Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС.
Модераторы: SLEDopit , Модераторы разделов
nokogerra
Сообщения: 83
Сообщение nokogerra 15.06.2016 11:32
Доброго времени суток. debian 7.11
Со стороны клиента получал сообщение о timed out, в логе сервера имел следующее:
Код: Выделить всё
Wed Jun 15 15:00:57 2016 some_ip_addr:2653 CRL: cannot read: /etc/openvpn/crl.pem: Permission denied (errno=13)
openvpn работал от имени пользователя openvpn и группы openvpn (для этого и созданы). Список разрешений таков:
Код: Выделить всё
root@ovpn:~# ls -l /etc/openvpn/
итого 40
-rw------- 1 root root 1143 Июн 14 16:24 ca.crt
-rw------- 1 root root 613 Июн 14 16:24 crl.pem
-rw------- 1 root root 424 Июн 14 16:29 dh.pem
-rw-r--r-- 1 root root 986 Июн 14 15:50 openssl.cnf
-rw-r--r-- 1 root root 608 Июн 15 15:23 server.conf
-rw------- 1 root root 1834 Июн 14 16:25 server.key
-rw------- 1 root root 636 Июн 14 16:30 ta.key
-rwxr-xr-x 1 root root 1357 Дек 2 2014 update-resolv-conf
-rw------- 1 root root 4356 Июн 14 16:24 vpn-server.crt
После изменения в server.conf пользователя и группы от которых работает openvpn на root:root ошибка устранилась, но вопрос: как оказалось, что есть проблема с чтением именно crl.pem, лишь одного файла? Стоит сделать владельцем /etc/openvpn openvpn:openvpn? Как вообще корректно решить проблему?
nokogerra
Сообщения: 83
Сообщение nokogerra 15.06.2016 12:18
Ну сделал я -rw----r-- для файлов в каталоге /etc/openvpn, чтобы openvpn пользователь мог читать их при оставшемся владельце root, но почему проблема была только с crl.pem так и не ясно.
Bizdelnick
Модератор
Сообщения: 21253Статус: nulla salus belloОС: Debian GNU/Linux
Сообщение Bizdelnick 15.06.2016 12:23
nokogerra писал(а): ↑ 15.06.2016 11:32
как оказалось, что есть проблема с чтением именно crl.pem, лишь одного файла?
До чтения остальных просто дело не дошло.
nokogerra писал(а): ↑ 15.06.2016 11:32
Стоит сделать владельцем /etc/openvpn openvpn:openvpn?
Его стоит сделать владельцем файлов в этом каталоге, по крайней мере тех, на которые стоят права 600. Или сделать root:openvpn и права 640, по вкусу.
nokogerra писал(а): ↑ 15.06.2016 12:18
сделал я -rw----r--
А вот так делать не надо. Секретные ключи на то и секретные, что давать доступ к ним кому ни попадя не следует.
Пишите правильно:
в консоли вк у́пе (с чем-либо) в о бщемоо бще в течение (часа) о кню ансо у молчанию приемле мом ао ватьф ик
nokogerra
Сообщения: 83
Сообщение nokogerra 15.06.2016 12:37
Спасибо, воспользовался
Bizdelnick писал(а): ↑ 15.06.2016 12:23
...Или сделать root:openvpn и права 640, по вкусу.
в линукс вообще возможно гибкая раздача прав аля ntfs разрешения windows? т.е. для каждой отдельной группы/пользователя индивидуальные разрешения.
Bizdelnick
Модератор
Сообщения: 21253Статус: nulla salus belloОС: Debian GNU/Linux
Сообщение Bizdelnick 15.06.2016 12:42
nokogerra писал(а): ↑ 15.06.2016 12:37
в линукс вообще возможно гибкая раздача прав аля ntfs разрешения windows? т.е. для каждой отдельной группы/пользователя индивидуальные разрешения.
Да, через ACL (setfacl/getfacl). Только не советую этим увлекаться без необходимости, так и запутаться в правах недолго.
Пишите правильно:
в консоли вк у́пе (с чем-либо) в о бщемоо бще в течение (часа) о кню ансо у молчанию приемле мом ао ватьф ик
nokogerra
Сообщения: 83
Сообщение nokogerra 15.06.2016 12:51
Bizdelnick писал(а): ↑ 15.06.2016 12:42
nokogerra писал(а): ↑ 15.06.2016 12:37
в линукс вообще возможно гибкая раздача прав аля ntfs разрешения windows? т.е. для каждой отдельной группы/пользователя индивидуальные разрешения.
Да, через ACL (setfacl/getfacl). Только не советую этим увлекаться без необходимости, так и запутаться в правах недолго.
Спасибо, почитаю на досуге.
