Điểm:0

certbot tạo một thách thức thuộc sở hữu của root:root và quyền 640 và apache không thể truy cập nó - ACL tùy chỉnh được áp dụng trên thư mục mẹ

lá cờ br

Trên máy chủ của mình, tôi có các quyền đặc biệt mà tôi đã đặt trên thư mục public_html của mình.

Đầu tiên là bit dính

chmod g+s /home/domain.com/public_html

Ngoài ra quyền nhóm mặc định.

setfacl -m 'default:group::rwX' /home/domain.com/public_html

Khi tôi chạy lệnh certbot của mình

certbot certonly \
        --webroot\
        -w /home/domain.com/public_html/ -d domain.com

certbot sẽ tạo một .well-known/acme-challenge trong thư mục public_html với các quyền chính xác. Nó thậm chí còn giữ đúng tên nhóm. Tuy nhiên bản thân thử thách acme sẽ có những điều sau.

-rw-r----- 1 gốc gốc 87 ngày 7 tháng 2 17:27 ELnik5A0krJsKUsL2If1mVfd2pSzWJAiSSjhA6h-f5E

Nó được sở hữu bởi root và có root nhóm và apache2 không thể đọc được. Vì vậy, toàn bộ hoạt động thất bại.

Thêm --debug-challenges sẽ cho phép nó tạm dừng để tôi có thể sửa nó theo cách thủ công, nhưng tôi có cảm giác việc gia hạn có thể là một vấn đề.

lựa chọn của tôi ở đây để khắc phục điều này là gì?

lá cờ in
Tôi sẽ hỏi "tại sao bạn lại chạy certbot với quyền root", bạn có thể muốn xem xét việc chạy nó với tư cách là người dùng hạn chế hơn. ngay cả khi nó không giải quyết được vấn đề hiện tại của bạn.
Điểm:1
lá cờ za

Chà, bạn chỉ đơn thuần là quá phức tạp hóa mọi thứ. Giống như rất nhiều. Không cần tạo máy chủ web để xử lý tất cả các quyền và nội dung đặc biệt của bạn: chỉ cần biến nó thành webroot của riêng nó để giải quyết các thử thách với các quyền đơn giản (nó sẽ lưu trữ các tệp như 0,0001% trong thời gian tồn tại của nó và 99,9999% sẽ chỉ trống, vì vậy nó có thể được coi là hoàn toàn an toàn):

đối với nginx nó sẽ là

    vị trí ~* /.well-known/acme-challenge {
        chấp nhận tất cả;
        viết lại ^/(.*)$ /$1;
        gốc /var/www/le;
        nghỉ;
    }

và đối với phần mềm bỏ rơi như (không chắc chắn, không sử dụng nó trong nhiều thập kỷ)

    Bí danh "/.well-known/acme-challenge" "/var/www/le"

(nhưng nghiêm túc mà nói, hãy loại bỏ Apache, đó là một thứ của bảo tàng, hầu hết mọi người đã loại bỏ nó vào đầu những năm 10)

và sau đó chỉ cần gọi certbot bằng webroot mới:

certbot certonly --webroot -w /var/www/le -d foo.bar

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.