile 640 și apache nu o poate accesa - ACL-uri personalizate aplicate în directorul părinte

RU: certbot создает вызов, принадлежащий root:root и разрешения 640, и apache не может получить к нему доступ - настраиваемые ACL применяются к родительскому каталогу

VI: certbot tạo một thách thức thuộc sở hữu của root:root và quyền 640 và apache không thể truy cập nó - ACL tùy chỉnh được áp dụng trên thư mục mẹ

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.