Summary: | нет прав на чтение /var/lib/ssl/private/exim.pem | ||
---|---|---|---|
Product: | Sisyphus | Reporter: | Chess <slchess> |
Component: | openssl | Assignee: | Gleb F-Malinovskiy <glebfm> |
Status: | CLOSED DUPLICATE | QA Contact: | qa-sisyphus |
Severity: | normal | ||
Priority: | P3 | CC: | glebfm |
Version: | unstable | ||
Hardware: | all | ||
OS: | Linux |
Description
Chess
2009-06-20 16:33:55 MSD
если изменить права /var/lib/ssl/private/ drwx--x--x 2 root root 55 Jun 20 15:31 private/ не сильно повредит безопасности? (В ответ на комментарий №1)
> если изменить права /var/lib/ssl/private/
> drwx--x--x 2 root root 55 Jun 20 15:31 private/
> не сильно повредит безопасности?
Не совсем понятно чье (в смысле, какой программы) сообщение об ошибке Вы приводили в багрепорте. И не совсем понятно, почему баг повешен на exim-common, если:
# rpmquery -f /var/lib/ssl/private/
openssl-0.9.8k-alt4
установил exim он создал сертификаты (пакет exim-common) разложил их по папкам включил в конфиге а прочитать при запуске сервиса не смог следовательно отвалилось smtp +ssl, сертификаты создают и другие программы, но они же как-то обходятся с провами на дир. openssl. (В ответ на комментарий №3) > установил exim он создал сертификаты (пакет exim-common) разложил их по папкам > включил в конфиге а прочитать при запуске сервиса не смог следовательно > отвалилось smtp +ssl, сертификаты создают и другие программы, но они же как-то > обходятся с провами на дир. openssl. У других программ могут быть два варианта: 1. Программа просто не использует обсуждаемый каталог openssl. Например, использует для хранения ключей свою локальную нычку. 2. Программа читает приватный ключ, имея еще права root. Что касается прав на каталог приватных ключей openssl, то в других дистрибутивах наблюдаются менее драконовские решения. В RHEL (по крайней мере в RHEL4.4, которая сейчас под руками) вообще drwxr-xr-x. Для чтения exim'ом своего ключа достаточно и drwx--x--x. Но это - в компетенции ментейнера openssl. Проблема возникает от излишне строгих прав на каталог принадлежащий пакету openssl. В связи с чем на него и перевешиваю. Если же ментейнер openssl откажется ослабить ограничение, придется уносить ключи в личный каталог exim'а. |