https://www.opennet.ru/openforum/vsluhforumID1/94837.html Достался в наследство сервер на CentOS 5.4 со связкой Proftpd+MySQL с поддержкой SSL (сертификат и ключ выпущены GoDaddy). Uptime к моменту возникновения проблемы был больше 7 месяцев. После перезагрузки получили<br><br>eu mysqld[10971]: SSL error: Unable to get private key from '/var/www/site/config/ssl/server.key'<br>eu mysqld[10971]: 130715 10:58:31 [Warning] Failed to setup SSL<br>eu mysqld[10971]: 130715 10:58:31 [Warning] SSL error: Unable to get private key<br><br>сам файл существует<br><br>[root@eu lib]# ls -l /var/www/site/config/ssl/server.key<br>-r-------- 1 root mysql 1679 Jun 21 2012 /var/www/site/config/ssl/server.key<br><br>Если (в качестве костыля) разрешить доступ к этому файлу для mysql<br><br>[root@eu lib]# ls -l /var/www/site/config/ssl/server.key<br>-r--r----- 1 root mysql 1679 Jun 21 2012 /var/www/site/config/ssl/server.key<br><br>то MySQL стартует без ошибки касательно SSL. Но остается еще proftpd, который запускается от nobody/nogroup. Поэтому приходится ставить еще один костыль и для proftpd<br><br>[root@eu lib]# ls - https://www.opennet.ru/openforum/vsluhforumID1/94837.html#3 Tue, 16 Jul 2013 10:27:19 GMT <br>&gt; Однако режим доступа к ключу 444 вместо 400 - это неверно, как <br>&gt; мне кажется.<br>&gt; Вопросы к тем, у кого есть подобная связка: <br>&gt; - что могло сломаться?<br><br>Что угодно, например:<br>1) Правили конфиги без перезапуска.<br>2) мускул п фтп запустили вручную от рута.<br>3) возможно (давно уже его не ставил) профтпд запускается от рута, а после чтения ключа понижает себе права.<br>&gt; - как решить проблему с безопасностью?<br><br>Если действительно необходим шифрованный канал к мускулу, крутящемуся на том же хосте, то сренерируйте для него отдельную связку ключей.<br>А еще проще, воспользуйтесь советом выше.<br> https://www.opennet.ru/openforum/vsluhforumID1/94837.html#2 Tue, 16 Jul 2013 09:44:43 GMT &gt;&gt; Однако режим доступа к ключу 444 вместо 400 - это неверно, как <br>&gt;&gt; мне кажется.<br>&gt;&gt; Вопросы к тем, у кого есть подобная связка: <br>&gt;&gt; - что могло сломаться?<br>&gt;&gt; - как решить проблему с безопасностью?<br>&gt; Как одно из решений: <br>&gt; -заводишь отдельную группу <br>&gt; -даешь группе доступ на чтение сертификата <br>&gt; -заводишь нужных пользователей в эту группу.<br><br>Спасибо. Про группу в общем-то было и так понятно. <br>Может кто с рабочей системы пример приведет?<br> https://www.opennet.ru/openforum/vsluhforumID1/94837.html#1 Mon, 15 Jul 2013 17:15:49 GMT <br>&gt; Однако режим доступа к ключу 444 вместо 400 - это неверно, как <br>&gt; мне кажется.<br>&gt; Вопросы к тем, у кого есть подобная связка: <br>&gt; - что могло сломаться?<br>&gt; - как решить проблему с безопасностью?<br><br>Как одно из решений:<br>-заводишь отдельную группу<br>-даешь группе доступ на чтение сертификата<br>-заводишь нужных пользователей в эту группу.<br><br><br><br>