nginx, SSL и, шоб его так, systemd

0

3

Вчера обновил на своей файлопомойке бубунту, и конечно же прилетел systemd (против которого я в общем ничего не имею, пока он работает). Но тут вот он мне подсунул «сюрприз».

У меня ключ для ssl'а с passphrase, и раньше я при рестарте вэбсервера этот passphrase вводил (мне nginx предлагал его ввести), и в общем я был доволен такой ситуацией.

Но вот после апдейта мне больше никто не предлагает ввести ключ, а unit systemd просто не стартует и ругается.

Аналогичная проблема: https://bbs.archlinux.org/viewtopic.php?id=172030

Я конечно «решил» эту проблему удалением пасфрейза из ключа, но теперь спать спокойно не могу из-за мыслей: «вдруг сопрут сертификат, а ревокейшн денег стоит.»

Ну и в заключение: «Всё своим системд поломали!»

Может кто знает, как заставить ключ с пассфрейзом работать?...

Ссылка

←	разметка дисков для сервера

Zabbix_sender failed

→

А если запускать nginx старым инит-скриптом вместо юнита?

annulen ★★★★★
(25.04.15 14:00:51 MSK)

Ответ на: комментарий от annulen 25.04.15 14:00:51 MSK

инит-скрипт дергает системд и вылетает с той же ошибкой.

invy ★★★★★
(25.04.15 14:01:37 MSK) автор топика

Ссылка

Значит придется руками дергать nginx -s reload

annulen ★★★★★
(25.04.15 14:03:16 MSK)

systemd-ask-password(1).

Вкратце: напиши для вебсервера стартовый скрипт-обёртку, в котором спрашивай пассфразу через systemd-ask-password <сообщение, видимое пользователю>. Оно выводит пароль в stdout.

intelfx ★★★★★
(25.04.15 14:07:17 MSK)

Ответ на: комментарий от annulen 25.04.15 14:03:16 MSK

Если nginx не запущен, то reload не помогает.

invy ★★★★★
(25.04.15 14:07:27 MSK) автор топика

Ссылка

Ответ на: комментарий от intelfx 25.04.15 14:07:17 MSK

А как передать его nginx'у потом?

invy ★★★★★
(25.04.15 14:16:15 MSK) автор топика

Это, кстати, вполне тянет на багрепорт.

thesis ★★★★★
(25.04.15 14:17:26 MSK)

Ссылка

Ответ на: комментарий от invy 25.04.15 14:16:15 MSK

В зависимости от того, как он его спрашивает. На стандартный ввод через пайплайн, к примеру. Только лучше не пайплайн, а process substitution и exec потом:

exec foobar < <(systemd-ask-password PROMPT)

intelfx ★★★★★
(25.04.15 14:27:10 MSK)
Последнее исправление: intelfx 25.04.15 14:27:56 MSK (всего исправлений: 1)

Ответ на: комментарий от intelfx 25.04.15 14:27:10 MSK

Спасибо, потыкаю. Но вообще это называется: «Не мала баба клопоту - купила порося» :D

invy ★★★★★
(25.04.15 14:58:03 MSK) автор топика

Ссылка

Не проще ли passphrase убрать с сертификата? :)

iron ★★★★★
(25.04.15 18:26:16 MSK)

Ответ на: комментарий от iron 25.04.15 18:26:16 MSK

но теперь спать спокойно не могу из-за мыслей: «вдруг сопрут сертификат, а ревокейшн денег стоит.»

invy ★★★★★
(25.04.15 19:30:42 MSK) автор топика

Я конечно «решил» эту проблему удалением пасфрейза из ключа

все решается намного проще. гугл на раз два тебе подскажет.

MikeDM ★★★★★
(25.04.15 20:14:07 MSK)

Ответ на: комментарий от invy 25.04.15 19:30:42 MSK

И каких прав хватает, чтобы стащить беспарольный сертификат, но нехватает для запароленного?

x3al ★★★★★
(25.04.15 20:18:21 MSK)

Ответ на: комментарий от x3al 25.04.15 20:18:21 MSK

стащить то стащат, а толку о0

~~snoopcat~~ ★★★★★
(25.04.15 20:22:55 MSK)

Ответ на: комментарий от snoopcat 25.04.15 20:22:55 MSK

Повторяю: какие права нужны для того, чтобы стащить беспарольный сертификат?

Если что — рут может сделать вообще всё, пользователь nginx — обычно получается с доступом к процессу nginx со всеми вытекающими из этого.

x3al ★★★★★
(25.04.15 20:30:45 MSK)

Ответ на: комментарий от x3al 25.04.15 20:30:45 MSK

обычно получается с доступом к процессу nginx со всеми вытекающими из этого.

А что из этого вытекает? Разве nginx не умеет в разделение привилегий?

anonymous
(25.04.15 20:43:22 MSK)

Ответ на: комментарий от anonymous 25.04.15 20:43:22 MSK

Ещё раз.

Файл с сертификатом, неважно, зашифрован он или нет, могут читать только рут и nginx.

Руту по многим причинам побоку шифрование на локальной машине.

nginx-права получить можно разве что из nginx-процесса. Если есть доступ к нему — в его же памяти есть расшифрованный сертификат.

Какое, к чёрту, разделение привилегий тут? У кого именно есть возможность прочитать файл сертификата и нет возможности что-то сделать с шифрованием?

x3al ★★★★★
(25.04.15 21:37:31 MSK)

Ответ на: комментарий от MikeDM 25.04.15 20:14:07 MSK

Как? Что гуглить?

invy ★★★★★
(25.04.15 21:43:28 MSK) автор топика

Ссылка

Ответ на: комментарий от x3al 25.04.15 20:18:21 MSK

При чем тут права? Я хочу иметь зашифрованный сертификат и точка.

invy ★★★★★
(25.04.15 21:44:16 MSK) автор топика

Ссылка

Ответ на: комментарий от x3al 25.04.15 21:37:31 MSK

nginx-права получить можно разве что из nginx-процесса. Если есть доступ к нему — в его же памяти есть расшифрованный сертификат.

Какое, к чёрту, разделение привилегий тут?

Тупимс? Перефразирую: умеет ли nginx работать в два процесса под разными учётками, так, чтобы первый процесс имел расшифрованный ключ и занимался исключительно криптографией, а второй занимался бы всем остальным?

anonymous
(25.04.15 21:46:19 MSK)

Ответ на: комментарий от anonymous 25.04.15 21:46:19 MSK

В этом случае первый процесс nginx может и с незашифрованным ключом работать. Второй учётке право на чтение ключа не нужно же.

x3al ★★★★★
(25.04.15 22:38:31 MSK)

Ссылка

systemd

ССЗБ

anonymous
(26.04.15 01:43:17 MSK)

Это конечно фейл со стороны systemd, но в твоем случае проще стартовать nginx руками, какой профит от системы инициализации если она в любом случае не сможет поднять сервис без учасия человека?

~~TDrive~~ ★★★★★
(26.04.15 10:38:25 MSK)