URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 94837
[ Назад ]

Исходное сообщение
"Proftpd+MySQL+SSL - доступ к файлу ключа"
Отправлено PJ , 15-Июл-13 16:12

Достался в наследство сервер на CentOS 5.4 со связкой Proftpd+MySQL с поддержкой SSL (сертификат и ключ выпущены GoDaddy). Uptime к моменту возникновения проблемы был больше 7 месяцев. После перезагрузки получили
eu mysqld[10971]: SSL error: Unable to get private key from '/var/www/site/config/ssl/server.key'
eu mysqld[10971]: 130715 10:58:31 [Warning] Failed to setup SSL
eu mysqld[10971]: 130715 10:58:31 [Warning] SSL error: Unable to get private key
сам файл существует
[root@eu lib]# ls -l /var/www/site/config/ssl/server.key
-r-------- 1 root mysql 1679 Jun 21  2012 /var/www/site/config/ssl/server.key
Если (в качестве костыля) разрешить доступ к этому файлу для mysql
[root@eu lib]# ls -l /var/www/site/config/ssl/server.key
-r--r----- 1 root mysql 1679 Jun 21  2012 /var/www/site/config/ssl/server.key
то MySQL стартует без ошибки касательно SSL. Но остается еще proftpd, который запускается от nobody/nogroup. Поэтому приходится ставить еще один костыль и для proftpd
[root@eu lib]# ls -l /var/www/site/config/ssl/server.key
-r--r--r-- 1 root mysql 1679 Jun 21  2012 /var/www/site/config/ssl/server.key
Однако режим доступа к ключу 444 вместо 400 - это неверно, как мне кажется.
Вопросы к тем, у кого есть подобная связка:
- что могло сломаться?
- как решить проблему с безопасностью?

Содержание

Proftpd+MySQL+SSL - доступ к файлу ключа,PavelR, 21:15 , 15-Июл-13
- Proftpd+MySQL+SSL - доступ к файлу ключа,PJ, 13:44 , 16-Июл-13
Proftpd+MySQL+SSL - доступ к файлу ключа,gg, 14:27 , 16-Июл-13

Сообщения в этом обсуждении

"Proftpd+MySQL+SSL - доступ к файлу ключа"
Отправлено PavelR , 15-Июл-13 21:15

> Однако режим доступа к ключу 444 вместо 400 - это неверно, как
> мне кажется.
> Вопросы к тем, у кого есть подобная связка:
> - что могло сломаться?
> - как решить проблему с безопасностью?
Как одно из решений:
-заводишь отдельную группу
-даешь группе доступ на чтение сертификата
-заводишь нужных пользователей в эту группу.

"Proftpd+MySQL+SSL - доступ к файлу ключа"
Отправлено PJ , 16-Июл-13 13:44

>> Однако режим доступа к ключу 444 вместо 400 - это неверно, как
>> мне кажется.
>> Вопросы к тем, у кого есть подобная связка:
>> - что могло сломаться?
>> - как решить проблему с безопасностью?
> Как одно из решений:
> -заводишь отдельную группу
> -даешь группе доступ на чтение сертификата
> -заводишь нужных пользователей в эту группу.
Спасибо. Про группу в общем-то было и так понятно.
Может кто с рабочей системы пример приведет?

"Proftpd+MySQL+SSL - доступ к файлу ключа"
Отправлено gg , 16-Июл-13 14:27

> Однако режим доступа к ключу 444 вместо 400 - это неверно, как
> мне кажется.
> Вопросы к тем, у кого есть подобная связка:
> - что могло сломаться?
Что угодно, например:
1) Правили конфиги без перезапуска.
2) мускул п фтп запустили вручную от рута.
3) возможно (давно уже его не ставил) профтпд запускается от рута, а после чтения ключа понижает себе права.
> - как решить проблему с безопасностью?
Если действительно необходим шифрованный канал к мускулу, крутящемуся на том же хосте, то сренерируйте для него отдельную связку ключей.
А еще проще, воспользуйтесь советом выше.