Bug 19716

Summary: Add copy_ssl_certs() function
Product: Sisyphus Reporter: Sir Raorn <raorn>
Component: chrootedAssignee: placeholder <placeholder>
Status: ASSIGNED --- QA Contact: qa-sisyphus
Severity: enhancement    
Priority: P3 CC: glebfm, ldv, placeholder
Version: unstable   
Hardware: all   
OS: Linux   
URL: http://git.altlinux.org/people/raorn/packages/?p=openldap.git;a=commitdiff;h=d3e18063

Description Sir Raorn 2009-04-22 00:35:21 MSD 
Я нарисовал костылик для openldap, который копирует в чрут содержимое /var/lib/ssl/cert{s/*,.pem} и /var/lib/ssl/private/NAME.*.  Тогда libssl сможет проверять сертификаты и в чруте.  Есть мнение, что похожий кусок кода заслуживает быть вынесенным в отдельную функцию.
Comment 1 Dmitry V. Levin 2009-06-01 00:54:50 MSD 
(In reply to comment #0)
> Я нарисовал костылик для openldap, который копирует в чрут содержимое
> /var/lib/ssl/cert{s/*,.pem} и /var/lib/ssl/private/NAME.*.  Тогда libssl сможет
> проверять сертификаты и в чруте.  Есть мнение, что похожий кусок кода
> заслуживает быть вынесенным в отдельную функцию.

Да, заслуживает.  Я могу рассчитывать на готовый патч?
Comment 2 Sir Raorn 2009-06-01 02:45:01 MSD 
0.3.6-alt2-2-gfe44138 у меня в git.
Comment 3 Sir Raorn 2009-06-01 02:46:31 MSD 
0.3.6-alt2-2-ga3421b3, извините.
Comment 4 Dmitry V. Levin 2009-09-20 02:54:30 MSD 
В патче файлы при копировании становятся общедоступными.  Это так и было задумано?
Comment 5 Sir Raorn 2009-09-20 04:25:48 MSD 
Ну как бы да.  Если что-то работает в чруте, значит не от рута.  Если нужны сертификаты/ключи, значит оно хочет их читать работая от псевдопользователя.

Вопрос, как я понимаю, в том, чтобы никто снаружи чрута не прочитал что не надо?
Comment 6 Dmitry V. Levin 2009-09-20 04:30:19 MSD 
(In reply to comment #5)
> Ну как бы да.  Если что-то работает в чруте, значит не от рута.  Если нужны
> сертификаты/ключи, значит оно хочет их читать работая от псевдопользователя.

Возможно, оно читает /var/lib/ssl/private/ от рута, а потом понижает права до псевдопользователя?

> Вопрос, как я понимаю, в том, чтобы никто снаружи чрута не прочитал что не
> надо?

И в этом тоже, конечно.
Comment 7 Sir Raorn 2009-09-20 04:40:37 MSD 
(In reply to comment #6)
> Возможно, оно читает /var/lib/ssl/private/ от рута, а потом понижает права до
> псевдопользователя?
Тогда /var/lib/ssl/private/* в чруте не нужны, с очень большой вероятностью это происходит до чрутизации.

> И в этом тоже, конечно.

Ну, в редких случаях когда /var/lib/ssl/private/* читается находясь в чруте, это можно ограничить правами на сам чрут.