Điểm:1

Gia hạn Let's Encrypt mà không cần truy cập root

lá cờ in

Tôi đang ở trong một tình huống đặc biệt và không may khi quản trị viên mạng của chúng tôi đột ngột qua đời và không ai sẵn sàng tiếp quản quyền quản lý máy chủ. Chúng tôi có một máy ảo Linux nội bộ chạy các API giao tiếp với máy khách và tôi vừa nhận được thông báo rằng Let's Encrypt SSL sẽ hết hạn vào ngày 1/7/2021.

Tôi không chắc liệu quản trị viên mạng có đặt nó ở chế độ tự động gia hạn hay không... Không có đề cập đến certbot trong crontab "bình thường" (được truy cập bởi crontab -e), nhưng có những điều sau đây trong /etc/cron.d/certbot:

0 */12 * * * kiểm tra gốc -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(43200))' && certbot -q gia hạn

Lưu ý: Tôi không quen thuộc với bất kỳ điều gì trong số này, vì vậy các mô tả của tôi ở trên có thể không phù hợp...

Tôi có quyền truy cập SSH thông qua một người dùng trên máy chủ, nhưng không có quyền truy cập root. Có vẻ như quản trị viên mạng không lưu trữ mật khẩu gốc ở bất kỳ đâu. Nếu tôi cố gắng gia hạn SSL theo cách thủ công để đảm bảo an toàn thông qua certbot gia hạn --dry-run, tôi nhận được như sau:

Đã xảy ra lỗi sau:
[Errno 13] Quyền bị từ chối: '/var/log/letsencrypt/.certbot.lock'
Chạy với quyền root hoặc đặt --config-dir, --work-dir và --logs-dir thành các đường dẫn có thể ghi.

Vì vậy, có cách nào để biết chắc chắn liệu SSL hiện tại cuối cùng sẽ tự động gia hạn hay một cách để gia hạn mà không cần quyền truy cập root?

Cảm ơn trước.

Michael Hampton avatar
lá cờ cz
Nó có lẽ đã làm mới. Nhưng các ưu tiên của bạn đã sai: Bạn cần khôi phục quyền truy cập root _first_, trước mọi thứ khác.
scferg5 avatar
lá cờ in
Nếu tôi truy cập URL và kiểm tra chứng chỉ, nó vẫn báo hết hạn vào ngày 1/7/2021. Và đồng ý rằng quyền truy cập root cần được khôi phục - chúng tôi cũng đang nghiên cứu vấn đề đó, cho đến nay vẫn chưa gặp may.
A.B avatar
lá cờ cl
A.B
Nếu không có gì được mã hóa (ví dụ: sử dụng LUKS), phương pháp thông thường khi mật khẩu gốc bị mất, **với thời gian chết**, là khởi động từ một số iso cứu hộ để có thể thay thế mật khẩu gốc từ /etc/shadow.
Điểm:3
lá cờ cn

Nếu bạn muốn thay thế chứng chỉ này (nếu nó không tự gia hạn) mà không có thời gian chết, tôi chỉ thấy một tùy chọn - proxy ngược trên máy chủ thứ hai.

Tất cả trong tất cả, bạn sẽ phải đột nhập.Cách dễ nhất là khởi động lại máy chủ, thêm tham số khởi động "single init=/bin/bash", sử dụng passwd để thay đổi mật khẩu rồi khởi động lại - có thể có một số bước bổ sung tùy thuộc vào bản phân phối - bạn sẽ dễ dàng tìm thấy hướng dẫn trên internet.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.