LINUX.ORG.RU
решено ФорумAdmin

opendkim «key data is not secure» как убрать?

 


0

1

Есть postfix + opendkim в докере, с пробросом папок на data volume. Поэтому права нормально не выставить, да и не особо надо.

opendkim на каждый коннект гадит в лог

Jan 20 09:32:49 084a3537697c opendkim[48]: bulk._domainkey.rcopen.com: key data is not secure: /etc/postfix/additional/opendkim/keys/rcopen.com/bulk.private can be read or written by other users
Jan 20 09:34:56 084a3537697c opendkim[48]: bulk._domainkey.rcopen.com: key data is not secure: /etc/postfix/additional/opendkim/keys/rcopen.com/bulk.private can be read or written by other users

Покурил маны, добавил в конфиг

RequireSafeKeys false

Все равно не помогает. Пробовал вместо false no - без разницы. В контейнер заходил, проверил, строка реально добавлена.

Куда копать?

★★★★★

покажи

ls -la /etc/postfix/additional/opendkim/keys/rcopen.com/bulk.private

Подозреваю что хватит банального chmod og=, заглянцованного на chown на пользователя, из под которого стартует opendkim

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

C chown любой дурак сможет :). Мой вопрос в том, как убрать варнинг без chown. Вроде сеттинг есть для конфига, ровно про это, но не помогает.

ls -la /etc/postfix/additional/opendkim/keys/rcopen.com/bulk.private
-rw-r--r-- 1 root root 891 Sep 19 13:38 /etc/postfix/additional/opendkim/keys/rcopen.com/bulk.private

Я прекрасно понимаю, что права не те. Но файлы снаружи в контейнер пробрасываются, не хочу с правами мутить.

Vit ★★★★★
() автор топика
Ответ на: комментарий от Vit

Потому что RequireSafeKeys не для того:

RequireSafeKeys (boolean)

When reading a key file, a message will be logged if the key file has the read or write bit set other than for the owner or for a group that the executing process is in. With this feature set to «true», the filter will further consider this an error and refuse to make use of the file’s contents. The default is «true».

TL:DR - с false оно должно кидать warning, с true - вообще отказаться работать.

Варианта у тебя на самом деле 3:
1) поправить права(не понимаю в чём проблема с тем, что это контейнер, сам так делаю в тех контейнерах где надо);
2) пропатчить opendkim шоб не срал warning-ом;
2) забить болт на warning;

Ну и традиционный бонусный вариант 4 - страдать :-)

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от Pinkbyte

О, сенькс, фразы к конце про error я продолбал. Как и толпа народа, которая хнычет в тикетах гитхаба.

Ну раз выбора нет, придется напрячься и запилить нужные права. Спасибо что объяснил.

Vit ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.