imap cyrus permissies (was: letsencrypt wilnie, zit (oude) cert soms in de weg)
Dank Paul!
Ik heb het inmiddels draaien voor de verschillende websitjes. Je tips
zijn leerzaam.
Nu wil ik het certificaat ook gebruiken voor cyrus-imapd. Wat me nog
niet afdoende duidelijk is, zijn de correcte permissies van de
LE certificaten.
Links en rechts op het Internet wordt geadviseerd de group van de LE
certs te veranderen (in mail, en anderen zeggen ssl-cert).
Voor ik daar aan begin, dacht ik wat simpele tests te doen.
De permissies van het huidige cyrus certificaat in /etc/ssl/certs
-rw------- 1 cyrus mail cyrus-global.pem
en voor de gein, deze:
lrwxrwxrwx 1 root root 71 Jan 26 2016 /etc/ssl/certs/Staat_der_Nederlande
de permissies van de certs in /etc/letsencrypt/live/
lrwxrwxrwx 1 root root diverse certs
Het gekke is: als ik doe
su cyrus
cat /etc/ssl/certs/Staat_der_Nederlande*
krijg ik keurig de certificaten terug
doe ik echter
cat /etc/letsencrypt/live/*
krijg ik 'Permission denied'
dat komt dan zeker doordat /etc/letsencrypt de live dir afsluit:
drwx------ 5 root root (stuff) live
terwijl /etc/ssl/certs openstaat:
drwxr-xr-x 2 root root (stuff) cert
Is het dan niet simpeler om de dir open te zetten? Net als
/etc/ssl/certs ?
En waarom krijgt Apache er dan wel toegang toe? Dat draait als www-data,
maar da's geen bestaande user.
Reply to: