certbot - стоит ли запускать из под спецюзера

Dmitry Dolzenko написал(а) к All в Sep 22 14:12:45 по местному времени:

From: Dmitry Dolzenko <dol@mig.phys.msu.ru>

Привет!

Смотрю во всех мануалах certbot запускают из под рута.
Вот думаю, стоит ли сделать запуск из под юзера certbot?
Вроде просто получается

pw useradd certbot
chown -R certbot /var/log/letsencrypt /usr/local/etc/letsencrypt
/var/db/letsencrypt /usr/local/etc/certbot.ini

su certbot -c "certbot renew"

Но возникает проблема с перезапуском dovecot postfix и apache в случает
опбновленного сертификата. Из под юзера posthook не отработает ...

/D
--- ifmail v.2.15dev5.4

Dmitry Dolzenko написал(а) к Dmitry Dolzenko в Sep 22 15:05:46 по местному времени:

From: Dmitry Dolzenko <dol@mig.phys.msu.ru>
Subject: Re: certbot - \xC3\x93\xC3\x94\xC3\x8F\xC3\x89\xC3\x94 \xC3\x8C\xC3\x89 \xC3\x9A\xC3\x81\xC3\x90\xC3\x95\xC3\x93\xC3\x8B\xC3\x81\xC3\x94\xC3\x98 \xC3\x89\xC3\x9A \xC3\x90\xC3\x8F\xC3\x84 \xC3\x93\xC3\x90\xC3\x85\xC3\x83\xC3\x80\xC3\x9A\xC3\x85\xC3\x92\xC3\x81

14.09.2022 14:12, Dmitry Dolzenko пишет:
> Привет!
>
> Смотрю во всех мануалах certbot запускают из под рута.
> Вот думаю, стоит ли сделать запуск из под юзера certbot?

Сделал так - от рута пускаю в кроне скрипт

-----------
#!/bin/sh

su certbot -c "/usr/local/bin/certbot renew -v --max-log-backups 20
--post-hook 'touch /tmp/newcert.tmp'"

if [ -e /tmp/newcert.tmp ]
then

/usr/local/apache2/bin/apachectl graceful
/usr/sbin/service dovecot restart 2>/dev/null;
/usr/sbin/service postfix restart
rm -f /tmp/newcert.tmp

fi
-----------

--- ifmail v.2.15dev5.4

Alex Korchmar написал(а) к Dmitry Dolzenko в Sep 22 19:28:51 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Dmitry Dolzenko <dol@mig.phys.msu.ru> wrote:

DD> Смотрю во всех мануалах certbot запускают из под рута.
девляп-ляп-ляп-ляп-ляп.

DD> Вот думаю, стоит ли сделать запуск из под юзера certbot?
стоит его выкинуть с его придурью и желанием curl | sudo su
И заменить acme-tiny. Который делает только то, о чем его просят, а
все остальное - не делает. (сертификатом он плюнет тебе в stdout, имей в
виду)

DD> Но возникает проблема с перезапуском dovecot postfix и apache в случает
DD> опбновленного сертификата. Из под юзера posthook не отработает ...
логичненько, чорд побери?

Вот и не надо так делать. Если тебя хотя бы видимость секьюрити еще интересует,
конечно.

> Alex


--- ifmail v.2.15dev5.4

Semen Panevin написал(а) к Dmitry Dolzenko в Sep 22 21:14:06 по местному времени:

Доброго здоровьица тебе, Dmitry!

Wednesday September 14 2022 19:28, Alex Korchmar послал Dmitry Dolzenko:

DD>> Но возникает проблема с перезапуском dovecot postfix и apache в
DD>> случает опбновленного сертификата. Из под юзера posthook не
DD>> отработает ...
AK> логичненько, чорд побери?

AK> Вот и не надо так делать. Если тебя хотя бы видимость секьюрити еще
AK> интересует, конечно.

Я думаю, что он имеет ввиду доступ по группам :) Но это не точно...

Ещё вариант - каждому свой сертификат, и запрашивать под тем же юзером.

С наилучшими пожеланиями, Семён.

... Ребята, давайте жить дружно! (с) Леопольд
--- GoldED+/LNX 1.1.5-b20180707 (Linux 5.15.52-gentoo iF6M10)

Alex Korchmar написал(а) к Semen Panevin в Sep 22 23:53:27 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Semen Panevin <Semen.Panevin@f121.n5025.z2.fidonet.org> wrote:

SP> Ещё вариант - каждому свой сертификат, и запрашивать под тем же юзером.
так этот юзер - рут. Что для апача, что для поцфикса.

Идея ж в том что тебе нужно перезапустить демон, чтобы он подобрал новые
сертификаты. Причем крайне желательно - сперва убедившись что рукожопый
сертбот принес в клюве нечто хотя бы отдаленно похожее на сертификат, а не
мусор с /dev/random

> Alex
P.S. дивный новый мир который мы заслужили. Одна радость - автор этого говна
сдох недавно от мозга рака. Земля стекловатой.
Но, к сожалению, радость невеликая, ибо дело его - собирается жить вечно,
на бабки циско и прочих охочих до чужих данных.
P.P.S. если что - я сбежал к buypass.com - за год даже удалось починить
поломанный acme-tiny (точнее, автор через год проснулся и нашел мой issue)
- там сертификат действует АЖ целых пол-года. Но, полагаю, это ненадолго -
найдут у них там какой-нибудь фатальный недостаток.


--- ifmail v.2.15dev5.4

Dmitry Dolzenko написал(а) к Alex Korchmar в Sep 22 12:01:12 по местному времени:

From: Dmitry Dolzenko <dol@mig.phys.msu.ru>
Subject: Re: certbot - \xC3\x93\xC3\x94\xC3\x8F\xC3\x89\xC3\x94 \xC3\x8C\xC3\x89 \xC3\x9A\xC3\x81\xC3\x90\xC3\x95\xC3\x93\xC3\x8B\xC3\x81\xC3\x94\xC3\x98 \xC3\x89\xC3\x9A \xC3\x90\xC3\x8F\xC3\x84 \xC3\x93\xC3\x90\xC3\x85\xC3\x83\xC3\x80\xC3\x9A\xC3\x85\xC3\x92\xC3\x81

14.09.2022 23:53, Alex Korchmar пишет:
> Semen Panevin <Semen.Panevin@f121.n5025.z2.fidonet.org> wrote:
>

> P.P.S. если что - я сбежал к buypass.com - за год даже удалось починить
> поломанный acme-tiny (точнее, автор через год проснулся и нашел мой issue)
> - там сертификат действует АЖ целых пол-года. Но, полагаю, это ненадолго -
> найдут у них там какой-нибудь фатальный недостаток.
>

За идею с acme-tiny и buypass.com спасибо.

/D


--- ifmail v.2.15dev5.4

Valentin Nechayev написал(а) к Alex Korchmar в Sep 22 15:41:00 по местному времени:

Нi,

>>>> Alex Korchmar wrote:

SP>> Ещё вариант - каждому свой сертификат, и запрашивать под тем же
SP>> юзером.

AK> так этот юзер - рут. Что для апача, что для поцфикса.

AK> Идея ж в том что тебе нужно перезапустить демон, чтобы он подобрал
AK> новые сертификаты.

Не только. Ещё и подложить тестовый файлик на стервер, если letsencrypt через webroot. И при этом чтобы оно, на всякий случай, не исполнялось от юзера www, чтобы дырки в сервере ничего не повредили.

Играми с ACL достигается, конечно. Но слегка замороченно.


-netch-

... =?koi8-r?Q??=

---