Bug 19716 - Add copy_ssl_certs() function
: Add copy_ssl_certs() function
Status: ASSIGNED
: Sisyphus
(All bugs in Sisyphus/chrooted)
: unstable
: all Linux
: P3 enhancement
Assigned To:
:
: http://git.altlinux.org/people/raorn/...
:
:
:
  Show dependency tree
 
Reported: 2009-04-22 00:35 by
Modified: 2009-09-20 04:40 (History)


Attachments


Note

You need to log in before you can comment on or make changes to this bug.


Description From 2009-04-22 00:35:21
Я нарисовал костылик для openldap, который копирует в чрут содержимое
/var/lib/ssl/cert{s/*,.pem} и /var/lib/ssl/private/NAME.*.  Тогда libssl сможет
проверять сертификаты и в чруте.  Есть мнение, что похожий кусок кода
заслуживает быть вынесенным в отдельную функцию.
------- Comment #1 From 2009-06-01 00:54:50 -------
(In reply to comment #0)
> Я нарисовал костылик для openldap, который копирует в чрут содержимое
> /var/lib/ssl/cert{s/*,.pem} и /var/lib/ssl/private/NAME.*.  Тогда libssl сможет
> проверять сертификаты и в чруте.  Есть мнение, что похожий кусок кода
> заслуживает быть вынесенным в отдельную функцию.

Да, заслуживает.  Я могу рассчитывать на готовый патч?
------- Comment #2 From 2009-06-01 02:45:01 -------
0.3.6-alt2-2-gfe44138 у меня в git.
------- Comment #3 From 2009-06-01 02:46:31 -------
0.3.6-alt2-2-ga3421b3, извините.
------- Comment #4 From 2009-09-20 02:54:30 -------
В патче файлы при копировании становятся общедоступными.  Это так и было
задумано?
------- Comment #5 From 2009-09-20 04:25:48 -------
Ну как бы да.  Если что-то работает в чруте, значит не от рута.  Если нужны
сертификаты/ключи, значит оно хочет их читать работая от псевдопользователя.

Вопрос, как я понимаю, в том, чтобы никто снаружи чрута не прочитал что не
надо?
------- Comment #6 From 2009-09-20 04:30:19 -------
(In reply to comment #5)
> Ну как бы да.  Если что-то работает в чруте, значит не от рута.  Если нужны
> сертификаты/ключи, значит оно хочет их читать работая от псевдопользователя.

Возможно, оно читает /var/lib/ssl/private/ от рута, а потом понижает права до
псевдопользователя?

> Вопрос, как я понимаю, в том, чтобы никто снаружи чрута не прочитал что не
> надо?

И в этом тоже, конечно.
------- Comment #7 From 2009-09-20 04:40:37 -------
(In reply to comment #6)
> Возможно, оно читает /var/lib/ssl/private/ от рута, а потом понижает права до
> псевдопользователя?
Тогда /var/lib/ssl/private/* в чруте не нужны, с очень большой вероятностью это
происходит до чрутизации.

> И в этом тоже, конечно.

Ну, в редких случаях когда /var/lib/ssl/private/* читается находясь в чруте,
это можно ограничить правами на сам чрут.