imap cyrus permissies (was: letsencrypt wilnie, zit (oude) cert soms in de weg)

[Gijs Hillenius <gijs@hillenius.net>]

Dank Paul!

Ik heb het inmiddels draaien voor de verschillende websitjes. Je tips
zijn leerzaam.



Nu wil ik het certificaat ook gebruiken voor cyrus-imapd. Wat me nog
niet afdoende duidelijk is, zijn de correcte permissies van de
LE certificaten.


Links en rechts op het Internet wordt geadviseerd de group van de LE
certs te veranderen (in mail, en anderen zeggen ssl-cert).

Voor ik daar aan begin, dacht ik wat simpele tests te doen. 


De permissies van het huidige cyrus certificaat in /etc/ssl/certs

-rw------- 1 cyrus mail cyrus-global.pem

en voor de gein, deze:

lrwxrwxrwx 1 root root 71 Jan 26  2016 /etc/ssl/certs/Staat_der_Nederlande

de permissies van de certs in /etc/letsencrypt/live/

lrwxrwxrwx 1 root root diverse certs

Het gekke is: als ik doe

su cyrus

cat /etc/ssl/certs/Staat_der_Nederlande*

krijg ik keurig de certificaten terug

doe ik echter

cat /etc/letsencrypt/live/*

krijg ik 'Permission denied'

dat komt dan zeker doordat /etc/letsencrypt de live dir afsluit:

drwx------ 5 root root (stuff) live

terwijl /etc/ssl/certs openstaat:

drwxr-xr-x 2 root root (stuff) cert

Is het dan niet simpeler om de dir open te zetten? Net als 
/etc/ssl/certs ?






En waarom krijgt Apache er dan wel toegang toe? Dat draait als www-data,
maar da's geen bestaande user.