27100 2012-03-21 11:09:49 +0400 Incomplete chroot environment prevents connections via SSL 2012-03-23 00:55:55 +0400 1 1 4 Development Sisyphus MySQL-server unstable all Linux CLOSED FIXED P3 major --- 1 naf mike mike nickel rider shaba qa-sisyphus oldest_to_newest 129927 0 naf 2012-03-21 11:09:49 +0400 Для текущего 5.1.61-alt1, а также как минимум для 5.1.56-alt4 из t6, невозможны соединения с сервером с использованием SSL. Настройка сервера: [mysqld] .... ssl=1 ssl-cert=/etc/mysql/server.cert ssl-key=/etc/mysql/server.key .... Сертификаты создаются с использованием cert-sh-functions. /etc/mysql/ создаётся внутри chroot. После перезапуска сервера согласно "SHOW VARIABLES LIKE '%ssl%'" поддержка SSL в нём включена. Подключение клиента через SSL заканчивается ошибкой: # mysql --ssl --ssl-ca=/var/lib/mysql/etc/mysql/server.cert ERROR 2026 (HY000): SSL connection error Сообщение на стороне сервера - "08S01Bad handshake". Причина - отсутствие внутри chroot /dev/urandom . После создания устройства и перезапуска сервера mkdir /var/lib/mysql/dev mknod /var/lib/mysql/dev/urandom c 1 9 chown root:root /var/lib/mysql/dev /var/lib/mysql/dev/urandom service mysqld restart соединения через SSL начинают работать: # mysql --ssl --ssl-ca=/var/lib/mysql/etc/mysql/server.cert .... mysql> status; ... SSL: Cipher in use is DHE-RSA-AES256-SHA ... 129935 1 mike 2012-03-21 13:28:53 +0400 Спасибо, так и сделал в /etc/chroot.d/mysql.lib. 129938 2 repository-robot 2012-03-21 14:11:19 +0400 MySQL-5.1.61-alt2 -> sisyphus: * Wed Mar 21 2012 Michael Shigorin <mike@altlinux> 5.1.61-alt2 - create /dev/urandom in chroot so SSL support actually works; thanks naf@ (closes: #27100) 129963 3 naf 2012-03-22 13:02:54 +0400 Спасибо! ... Хотя странно это всё. /dev/urandom, по документации, нужен для встроенного yaSSL - т.е. для <= 5.1.56-alt1 . Упоминаний о его необходимости в сборках с OpenSSL нет, и что-то в коде MySQL его тоже сходу увидеть не удалось. Но без него не работает - ни 5.1.56-alt1, ни сборки с OpenSSL. 130004 4 mike 2012-03-23 00:55:55 +0400 Про yassl/openssl заметил, но сам с SSL его никогда не применял -- либо сокет, либо в пределах одного физического хоста опять же...