Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

67 Страницы«<2122232425>»
Опции
К последнему сообщению К первому непрочитанному
Offline stufford  
#221 Оставлено : 14 марта 2017 г. 17:28:11(UTC)
stufford

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.01.2017(UTC)
Сообщений: 30
Российская Федерация
Откуда: moscow

Сказал(а) «Спасибо»: 2 раз
Здравствуйте!

Установил на сервере тестовый сертификат под root-ом. Добился нормальной работы nginx + openssl engine
И тут я понял, что допустил большую ошибку устанавливая сертификаты для пользователя root, т.к. nginx, apache и php(а я планирую использовать phpcades) работают из под пользователя www-data

В общем удалил сертификат и контейнер для root
сделал новый для пользователя www-data. Прописал его в nginx, но последний отказывается запускаться
Код:
nginx: [emerg] ENGINE_load_private_key("csp.nodomain.me") failed (SSL: error:8006D06E:lib(128):CAPI_OPEN_STORE:error opening store error:26096080:engine routines:ENGINE_load_private_key:failed loading private key)


О себе


Подскажите, пожалуйста, куда копать? Спасибо!
Offline Дмитрий Пичулин  
#222 Оставлено : 14 марта 2017 г. 17:37:01(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: stufford Перейти к цитате
В общем удалил сертификат и контейнер для root
сделал новый для пользователя www-data. Прописал его в nginx, но последний отказывается запускаться
Код:
nginx: [emerg] ENGINE_load_private_key("csp.nodomain.me") failed (SSL: error:8006D06E:lib(128):CAPI_OPEN_STORE:error opening store error:26096080:engine routines:ENGINE_load_private_key:failed loading private key)

В своём первом сообщении вы написали: "Подпись файл проходит успешно", от пользователя www-data тоже проверили?

Не совсем понятно как nginx связан с apache и php, никто не мешает nginx работать от root и быть прокси для них.
Знания в базе знаний, поддержка в техподдержке
Offline stufford  
#223 Оставлено : 14 марта 2017 г. 17:38:50(UTC)
stufford

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.01.2017(UTC)
Сообщений: 30
Российская Федерация
Откуда: moscow

Сказал(а) «Спасибо»: 2 раз
Автор: pd Перейти к цитате

В своём первом сообщении вы написали: "Подпись файл проходит успешно", от пользователя www-data тоже проверили?

Нет, проверял только под рутом.

Автор: pd Перейти к цитате

Не совсем понятно как nginx связан с apache и php, никто не мешает nginx работать от root и быть прокси для них.


Это понятно, но решил все делать правильно. В любом случае нужно было забирать сертификаты из под рута, т.к. апач под рутом работать не будет.
Offline stufford  
#224 Оставлено : 14 марта 2017 г. 17:48:01(UTC)
stufford

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.01.2017(UTC)
Сообщений: 30
Российская Федерация
Откуда: moscow

Сказал(а) «Спасибо»: 2 раз
Попробовал подписать файл под пользователем www-data - получилось!
Код:

www-data@csp:/home/certs$ openssl cms -sign -engine gost_capi -keyform ENGINE -inkey csp.nodomain.me -in "TEST.txt" -out "TEST.signed.txt" -outform PEM -CAfile csp.nodomain.me.cer.pem -nodetach -signer csp.nodomain.me.cer.pem
engine "gost_capi" set.
unable to write 'random state'

www-data@csp:/home/certs$ ls -lah
total 24K
drwxr-xr-x 2 www-data www-data 4.0K Mar 14 17:38 .
drwxr-xr-x 5 root     root     4.0K Mar 14 16:40 ..
-rw-r--r-- 1 www-data www-data 1.9K Mar 14 17:38 TEST.signed.txt
-rw-r--r-- 1 www-data www-data    7 Mar 14 17:37 TEST.txt
-rw-r--r-- 1 www-data www-data  780 Mar 14 16:41 csp.nodomain.me.cer
-rw-r--r-- 1 www-data www-data 1.1K Mar 14 16:41 csp.nodomain.me.cer.pem

www-data@csp:/home/certs$ cat TEST.signed.txt
-----BEGIN CMS-----
MIIFSAYJKoZIhvcNAQcCoIIFOTCCBTUCAQExDDAKBgYqhQMCAgkFADAXBgkqhkiG
9w0BBwGgCgQIMTIzMzIxDQqgggMMMIIDCDCCAregAwIBAgITEgAafxwvji86lKxw
GQAAABp/HDAIBgYqhQMCAgMwfzEjMCEGCSqGSIb3DQEJARYUc3VwcG9ydEBjcnlw
dG9wcm8ucnUxCzAJBgNVBAYTAlJVMQ8wDQYDVQQHEwZNb3Njb3cxFzAVBgNVBAoT
DkNSWVBUTy1QUk8gTExDMSEwHwYDVQQDExhDUllQVE8tUFJPIFRlc3QgQ2VudGVy
IDIwHhcNMTcwMzE0MTMyNzU1WhcNMTcwNjE0MTMzNzU1WjAaMRgwFgYDVQQDDA9j
c3Aubm9kb21haW4ubWUwYzAcBgYqhQMCAhMwEgYHKoUDAgIkAAYHKoUDAgIeAQND
AARA44iWkjG619cpfRcdYHAJy1Udzrb6PVD75jCo0EhPoCZE/tshZPAiZYVJFqG+
5n6NEP8cxdnxZ6xLskdXdxrXbKOCAW0wggFpMBMGA1UdJQQMMAoGCCsGAQUFBwMB
MAsGA1UdDwQEAwIEMDAdBgNVHQ4EFgQUSk+DWUIJfhzwjG5lOSLbT4ewGEkwHwYD
VR0jBBgwFoAUFTF8sI0a3mbXFZxJUpcXJLkBeoMwWQYDVR0fBFIwUDBOoEygSoZI
aHR0cDovL3Rlc3RjYS5jcnlwdG9wcm8ucnUvQ2VydEVucm9sbC9DUllQVE8tUFJP
JTIwVGVzdCUyMENlbnRlciUyMDIuY3JsMIGpBggrBgEFBQcBAQSBnDCBmTBhBggr
BgEFBQcwAoZVaHR0cDovL3Rlc3RjYS5jcnlwdG9wcm8ucnUvQ2VydEVucm9sbC90
ZXN0LWNhLTIwMTRfQ1JZUFRPLVBSTyUyMFRlc3QlMjBDZW50ZXIlMjAyLmNydDA0
BggrBgEFBQcwAYYoaHR0cDovL3Rlc3RjYS5jcnlwdG9wcm8ucnUvb2NzcC9vY3Nw
LnNyZjAIBgYqhQMCAgMDQQBvmMM2OMPUOu1fOzNJD0lEixcyXnf8C5vI6c63Pef1
Gz7aqwEqhbWU8kcTdZfyATicm3bAQlMNARWystUODHJtMYIB9zCCAfMCAQEwgZYw
fzEjMCEGCSqGSIb3DQEJARYUc3VwcG9ydEBjcnlwdG9wcm8ucnUxCzAJBgNVBAYT
AlJVMQ8wDQYDVQQHEwZNb3Njb3cxFzAVBgNVBAoTDkNSWVBUTy1QUk8gTExDMSEw
HwYDVQQDExhDUllQVE8tUFJPIFRlc3QgQ2VudGVyIDICExIAGn8cL44vOpSscBkA
AAAafxwwCgYGKoUDAgIJBQCggfowGAYJKoZIhvcNAQkDMQsGCSqGSIb3DQEHATAc
BgkqhkiG9w0BCQUxDxcNMTcwMzE0MTQzODEzWjAvBgkqhkiG9w0BCQQxIgQgahig
bArHYziswtm9z6wF+GqMHS1Xazn7Go8VRFPlaiMwgY4GCSqGSIb3DQEJDzGBgDB+
MAsGCWCGSAFlAwQBKjAIBgYqhQMCAgkwCAYGKoUDAgIVMAsGCWCGSAFlAwQBFjAL
BglghkgBZQMEAQIwCgYIKoZIhvcNAwcwDgYIKoZIhvcNAwICAgCAMA0GCCqGSIb3
DQMCAgFAMAcGBSsOAwIHMA0GCCqGSIb3DQMCAgEoMAoGBiqFAwICEwUABEBCMozE
atGObKg6warfBium9Ejsodr3V8Ctyh2mtUH3si8QNaNUWMPDOhaZXbcWqRj/qJut
jaE9CgWsw9KfiJ9B
-----END CMS-----
www-data@csp:/home/certs$
Offline Дмитрий Пичулин  
#225 Оставлено : 14 марта 2017 г. 17:50:34(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: stufford Перейти к цитате
Попробовал подписать файл под пользователем www-data - получилось!

Этот пункт FAQ выполняется?

"Пользователь рабочих потоков nginx не должен отличаться от пользователя запускающего nginx (см. user)"

Отредактировано пользователем 14 марта 2017 г. 17:51:12(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Offline stufford  
#226 Оставлено : 14 марта 2017 г. 17:54:02(UTC)
stufford

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.01.2017(UTC)
Сообщений: 30
Российская Федерация
Откуда: moscow

Сказал(а) «Спасибо»: 2 раз
Автор: pd Перейти к цитате
Этот пункт FAQ выполняется?
"Пользователь рабочих потоков nginx не должен отличаться от пользователя запускающего nginx (см. user)"


Сейчас уже не вижу, т.к. nginx не стартует )

но до этого master запускался под root
worker - под www-data

в конфиге nginx
Код:

user www-data;

Отредактировано пользователем 14 марта 2017 г. 17:55:02(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#227 Оставлено : 14 марта 2017 г. 17:58:17(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: stufford Перейти к цитате
но до этого master запускался под root
worker - под www-data

FAQ по настройке существует не просто так.

В вашем случае пользователь root не имеет доступа к закрытым ключам www-data, именно поэтому пользователи должны совпадать.

Знания в базе знаний, поддержка в техподдержке
Offline stufford  
#228 Оставлено : 14 марта 2017 г. 18:25:09(UTC)
stufford

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.01.2017(UTC)
Сообщений: 30
Российская Федерация
Откуда: moscow

Сказал(а) «Спасибо»: 2 раз
Автор: pd Перейти к цитате

В вашем случае пользователь root не имеет доступа к закрытым ключам www-data, именно поэтому пользователи должны совпадать.


Так.. :) Ткните носом, пожалуйста, как запустить мастер nginx от www-data?
Offline Дмитрий Пичулин  
#229 Оставлено : 14 марта 2017 г. 18:32:49(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: stufford Перейти к цитате
Автор: pd Перейти к цитате

В вашем случае пользователь root не имеет доступа к закрытым ключам www-data, именно поэтому пользователи должны совпадать.


Так.. :) Ткните носом, пожалуйста, как запустить мастер nginx от www-data?

Запустите nginx не как сервис, а просто как приложение от пользователя www-data.
Знания в базе знаний, поддержка в техподдержке
Offline stufford  
#230 Оставлено : 14 марта 2017 г. 18:36:11(UTC)
stufford

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.01.2017(UTC)
Сообщений: 30
Российская Федерация
Откуда: moscow

Сказал(а) «Спасибо»: 2 раз
Автор: pd Перейти к цитате
Запустите nginx не как сервис, а просто как приложение от пользователя www-data.


Не хочет без рута..You cannot open privileged ports (<=1024) as non-root

Код:
www-data@csp:/home/certs$ /usr/sbin/nginx -c /etc/nginx/nginx.conf
nginx: [warn] the "user" directive makes sense only if the master process runs with super-user privileges, ignored in /etc/nginx/nginx.conf:2
nginx: [emerg] bind() to 0.0.0.0:80 failed (13: Permission denied)

Отредактировано пользователем 14 марта 2017 г. 18:40:57(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
67 Страницы«<2122232425>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.