Я нарисовал костылик для openldap, который копирует в чрут содержимое /var/lib/ssl/cert{s/*,.pem} и /var/lib/ssl/private/NAME.*. Тогда libssl сможет проверять сертификаты и в чруте. Есть мнение, что похожий кусок кода заслуживает быть вынесенным в отдельную функцию.
(In reply to comment #0) > Я нарисовал костылик для openldap, который копирует в чрут содержимое > /var/lib/ssl/cert{s/*,.pem} и /var/lib/ssl/private/NAME.*. Тогда libssl сможет > проверять сертификаты и в чруте. Есть мнение, что похожий кусок кода > заслуживает быть вынесенным в отдельную функцию. Да, заслуживает. Я могу рассчитывать на готовый патч?
0.3.6-alt2-2-gfe44138 у меня в git.
0.3.6-alt2-2-ga3421b3, извините.
В патче файлы при копировании становятся общедоступными. Это так и было задумано?
Ну как бы да. Если что-то работает в чруте, значит не от рута. Если нужны сертификаты/ключи, значит оно хочет их читать работая от псевдопользователя. Вопрос, как я понимаю, в том, чтобы никто снаружи чрута не прочитал что не надо?
(In reply to comment #5) > Ну как бы да. Если что-то работает в чруте, значит не от рута. Если нужны > сертификаты/ключи, значит оно хочет их читать работая от псевдопользователя. Возможно, оно читает /var/lib/ssl/private/ от рута, а потом понижает права до псевдопользователя? > Вопрос, как я понимаю, в том, чтобы никто снаружи чрута не прочитал что не > надо? И в этом тоже, конечно.
(In reply to comment #6) > Возможно, оно читает /var/lib/ssl/private/ от рута, а потом понижает права до > псевдопользователя? Тогда /var/lib/ssl/private/* в чруте не нужны, с очень большой вероятностью это происходит до чрутизации. > И в этом тоже, конечно. Ну, в редких случаях когда /var/lib/ssl/private/* читается находясь в чруте, это можно ограничить правами на сам чрут.
