Bug 19716 - Add copy_ssl_certs() function
Summary: Add copy_ssl_certs() function
Status: ASSIGNED
Alias: None
Product: Sisyphus
Classification: Development
Component: chrooted (show other bugs)
Version: unstable
Hardware: all Linux
: P3 enhancement
Assignee: placeholder@altlinux.org
QA Contact: qa-sisyphus
URL: http://git.altlinux.org/people/raorn/...
Keywords:
Depends on:
Blocks:
 
Reported: 2009-04-22 00:35 MSD by Sir Raorn
Modified: 2009-09-20 04:40 MSD (History)
3 users (show)

See Also:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Sir Raorn 2009-04-22 00:35:21 MSD
Я нарисовал костылик для openldap, который копирует в чрут содержимое /var/lib/ssl/cert{s/*,.pem} и /var/lib/ssl/private/NAME.*.  Тогда libssl сможет проверять сертификаты и в чруте.  Есть мнение, что похожий кусок кода заслуживает быть вынесенным в отдельную функцию.
Comment 1 Dmitry V. Levin 2009-06-01 00:54:50 MSD
(In reply to comment #0)
> Я нарисовал костылик для openldap, который копирует в чрут содержимое
> /var/lib/ssl/cert{s/*,.pem} и /var/lib/ssl/private/NAME.*.  Тогда libssl сможет
> проверять сертификаты и в чруте.  Есть мнение, что похожий кусок кода
> заслуживает быть вынесенным в отдельную функцию.

Да, заслуживает.  Я могу рассчитывать на готовый патч?
Comment 2 Sir Raorn 2009-06-01 02:45:01 MSD
0.3.6-alt2-2-gfe44138 у меня в git.
Comment 3 Sir Raorn 2009-06-01 02:46:31 MSD
0.3.6-alt2-2-ga3421b3, извините.
Comment 4 Dmitry V. Levin 2009-09-20 02:54:30 MSD
В патче файлы при копировании становятся общедоступными.  Это так и было задумано?
Comment 5 Sir Raorn 2009-09-20 04:25:48 MSD
Ну как бы да.  Если что-то работает в чруте, значит не от рута.  Если нужны сертификаты/ключи, значит оно хочет их читать работая от псевдопользователя.

Вопрос, как я понимаю, в том, чтобы никто снаружи чрута не прочитал что не надо?
Comment 6 Dmitry V. Levin 2009-09-20 04:30:19 MSD
(In reply to comment #5)
> Ну как бы да.  Если что-то работает в чруте, значит не от рута.  Если нужны
> сертификаты/ключи, значит оно хочет их читать работая от псевдопользователя.

Возможно, оно читает /var/lib/ssl/private/ от рута, а потом понижает права до псевдопользователя?

> Вопрос, как я понимаю, в том, чтобы никто снаружи чрута не прочитал что не
> надо?

И в этом тоже, конечно.
Comment 7 Sir Raorn 2009-09-20 04:40:37 MSD
(In reply to comment #6)
> Возможно, оно читает /var/lib/ssl/private/ от рута, а потом понижает права до
> псевдопользователя?
Тогда /var/lib/ssl/private/* в чруте не нужны, с очень большой вероятностью это происходит до чрутизации.

> И в этом тоже, конечно.

Ну, в редких случаях когда /var/lib/ssl/private/* читается находясь в чруте, это можно ограничить правами на сам чрут.