The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Proftpd+MySQL+SSL - доступ к файлу ключа"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Linux привязка / Linux)
Изначальное сообщение [ Отслеживать ]

"Proftpd+MySQL+SSL - доступ к файлу ключа"  +/
Сообщение от PJ (ok) on 15-Июл-13, 16:12 
Достался в наследство сервер на CentOS 5.4 со связкой Proftpd+MySQL с поддержкой SSL (сертификат и ключ выпущены GoDaddy). Uptime к моменту возникновения проблемы был больше 7 месяцев. После перезагрузки получили

eu mysqld[10971]: SSL error: Unable to get private key from '/var/www/site/config/ssl/server.key'
eu mysqld[10971]: 130715 10:58:31 [Warning] Failed to setup SSL
eu mysqld[10971]: 130715 10:58:31 [Warning] SSL error: Unable to get private key

сам файл существует

[root@eu lib]# ls -l /var/www/site/config/ssl/server.key
-r-------- 1 root mysql 1679 Jun 21  2012 /var/www/site/config/ssl/server.key

Если (в качестве костыля) разрешить доступ к этому файлу для mysql

[root@eu lib]# ls -l /var/www/site/config/ssl/server.key
-r--r----- 1 root mysql 1679 Jun 21  2012 /var/www/site/config/ssl/server.key

то MySQL стартует без ошибки касательно SSL. Но остается еще proftpd, который запускается от nobody/nogroup. Поэтому приходится ставить еще один костыль и для proftpd

[root@eu lib]# ls -l /var/www/site/config/ssl/server.key
-r--r--r-- 1 root mysql 1679 Jun 21  2012 /var/www/site/config/ssl/server.key

Однако режим доступа к ключу 444 вместо 400 - это неверно, как мне кажется.
Вопросы к тем, у кого есть подобная связка:
- что могло сломаться?
- как решить проблему с безопасностью?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Proftpd+MySQL+SSL - доступ к файлу ключа"  +/
Сообщение от PavelR (ok) on 15-Июл-13, 21:15 

> Однако режим доступа к ключу 444 вместо 400 - это неверно, как
> мне кажется.
> Вопросы к тем, у кого есть подобная связка:
> - что могло сломаться?
> - как решить проблему с безопасностью?

Как одно из решений:
-заводишь отдельную группу
-даешь группе доступ на чтение сертификата
-заводишь нужных пользователей в эту группу.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Proftpd+MySQL+SSL - доступ к файлу ключа"  +/
Сообщение от PJ (ok) on 16-Июл-13, 13:44 
>> Однако режим доступа к ключу 444 вместо 400 - это неверно, как
>> мне кажется.
>> Вопросы к тем, у кого есть подобная связка:
>> - что могло сломаться?
>> - как решить проблему с безопасностью?
> Как одно из решений:
> -заводишь отдельную группу
> -даешь группе доступ на чтение сертификата
> -заводишь нужных пользователей в эту группу.

Спасибо. Про группу в общем-то было и так понятно.
Может кто с рабочей системы пример приведет?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Proftpd+MySQL+SSL - доступ к файлу ключа"  +/
Сообщение от gg (??) on 16-Июл-13, 14:27 

> Однако режим доступа к ключу 444 вместо 400 - это неверно, как
> мне кажется.
> Вопросы к тем, у кого есть подобная связка:
> - что могло сломаться?

Что угодно, например:
1) Правили конфиги без перезапуска.
2) мускул п фтп запустили вручную от рута.
3) возможно (давно уже его не ставил) профтпд запускается от рута, а после чтения ключа понижает себе права.
> - как решить проблему с безопасностью?

Если действительно необходим шифрованный канал к мускулу, крутящемуся на том же хосте, то сренерируйте для него отдельную связку ключей.
А еще проще, воспользуйтесь советом выше.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2023 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру