20511 2009-06-20 16:33:55 +0400 нет прав на чтение /var/lib/ssl/private/exim.pem 2010-09-29 18:17:31 +0400 1 1 4 Development Sisyphus openssl unstable all Linux CLOSED DUPLICATE 19744 P3 normal --- 1 slchess glebfm glebfm qa-sisyphus oldest_to_newest 93361 0 slchess 2009-06-20 16:33:55 +0400 TLS error on connection from x.x.x [x.x.x.x] (SSL_CTX_use_PrivateKey_file file= /var/lib/ssl/private/exim.pem): error:0200100D:system library:fopen:Permission denied 93362 1 slchess 2009-06-20 16:36:00 +0400 если изменить права /var/lib/ssl/private/ drwx--x--x 2 root root 55 Jun 20 15:31 private/ не сильно повредит безопасности? 94037 2 force 2009-07-01 20:29:28 +0400 (В ответ на комментарий №1) > если изменить права /var/lib/ssl/private/ > drwx--x--x 2 root root 55 Jun 20 15:31 private/ > не сильно повредит безопасности? Не совсем понятно чье (в смысле, какой программы) сообщение об ошибке Вы приводили в багрепорте. И не совсем понятно, почему баг повешен на exim-common, если: # rpmquery -f /var/lib/ssl/private/ openssl-0.9.8k-alt4 94061 3 slchess 2009-07-02 12:08:30 +0400 установил exim он создал сертификаты (пакет exim-common) разложил их по папкам включил в конфиге а прочитать при запуске сервиса не смог следовательно отвалилось smtp +ssl, сертификаты создают и другие программы, но они же как-то обходятся с провами на дир. openssl. 94085 4 force 2009-07-02 15:41:24 +0400 (В ответ на комментарий №3) > установил exim он создал сертификаты (пакет exim-common) разложил их по папкам > включил в конфиге а прочитать при запуске сервиса не смог следовательно > отвалилось smtp +ssl, сертификаты создают и другие программы, но они же как-то > обходятся с провами на дир. openssl. У других программ могут быть два варианта: 1. Программа просто не использует обсуждаемый каталог openssl. Например, использует для хранения ключей свою локальную нычку. 2. Программа читает приватный ключ, имея еще права root. Что касается прав на каталог приватных ключей openssl, то в других дистрибутивах наблюдаются менее драконовские решения. В RHEL (по крайней мере в RHEL4.4, которая сейчас под руками) вообще drwxr-xr-x. Для чтения exim'ом своего ключа достаточно и drwx--x--x. Но это - в компетенции ментейнера openssl. 112600 5 force 2010-09-23 19:15:48 +0400 Проблема возникает от излишне строгих прав на каталог принадлежащий пакету openssl. В связи с чем на него и перевешиваю. Если же ментейнер openssl откажется ослабить ограничение, придется уносить ключи в личный каталог exim'а. 112885 6 ldv 2010-09-29 18:17:31 +0400 . *** This bug has been marked as a duplicate of bug 19744 ***