URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 94837
[ Назад ]

Исходное сообщение
"Proftpd+MySQL+SSL - доступ к файлу ключа"

Отправлено PJ , 15-Июл-13 16:12 
Достался в наследство сервер на CentOS 5.4 со связкой Proftpd+MySQL с поддержкой SSL (сертификат и ключ выпущены GoDaddy). Uptime к моменту возникновения проблемы был больше 7 месяцев. После перезагрузки получили

eu mysqld[10971]: SSL error: Unable to get private key from '/var/www/site/config/ssl/server.key'
eu mysqld[10971]: 130715 10:58:31 [Warning] Failed to setup SSL
eu mysqld[10971]: 130715 10:58:31 [Warning] SSL error: Unable to get private key

сам файл существует

[root@eu lib]# ls -l /var/www/site/config/ssl/server.key
-r-------- 1 root mysql 1679 Jun 21  2012 /var/www/site/config/ssl/server.key

Если (в качестве костыля) разрешить доступ к этому файлу для mysql

[root@eu lib]# ls -l /var/www/site/config/ssl/server.key
-r--r----- 1 root mysql 1679 Jun 21  2012 /var/www/site/config/ssl/server.key

то MySQL стартует без ошибки касательно SSL. Но остается еще proftpd, который запускается от nobody/nogroup. Поэтому приходится ставить еще один костыль и для proftpd

[root@eu lib]# ls -l /var/www/site/config/ssl/server.key
-r--r--r-- 1 root mysql 1679 Jun 21  2012 /var/www/site/config/ssl/server.key

Однако режим доступа к ключу 444 вместо 400 - это неверно, как мне кажется.
Вопросы к тем, у кого есть подобная связка:
- что могло сломаться?
- как решить проблему с безопасностью?


Содержание

Сообщения в этом обсуждении
"Proftpd+MySQL+SSL - доступ к файлу ключа"
Отправлено PavelR , 15-Июл-13 21:15 

> Однако режим доступа к ключу 444 вместо 400 - это неверно, как
> мне кажется.
> Вопросы к тем, у кого есть подобная связка:
> - что могло сломаться?
> - как решить проблему с безопасностью?

Как одно из решений:
-заводишь отдельную группу
-даешь группе доступ на чтение сертификата
-заводишь нужных пользователей в эту группу.


"Proftpd+MySQL+SSL - доступ к файлу ключа"
Отправлено PJ , 16-Июл-13 13:44 
>> Однако режим доступа к ключу 444 вместо 400 - это неверно, как
>> мне кажется.
>> Вопросы к тем, у кого есть подобная связка:
>> - что могло сломаться?
>> - как решить проблему с безопасностью?
> Как одно из решений:
> -заводишь отдельную группу
> -даешь группе доступ на чтение сертификата
> -заводишь нужных пользователей в эту группу.

Спасибо. Про группу в общем-то было и так понятно.
Может кто с рабочей системы пример приведет?


"Proftpd+MySQL+SSL - доступ к файлу ключа"
Отправлено gg , 16-Июл-13 14:27 

> Однако режим доступа к ключу 444 вместо 400 - это неверно, как
> мне кажется.
> Вопросы к тем, у кого есть подобная связка:
> - что могло сломаться?

Что угодно, например:
1) Правили конфиги без перезапуска.
2) мускул п фтп запустили вручную от рута.
3) возможно (давно уже его не ставил) профтпд запускается от рута, а после чтения ключа понижает себе права.
> - как решить проблему с безопасностью?

Если действительно необходим шифрованный канал к мускулу, крутящемуся на том же хосте, то сренерируйте для него отдельную связку ключей.
А еще проще, воспользуйтесь советом выше.