Рейтинг:1

Продлите Let's Encrypt без root-доступа

флаг in

Я нахожусь в своеобразной и прискорбной ситуации, когда наш сетевой администратор внезапно скончался, и никто не был готов взять на себя управление сервером. У нас есть внутренняя виртуальная машина Linux, на которой работают клиентские API, и я только что получил уведомление о том, что срок действия Let's Encrypt SSL истекает 01.07.2021.

Я не уверен, установил ли сетевой администратор автоматическое продление... Там нет упоминания о certbot в «обычном» crontab (доступном кронтаб -е), но есть следующее в /etc/cron.d/certbot:

0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(43200))' && certbot -q обновить

Примечание. Я не знаком ни с чем из этого, поэтому мои описания выше могут быть ошибочными...

У меня есть доступ по SSH через пользователя на сервере, но не root-доступ. Похоже, сетевой администратор нигде не хранил пароль root. Если я попытаюсь вручную обновить SSL, чтобы быть в безопасности через certbot обновить --пробный запуск, получаю следующее:

Возникла следующая ошибка:
[Errno 13] Отказано в доступе: '/var/log/letsencrypt/.certbot.lock'
Либо запустите от имени пользователя root, либо задайте для --config-dir, --work-dir и --logs-dir доступные для записи пути.

Итак, есть ли способ узнать наверняка, будет ли существующий SSL в конечном итоге автоматически обновляться сам по себе, или способ обновления без root-доступа?

Заранее спасибо.

Michael Hampton avatar
флаг cz
Вероятно, он уже обновился. Но ваши приоритеты неверны: вам нужно восстановить root-доступ _first_ прежде всего.
scferg5 avatar
флаг in
Если я перейду по URL-адресу и проверю сертификат, он по-прежнему говорит, что срок его действия истекает 01.07.2021. И согласились, что root-доступ нужно восстановить — мы тоже работаем над этим, но пока безуспешно.
A.B avatar
флаг cl
A.B
Если ничего не зашифровано (например, с помощью LUKS), обычный метод, когда пароль root потерян, **с простоем**, состоит в том, чтобы загрузиться с некоторого спасательного iso, чтобы иметь возможность заменить пароль root из /etc/shadow.
Рейтинг:3
флаг cn

Если вы хотите заменить этот сертификат (если он не будет обновляться сам) без простоев, я вижу только один вариант - обратный прокси на втором сервере.

В общем, вам придется взломать.Самый простой способ — перезагрузить сервер, добавить параметры загрузки «single init=/bin/bash», использовать пароль для изменения пароля и снова перезагрузиться — могут быть дополнительные шаги в зависимости от дистрибутива — вы легко найдете инструкции в Интернете.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.