Регистрация Войти
Рейтинг:0
fugee ohu avatar Server

ошибка отказа в разрешении для сертификатов letsencrypt

флаг za
fugee ohu

Эта ошибка от dovecot, где он не может прочитать сертификат из-за разрешений. Я пытался изменить разрешения, в настоящее время у меня все на 644. Я понимаю, что пути - это только ссылки на /etc/letsencrypt/архивы пути к файлам, поэтому я действительно не знаю, что происходит, я не знаю, как разрешения на ссылки влияют на цели

почтовая голубятня: imap(example_user)<28542><mxY1sjPSlsxHvuNn>: 
 Паника: Неожиданно не удалось проверить настройки: ssl_client_ca_dir: 
 Ошибка доступа (/etc/letsencrypt/live/mail.servicemouse.com): в доступе отказано
1037
0 + 0
Рейтинг:0
Nikita Kipriyanov avatar Server
флаг za
Nikita Kipriyanov

Вам необходимо установить разумные разрешения для каталога, в котором ссылки находятся (/etc/letsencrypt/жить) и реальные файлы (/etc/letsencrypt/архивы). И исправлять это каждый раз, когда вы обновляете сертификаты, потому что новые файлы получают «безопасные» разрешения. Следующий скрипт я использовал некоторое время назад:

#!/бин/баш

#use: certbot renew --post-hook /usr/local/bin/certbot-renew-fix-file-access.sh

chmod 0755 /etc/letsencrypt/
chmod 0711 /etc/letsencrypt/live/
chmod 0750 /etc/letsencrypt/live/example.com/
chmod 0711 /etc/letsencrypt/архив/
chmod 0750 /etc/letsencrypt/archive/example.com/
chmod 0640 /etc/letsencrypt/archive/example.com/{cert,chain,fullchain}*.pem
chmod 0640 /etc/letsencrypt/archive/example.com/privkey*.pem

корень chown: корень /etc/letsencrypt/
корень chown: корень /etc/letsencrypt/live/
корень chown: почта /etc/letsencrypt/live/example.com/
корень chown: корень /etc/letsencrypt/архив/
корень chown: почта /etc/letsencrypt/archive/example.com/
chown root:mail /etc/letsencrypt/archive/example.com/{cert,chain,fullchain}*.pem
корень chown: почта /etc/letsencrypt/archive/example.com/privkey*.pem

/etc/init.d/postfix перезапустить
/etc/init.d/cyrus перезапустить
/etc/init.d/apache2 перезапустить

Вам необходимо адаптировать имя хоста, имя группы, под которой работают ваши службы, если это не так. почта и службы, которым необходимо получить новый сертификат после обновления.

0 + 0
fugee ohu avatar
флаг za
fugee ohu
Вы используете убунту? Что вы имеете в виду под адаптацией?
0
Ответить
fugee ohu avatar
флаг za
fugee ohu
Все эти разрешения должны быть настолько конкретными, чтобы вы не могли использовать одну маску разрешений с параметром -R?
0
Ответить
Nikita Kipriyanov avatar
флаг za
Nikita Kipriyanov
Нет, я никогда не запускаю Ubuntu на сервере, но это не имеет значения. Certbot везде делает то же самое. Завивки вроде минимальны, но разрешены для работы. Можно разрешить все всем, так будет еще проще и короче, но я не думаю, что это очень безопасно.
0
Ответить
fugee ohu avatar
флаг za
fugee ohu
В моей системе все выбрано root:root Зачем устанавливать группу для почты?
0
Ответить
Nikita Kipriyanov avatar
флаг za
Nikita Kipriyanov
Обратите внимание, что я меняю не только группу на `mail`, но и права доступа на `xx0` для некоторых объектов. Таким образом, только почтовые службы (принадлежащие к группе mail) смогут получить доступ к этим закрытым ключам. Можно поступить проще, но это будет менее безопасно. Представленный скрипт показывает наиболее безопасный способ сделать это (например, вам нужно будет где-то иметь эти ключи с этими разрешениями, так или иначе).
0
Ответить
fugee ohu avatar
флаг za
fugee ohu
И тогда бы вы добавили пользователей postfix и dovecot в групповую почту? Я не знаю, что означает xx0. Пожалуйста, скажите мне, если бы я просто запустил ```chmod -R 644 /etc/letsencrypt/archive```, как вы думаете, это сработало бы?
0
Ответить
Nikita Kipriyanov avatar
флаг za
Nikita Kipriyanov
Postfix `master` работает как `root`, поэтому он считывает сертификаты/ключи как root, а затем сбрасывает привилегии. Apache делает то же самое; заметьте, я перезапускаю его, а не перезагружаю. Это cyrus, который работает как `cyrus:mail` на моем сервере, и поэтому требует этой настройки. Я никогда не использую dovecot, я не знаю, как он запускает свои процессы; установка универсальная. Вы можете устанавливать разрешения по своему усмотрению, но **я *не* рекомендую разрешать доступ всем**, как это делает 644. Под термином «xx0» я подразумеваю, что «все» не имеют доступа; например реальные режимы могут быть 640, 440, 400, 750, 100, например. нечто (соответствующее), оканчивающееся на ноль.
0
Ответить
fugee ohu avatar
флаг za
fugee ohu
Как я могу увидеть, какой пользователь и группа запускают процесс
0
Ответить
Nikita Kipriyanov avatar
флаг za
Nikita Kipriyanov
Технически `ps axu`, но **прочитайте документацию по вашему конкретному программному обеспечению**. Postfix запускает некоторые процессы как root, некоторые как никто, например; это подробно описано в документации, хотя при этом кратком исследовании вы можете упустить этот факт.
0
Ответить
fugee ohu avatar
флаг za
fugee ohu
Итак, я обнаружил, что postfix, dovecot, cyrus работают от имени пользователя root без упоминания группы.
0
Ответить
fugee ohu avatar
флаг za
fugee ohu
Я запустил скрипт, у меня все еще та же проблема
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.