LINUX.ORG.RU
ФорумAdmin

openvpn crl.pem permission denied

 ,


0

1

Доброго времени суток. debian 7.11
Со стороны клиента получал сообщение о timed out, в логе сервера имел следующее:

Wed Jun 15 15:00:57 2016 some_ip_addr:2653 CRL: cannot read: /etc/openvpn/crl.pem: Permission denied (errno=13)
openvpn работал от имени пользователя openvpn и группы openvpn (для этого и созданы). Список разрешений таков:
root@ovpn:~# ls -l /etc/openvpn/
итого 40
-rw------- 1 root root 1143 Июн 14 16:24 ca.crt
-rw------- 1 root root  613 Июн 14 16:24 crl.pem
-rw------- 1 root root  424 Июн 14 16:29 dh.pem
-rw-r--r-- 1 root root  986 Июн 14 15:50 openssl.cnf
-rw-r--r-- 1 root root  608 Июн 15 15:23 server.conf
-rw------- 1 root root 1834 Июн 14 16:25 server.key
-rw------- 1 root root  636 Июн 14 16:30 ta.key
-rwxr-xr-x 1 root root 1357 Дек  2  2014 update-resolv-conf
-rw------- 1 root root 4356 Июн 14 16:24 vpn-server.crt
После изменения в server.conf пользователя и группы от которых работает openvpn на root:root ошибка устранилась, но вопрос: как оказалось, что есть проблема с чтением именно crl.pem, лишь одного файла? Стоит сделать владельцем /etc/openvpn openvpn:openvpn? Как вообще корректно решить проблему?

от имени пользователя openvpn
root root ... crl.pem
-rw-------

Намёк ясен?

Radjah ★★★★★ ()
Ответ на: комментарий от nokogerra

Куда нормальнее уже? Файл только root может читать. Ты про права на файлы в linux в курсе вообще?

man chmod
man chown
Radjah ★★★★★ ()
Ответ на: комментарий от Radjah

«но вопрос: как оказалось, что есть проблема с чтением именно crl.pem, лишь одного файла?»

nokogerra ()
Ответ на: комментарий от nokogerra

Ты ман читай, не отвлекайся, там много интересного и неожиданного.

Radjah ★★★★★ ()
Ответ на: комментарий от Radjah

man я читал, очевидно же что у openvpn пользователя нет прав на чтение ca.crt, crl.pem, dh.pem, server.key, ta.key, vpn-server.crt, почему проблема возникла только с crl.pem.

nokogerra ()
Ответ на: комментарий от nokogerra

Ну сделал я -rw----r-- для файлов в каталоге /etc/openvpn, чтобы openvpn пользователь мог читать их при оставшемся владельце root, но почему проблема была только с crl.pem так и не ясно.

nokogerra ()
Ответ на: комментарий от nokogerra

потому что при включенной обработке crl - отсутствие возможности его обработки критична в плане безопасности. Поэтому ничего и не стартует. Это как если бы нельзя было прочесть конфиг - ты бы предпочел чтобы пускало всех или не пускало никого?

Pinkbyte ★★★★★ ()
Ответ на: комментарий от nokogerra

почему проблема возникла только с crl.pem

Например, потому что этот файл дёргается первым и далее проверять не нужно — можно сразу ошибаться.

falafel ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.