Tham gia Đăng nhập
Điểm:0
fugee ohu avatar Server

lỗi từ chối quyền đối với chứng chỉ letencrypt

lá cờ za
fugee ohu

Lỗi này là do dovecot, nơi nó không thể đọc chứng chỉ vì quyền. Tôi đã thử thay đổi quyền, hiện tại tôi có mọi thứ trên 644. Tôi hiểu rằng đường dẫn chỉ là liên kết đến /etc/letsencrypt/archives đường dẫn tệp vì vậy tôi thực sự không biết chuyện gì đang xảy ra. Tôi không biết các perm trên liên kết ảnh hưởng đến các mục tiêu như thế nào

thư dovecot: imap(example_user)<28542><mxY1sjPSlsxHvuNn>: 
 Hoảng loạn: Kiểm tra cài đặt bất ngờ thất bại: ssl_client_ca_dir: 
 truy cập (/etc/letsencrypt/live/mail.servicemouse.com) không thành công: Quyền bị từ chối
1037
0 + 0
Điểm:0
Nikita Kipriyanov avatar Server
lá cờ za
Nikita Kipriyanov

Bạn cần đặt quyền hợp lý cho cả thư mục nơi liên kết là (/etc/letsencrypt/live) và tập tin thực (/etc/letsencrypt/archives). Và sửa nó mỗi khi bạn gia hạn chứng chỉ, vì các tệp mới có quyền "an toàn". Kịch bản sau đây tôi đã sử dụng một thời gian trước đây:

#!/bin/bash

#use: certbot gia hạn --post-hook /usr/local/bin/certbot-renew-fix-file-access.sh

chmod 0755 /etc/letsencrypt/
chmod 0711 /etc/letsencrypt/live/
chmod 0750 /etc/letsencrypt/live/example.com/
chmod 0711 /etc/letsencrypt/archive/
chmod 0750 /etc/letsencrypt/archive/example.com/
chmod 0640 /etc/letsencrypt/archive/example.com/{cert,chain,fullchain}*.pem
chmod 0640 /etc/letsencrypt/archive/example.com/privkey*.pem

chown root:root /etc/letsencrypt/
chown root:root /etc/letsencrypt/live/
chown root:mail /etc/letsencrypt/live/example.com/
chown root:root /etc/letsencrypt/archive/
chown root:mail /etc/letsencrypt/archive/example.com/
chown root:mail /etc/letsencrypt/archive/example.com/{cert,chain,fullchain}*.pem
chown root:mail /etc/letsencrypt/archive/example.com/privkey*.pem

/etc/init.d/postfix khởi động lại
/etc/init.d/cyrus khởi động lại
/etc/init.d/apache2 khởi động lại

Bạn cần điều chỉnh tên máy chủ, tên nhóm mà dịch vụ của bạn chạy nếu không email và các dịch vụ cần nhận chứng chỉ mới sau khi gia hạn.

0 + 0
fugee ohu avatar
lá cờ za
fugee ohu
Bạn đang chạy Ubuntu? Bạn có ý nghĩa gì khi thích nghi?
0
Hồi đáp
fugee ohu avatar
lá cờ za
fugee ohu
Tất cả các perm đó phải cụ thể đến mức bạn không thể sử dụng một mặt nạ perms với tùy chọn -R?
0
Hồi đáp
Nikita Kipriyanov avatar
lá cờ za
Nikita Kipriyanov
Không, tôi chưa bao giờ chạy Ubuntu trên máy chủ, nhưng điều này không thành vấn đề. `certbot` cũng làm như vậy ở mọi nơi. Các perm giống như tối thiểu nhưng được phép hoạt động. Bạn có thể cho phép mọi thứ cho mọi người, điều đó sẽ còn dễ dàng hơn và ngắn hơn, nhưng tôi không nghĩ điều này an toàn lắm.
0
Hồi đáp
fugee ohu avatar
lá cờ za
fugee ohu
Mọi thứ đều được chown root:root trên hệ thống của tôi Tại sao lại đặt nhóm thành thư?
0
Hồi đáp
Nikita Kipriyanov avatar
lá cờ za
Nikita Kipriyanov
Lưu ý rằng tôi không chỉ thay đổi nhóm thành `mail` mà còn thay đổi thành `xx0` đối với một số đối tượng. Vì vậy, chỉ các dịch vụ thư (thuộc nhóm `mail`) mới có thể truy cập các khóa riêng tư đó. Bạn có thể làm cách đơn giản hơn nhưng sẽ kém an toàn hơn. Tập lệnh được trình bày cho thấy cách an toàn nhất để thực hiện (ví dụ: bạn sẽ cần có các khóa này với các quyền này ở đâu đó, bằng cách này hay cách khác).
0
Hồi đáp
fugee ohu avatar
lá cờ za
fugee ohu
Và sau đó bạn sẽ thêm người dùng postfix và dovecot vào thư nhóm? Tôi không biết ý nghĩa của xx0. Vui lòng cho tôi biết Nếu tôi vừa chạy ```chmod -R 644 /etc/letsencrypt/archive``` bạn có nghĩ điều đó sẽ làm được không?
0
Hồi đáp
Nikita Kipriyanov avatar
lá cờ za
Nikita Kipriyanov
Postfix `master` chạy dưới dạng `root`, vì vậy nó đọc các chứng chỉ/khóa với tư cách là root và sau đó loại bỏ các đặc quyền. Apache cũng làm như vậy; thông báo tôi khởi động lại nó, không tải lại. Chính là người chạy `cyrus:mail` trên máy chủ của tôi và do đó yêu cầu thiết lập này. Tôi không bao giờ sử dụng dovecot, tôi không biết nó chạy các quy trình của nó như thế nào; thiết lập là chung chung. Bạn có thể đặt quyền theo ý muốn, nhưng **Tôi *không* khuyên bạn nên cấp quyền truy cập cho mọi người**, giống như 644. Theo thuật ngữ "xx0", ý tôi là "mọi người" không có bất kỳ quyền truy cập nào; ví dụ. các chế độ thực có thể là 640, 440, 400, 750, 100, ví dụ: một cái gì đó (thích hợp) kết thúc bằng số không.
0
Hồi đáp
fugee ohu avatar
lá cờ za
fugee ohu
Làm cách nào tôi có thể xem người dùng và nhóm mà một quy trình chạy dưới dạng
0
Hồi đáp
Nikita Kipriyanov avatar
lá cờ za
Nikita Kipriyanov
Về mặt kỹ thuật, `ps axu`, nhưng **hãy đọc tài liệu về phần mềm cụ thể của bạn**. Ví dụ, Postfix chạy một số quy trình với quyền root, một số quy trình không có ai; nó được đề cập sâu trong tài liệu, trong khi với khám phá ngắn gọn này, bạn có thể bỏ lỡ sự thật này.
0
Hồi đáp
fugee ohu avatar
lá cờ za
fugee ohu
Vì vậy, tôi đã tìm thấy postfix, dovecot, cyrus tất cả đều chạy bằng root mà không đề cập đến nhóm
0
Hồi đáp
fugee ohu avatar
lá cờ za
fugee ohu
Tôi đã chạy tập lệnh, tôi vẫn gặp sự cố tương tự
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.