certbot tạo một thách thức thuộc sở hữu của root:root và quyền 640 và apache không thể truy cập nó - ACL tùy chỉnh được áp dụng trên thư mục mẹ

Mikey A. Leonetti

20:35, 07/06/2023

Trên máy chủ của mình, tôi có các quyền đặc biệt mà tôi đã đặt trên thư mục public_html của mình.

Đầu tiên là bit dính

chmod g+s /home/domain.com/public_html

Ngoài ra quyền nhóm mặc định.

setfacl -m 'default:group::rwX' /home/domain.com/public_html

Khi tôi chạy lệnh certbot của mình

certbot certonly \
        --webroot\
        -w /home/domain.com/public_html/ -d domain.com

certbot sẽ tạo một .well-known/acme-challenge trong thư mục public_html với các quyền chính xác. Nó thậm chí còn giữ đúng tên nhóm. Tuy nhiên bản thân thử thách acme sẽ có những điều sau.

-rw-r----- 1 gốc gốc 87 ngày 7 tháng 2 17:27 ELnik5A0krJsKUsL2If1mVfd2pSzWJAiSSjhA6h-f5E

Nó được sở hữu bởi root và có root nhóm và apache2 không thể đọc được. Vì vậy, toàn bộ hoạt động thất bại.

Thêm --debug-challenges sẽ cho phép nó tạm dừng để tôi có thể sửa nó theo cách thủ công, nhưng tôi có cảm giác việc gia hạn có thể là một vấn đề.

lựa chọn của tôi ở đây để khắc phục điều này là gì?

0 + 0

Ubuntu

danh sách điều khiển truy cập

cho phép mã hóa

apache2

certbot

NiKiZe

22:12, 07/06/2023

Tôi sẽ hỏi "tại sao bạn lại chạy certbot với quyền root", bạn có thể muốn xem xét việc chạy nó với tư cách là người dùng hạn chế hơn. ngay cả khi nó không giải quyết được vấn đề hiện tại của bạn.

Hồi đáp

Điểm:1

Server

drookie

04:46, 10/06/2023

Chà, bạn chỉ đơn thuần là quá phức tạp hóa mọi thứ. Giống như rất nhiều. Không cần tạo máy chủ web để xử lý tất cả các quyền và nội dung đặc biệt của bạn: chỉ cần biến nó thành webroot của riêng nó để giải quyết các thử thách với các quyền đơn giản (nó sẽ lưu trữ các tệp như 0,0001% trong thời gian tồn tại của nó và 99,9999% sẽ chỉ trống, vì vậy nó có thể được coi là hoàn toàn an toàn):

đối với nginx nó sẽ là

    vị trí ~* /.well-known/acme-challenge {
        chấp nhận tất cả;
        viết lại ^/(.*)$ /$1;
        gốc /var/www/le;
        nghỉ;
    }

và đối với phần mềm bỏ rơi như (không chắc chắn, không sử dụng nó trong nhiều thập kỷ)

    Bí danh "/.well-known/acme-challenge" "/var/www/le"

(nhưng nghiêm túc mà nói, hãy loại bỏ Apache, đó là một thứ của bảo tàng, hầu hết mọi người đã loại bỏ nó vào đầu những năm 10)

và sau đó chỉ cần gọi certbot bằng webroot mới:

certbot certonly --webroot -w /var/www/le -d foo.bar

0 + 0

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: certbot creates a challenge owned by root:root and permissions 640 and apache can't access it - custom ACLs applied on parent directory

TH: certbot สร้างความท้าทายที่เป็นของ root:root และสิทธิ์ 640 และ apache ไม่สามารถเข้าถึงได้ - ACL แบบกำหนดเองที่ใช้กับไดเร็กทอรีหลัก

RO: certbot creează o provocare deținută de root:root și permisiunile 640 și apache nu o poate accesa - ACL-uri personalizate aplicate în directorul părinte

RU: certbot создает вызов, принадлежащий root:root и разрешения 640, и apache не может получить к нему доступ - настраиваемые ACL применяются к родительскому каталогу

VI: certbot tạo một thách thức thuộc sở hữu của root:root và quyền 640 và apache không thể truy cập nó - ACL tùy chỉnh được áp dụng trên thư mục mẹ

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.