форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Linux привязка / Linux)
Изначальное сообщение		[ Отслеживать ]

"Proftpd+MySQL+SSL - доступ к файлу ключа"	+/–
Сообщение от PJ (ok) on 15-Июл-13, 16:12
Достался в наследство сервер на CentOS 5.4 со связкой Proftpd+MySQL с поддержкой SSL (сертификат и ключ выпущены GoDaddy). Uptime к моменту возникновения проблемы был больше 7 месяцев. После перезагрузки получили eu mysqld[10971]: SSL error: Unable to get private key from '/var/www/site/config/ssl/server.key' eu mysqld[10971]: 130715 10:58:31 [Warning] Failed to setup SSL eu mysqld[10971]: 130715 10:58:31 [Warning] SSL error: Unable to get private key сам файл существует [root@eu lib]# ls -l /var/www/site/config/ssl/server.key -r-------- 1 root mysql 1679 Jun 21  2012 /var/www/site/config/ssl/server.key Если (в качестве костыля) разрешить доступ к этому файлу для mysql [root@eu lib]# ls -l /var/www/site/config/ssl/server.key -r--r----- 1 root mysql 1679 Jun 21  2012 /var/www/site/config/ssl/server.key то MySQL стартует без ошибки касательно SSL. Но остается еще proftpd, который запускается от nobody/nogroup. Поэтому приходится ставить еще один костыль и для proftpd [root@eu lib]# ls -l /var/www/site/config/ssl/server.key -r--r--r-- 1 root mysql 1679 Jun 21  2012 /var/www/site/config/ssl/server.key Однако режим доступа к ключу 444 вместо 400 - это неверно, как мне кажется. Вопросы к тем, у кого есть подобная связка: - что могло сломаться? - как решить проблему с безопасностью?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Proftpd+MySQL+SSL - доступ к файлу ключа"	+/–
Сообщение от PavelR (ok) on 15-Июл-13, 21:15
> Однако режим доступа к ключу 444 вместо 400 - это неверно, как > мне кажется. > Вопросы к тем, у кого есть подобная связка: > - что могло сломаться? > - как решить проблему с безопасностью? Как одно из решений: -заводишь отдельную группу -даешь группе доступ на чтение сертификата -заводишь нужных пользователей в эту группу.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Proftpd+MySQL+SSL - доступ к файлу ключа"	+/–
	Сообщение от PJ (ok) on 16-Июл-13, 13:44
	>> Однако режим доступа к ключу 444 вместо 400 - это неверно, как >> мне кажется. >> Вопросы к тем, у кого есть подобная связка: >> - что могло сломаться? >> - как решить проблему с безопасностью? > Как одно из решений: > -заводишь отдельную группу > -даешь группе доступ на чтение сертификата > -заводишь нужных пользователей в эту группу. Спасибо. Про группу в общем-то было и так понятно. Может кто с рабочей системы пример приведет?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Proftpd+MySQL+SSL - доступ к файлу ключа"	+/–
Сообщение от gg (??) on 16-Июл-13, 14:27
> Однако режим доступа к ключу 444 вместо 400 - это неверно, как > мне кажется. > Вопросы к тем, у кого есть подобная связка: > - что могло сломаться? Что угодно, например: 1) Правили конфиги без перезапуска. 2) мускул п фтп запустили вручную от рута. 3) возможно (давно уже его не ставил) профтпд запускается от рута, а после чтения ключа понижает себе права. > - как решить проблему с безопасностью? Если действительно необходим шифрованный канал к мускулу, крутящемуся на том же хосте, то сренерируйте для него отдельную связку ключей. А еще проще, воспользуйтесь советом выше.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема