Bug 20511 - нет прав на чтение /var/lib/ssl/private/exim.pem
Summary: нет прав на чтение /var/lib/ssl/private/exim.pem
Status: CLOSED DUPLICATE of bug 19744
Alias: None
Product: Sisyphus
Classification: Development
Component: openssl (show other bugs)
Version: unstable
Hardware: all Linux
: P3 normal
Assignee: Gleb F-Malinovskiy
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2009-06-20 16:33 MSD by Chess
Modified: 2010-09-29 18:17 MSD (History)
1 user (show)

See Also:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Chess 2009-06-20 16:33:55 MSD
TLS error on connection from x.x.x [x.x.x.x] (SSL_CTX_use_PrivateKey_file file=
/var/lib/ssl/private/exim.pem): error:0200100D:system library:fopen:Permission denied
Comment 1 Chess 2009-06-20 16:36:00 MSD
если изменить права /var/lib/ssl/private/
drwx--x--x  2 root root   55 Jun 20 15:31 private/
не сильно повредит безопасности?
Comment 2 Victor Forsyuk 2009-07-01 20:29:28 MSD
(В ответ на комментарий №1)
> если изменить права /var/lib/ssl/private/
> drwx--x--x  2 root root   55 Jun 20 15:31 private/
> не сильно повредит безопасности?

Не совсем понятно чье (в смысле, какой программы) сообщение об ошибке Вы приводили в багрепорте. И не совсем понятно, почему баг повешен на exim-common, если:

# rpmquery -f /var/lib/ssl/private/
openssl-0.9.8k-alt4
Comment 3 Chess 2009-07-02 12:08:30 MSD
установил exim он создал сертификаты (пакет exim-common) разложил их по папкам включил в конфиге а прочитать при запуске сервиса не смог следовательно отвалилось smtp +ssl, сертификаты создают и другие программы, но они же как-то обходятся с провами на дир. openssl.
Comment 4 Victor Forsyuk 2009-07-02 15:41:24 MSD
(В ответ на комментарий №3)
> установил exim он создал сертификаты (пакет exim-common) разложил их по папкам
> включил в конфиге а прочитать при запуске сервиса не смог следовательно
> отвалилось smtp +ssl, сертификаты создают и другие программы, но они же как-то
> обходятся с провами на дир. openssl.

У других программ могут быть два варианта:
1. Программа просто не использует обсуждаемый каталог openssl. Например, использует для хранения ключей свою локальную нычку.
2. Программа читает приватный ключ, имея еще права root.

Что касается прав на каталог приватных ключей openssl, то в других дистрибутивах наблюдаются менее драконовские решения. В RHEL (по крайней мере в RHEL4.4, которая сейчас под руками) вообще drwxr-xr-x. Для чтения exim'ом своего ключа достаточно и drwx--x--x. Но это - в компетенции ментейнера openssl.
Comment 5 Victor Forsyuk 2010-09-23 19:15:48 MSD
Проблема возникает от излишне строгих прав на каталог принадлежащий пакету openssl. В связи с чем на него и перевешиваю. Если же ментейнер openssl откажется ослабить ограничение, придется уносить ключи в личный каталог exim'а.
Comment 6 Dmitry V. Levin 2010-09-29 18:17:31 MSD
.

*** This bug has been marked as a duplicate of bug 19744 ***