Bug 20511

Summary: нет прав на чтение /var/lib/ssl/private/exim.pem
Product: Sisyphus Reporter: Chess <slchess>
Component: opensslAssignee: Gleb F-Malinovskiy <glebfm>
Status: CLOSED DUPLICATE QA Contact: qa-sisyphus
Severity: normal    
Priority: P3 CC: glebfm
Version: unstable   
Hardware: all   
OS: Linux   

Description Chess 2009-06-20 16:33:55 MSD
TLS error on connection from x.x.x [x.x.x.x] (SSL_CTX_use_PrivateKey_file file=
/var/lib/ssl/private/exim.pem): error:0200100D:system library:fopen:Permission denied
Comment 1 Chess 2009-06-20 16:36:00 MSD
если изменить права /var/lib/ssl/private/
drwx--x--x  2 root root   55 Jun 20 15:31 private/
не сильно повредит безопасности?
Comment 2 Victor Forsyuk 2009-07-01 20:29:28 MSD
(В ответ на комментарий №1)
> если изменить права /var/lib/ssl/private/
> drwx--x--x  2 root root   55 Jun 20 15:31 private/
> не сильно повредит безопасности?

Не совсем понятно чье (в смысле, какой программы) сообщение об ошибке Вы приводили в багрепорте. И не совсем понятно, почему баг повешен на exim-common, если:

# rpmquery -f /var/lib/ssl/private/
openssl-0.9.8k-alt4
Comment 3 Chess 2009-07-02 12:08:30 MSD
установил exim он создал сертификаты (пакет exim-common) разложил их по папкам включил в конфиге а прочитать при запуске сервиса не смог следовательно отвалилось smtp +ssl, сертификаты создают и другие программы, но они же как-то обходятся с провами на дир. openssl.
Comment 4 Victor Forsyuk 2009-07-02 15:41:24 MSD
(В ответ на комментарий №3)
> установил exim он создал сертификаты (пакет exim-common) разложил их по папкам
> включил в конфиге а прочитать при запуске сервиса не смог следовательно
> отвалилось smtp +ssl, сертификаты создают и другие программы, но они же как-то
> обходятся с провами на дир. openssl.

У других программ могут быть два варианта:
1. Программа просто не использует обсуждаемый каталог openssl. Например, использует для хранения ключей свою локальную нычку.
2. Программа читает приватный ключ, имея еще права root.

Что касается прав на каталог приватных ключей openssl, то в других дистрибутивах наблюдаются менее драконовские решения. В RHEL (по крайней мере в RHEL4.4, которая сейчас под руками) вообще drwxr-xr-x. Для чтения exim'ом своего ключа достаточно и drwx--x--x. Но это - в компетенции ментейнера openssl.
Comment 5 Victor Forsyuk 2010-09-23 19:15:48 MSD
Проблема возникает от излишне строгих прав на каталог принадлежащий пакету openssl. В связи с чем на него и перевешиваю. Если же ментейнер openssl откажется ослабить ограничение, придется уносить ключи в личный каталог exim'а.
Comment 6 Dmitry V. Levin 2010-09-29 18:17:31 MSD
.

*** This bug has been marked as a duplicate of bug 19744 ***