19716 2009-04-22 00:35:21 +0400 Add copy_ssl_certs() function 2009-09-20 04:40:37 +0400 1 1 4 Development Sisyphus chrooted unstable all Linux ASSIGNED http://git.altlinux.org/people/raorn/packages/?p=openldap.git;a=commitdiff;h=d3e18063 P3 enhancement --- 1 raorn placeholder glebfm ldv placeholder vt qa-sisyphus oldest_to_newest 89861 0 raorn 2009-04-22 00:35:21 +0400 Я нарисовал костылик для openldap, который копирует в чрут содержимое /var/lib/ssl/cert{s/*,.pem} и /var/lib/ssl/private/NAME.*. Тогда libssl сможет проверять сертификаты и в чруте. Есть мнение, что похожий кусок кода заслуживает быть вынесенным в отдельную функцию. 92165 1 ldv 2009-06-01 00:54:50 +0400 (In reply to comment #0) > Я нарисовал костылик для openldap, который копирует в чрут содержимое > /var/lib/ssl/cert{s/*,.pem} и /var/lib/ssl/private/NAME.*. Тогда libssl сможет > проверять сертификаты и в чруте. Есть мнение, что похожий кусок кода > заслуживает быть вынесенным в отдельную функцию. Да, заслуживает. Я могу рассчитывать на готовый патч? 92180 2 raorn 2009-06-01 02:45:01 +0400 0.3.6-alt2-2-gfe44138 у меня в git. 92181 3 raorn 2009-06-01 02:46:31 +0400 0.3.6-alt2-2-ga3421b3, извините. 99540 4 ldv 2009-09-20 02:54:30 +0400 В патче файлы при копировании становятся общедоступными. Это так и было задумано? 99551 5 raorn 2009-09-20 04:25:48 +0400 Ну как бы да. Если что-то работает в чруте, значит не от рута. Если нужны сертификаты/ключи, значит оно хочет их читать работая от псевдопользователя. Вопрос, как я понимаю, в том, чтобы никто снаружи чрута не прочитал что не надо? 99553 6 ldv 2009-09-20 04:30:19 +0400 (In reply to comment #5) > Ну как бы да. Если что-то работает в чруте, значит не от рута. Если нужны > сертификаты/ключи, значит оно хочет их читать работая от псевдопользователя. Возможно, оно читает /var/lib/ssl/private/ от рута, а потом понижает права до псевдопользователя? > Вопрос, как я понимаю, в том, чтобы никто снаружи чрута не прочитал что не > надо? И в этом тоже, конечно. 99554 7 raorn 2009-09-20 04:40:37 +0400 (In reply to comment #6) > Возможно, оно читает /var/lib/ssl/private/ от рута, а потом понижает права до > псевдопользователя? Тогда /var/lib/ssl/private/* в чруте не нужны, с очень большой вероятностью это происходит до чрутизации. > И в этом тоже, конечно. Ну, в редких случаях когда /var/lib/ssl/private/* читается находясь в чруте, это можно ограничить правами на сам чрут.