บรรจวบ เข้าสู่ระบบ
Score:0
fugee ohu avatar Server

ข้อผิดพลาดการอนุญาตถูกปฏิเสธสำหรับใบรับรอง letsencrypt

ธง za
fugee ohu

ข้อผิดพลาดนี้มาจาก dovecot ซึ่งไม่สามารถอ่านใบรับรองได้เนื่องจากการอนุญาต ฉันพยายามเปลี่ยนการอนุญาต ตอนนี้ฉันมีทุกอย่างใน 644 ฉันเข้าใจว่าเส้นทางเป็นเพียงลิงก์ไปยัง /etc/letsencrypt/archives เส้นทางของไฟล์ ดังนั้นฉันจึงไม่รู้จริงๆ ว่าเกิดอะไรขึ้น ฉันไม่รู้ว่าการอนุญาตในลิงก์ส่งผลต่อเป้าหมายอย่างไร

เมล dovecot: imap(example_user)<28542><mxY1sjPSlsxHvuNn>: 
 ตื่นตระหนก: การตรวจสอบการตั้งค่าล้มเหลวโดยไม่คาดคิด: ssl_client_ca_dir: 
 การเข้าถึง (/etc/letsencrypt/live/mail.servicemouse.com) ล้มเหลว: การอนุญาตถูกปฏิเสธ
1037
0 + 0
Score:0
Nikita Kipriyanov avatar Server
ธง za
Nikita Kipriyanov

คุณต้องตั้งค่าการอนุญาตที่เหมาะสมสำหรับทั้งไดเร็กทอรีโดยที่ ลิงค์ เป็น (/etc/letsencrypt/live) และ ไฟล์จริง (/etc/letsencrypt/archives). และแก้ไขทุกครั้งที่คุณต่ออายุใบรับรอง เนื่องจากไฟล์ใหม่จะได้รับสิทธิ์ "ปลอดภัย" สคริปต์ต่อไปนี้ฉันสิ่งที่ฉันใช้เมื่อนานมาแล้ว:

#!/bin/bash

#use: certbot ต่ออายุ --post-hook /usr/local/bin/certbot-renew-fix-file-access.sh

chmod 0755 /etc/letsencrypt/
chmod 0711 /etc/letsencrypt/live/
chmod 0750 /etc/letsencrypt/live/example.com/
chmod 0711 /etc/letsencrypt/archive/
chmod 0750 /etc/letsencrypt/archive/example.com/
chmod 0640 /etc/letsencrypt/archive/example.com/{cert,chain,fullchain}*.pem
chmod 0640 /etc/letsencrypt/archive/example.com/privkey*.pem

chown root:root /etc/letsencrypt/
chown root:root /etc/letsencrypt/live/
chown root:mail /etc/letsencrypt/live/example.com/
chown root:root /etc/letsencrypt/archive/
chown root:mail /etc/letsencrypt/archive/example.com/
chown root:mail /etc/letsencrypt/archive/example.com/{cert,chain,fullchain}*.pem
chown root:mail /etc/letsencrypt/archive/example.com/privkey*.pem

/etc/init.d/postfix รีสตาร์ท
/etc/init.d/cyrus รีสตาร์ท
/etc/init.d/apache2 รีสตาร์ท

คุณต้องปรับชื่อโฮสต์ ชื่อกลุ่มที่บริการของคุณเรียกใช้ หากไม่ใช่ จดหมาย และบริการที่ต้องมารับใบรับรองใหม่ภายหลังการต่ออายุ

0 + 0
fugee ohu avatar
za flag
fugee ohu
คุณใช้อูบุนตูหรือไม่? คุณหมายถึงอะไรโดยการปรับตัว?
0
ตอบกลับ
fugee ohu avatar
za flag
fugee ohu
การอนุญาตทั้งหมดนั้นต้องมีความเฉพาะเจาะจงดังนั้นคุณจึงไม่สามารถใช้มาสก์หนึ่งรายการกับตัวเลือก -R ได้
0
ตอบกลับ
Nikita Kipriyanov avatar
za flag
Nikita Kipriyanov
ไม่ ฉันไม่เคยใช้งานอูบุนตูบนเซิร์ฟเวอร์ แต่นั่นไม่สำคัญ `certbot` ทำเหมือนกันทุกที่ การดัดนั้นเหมือนน้อยที่สุด แต่อนุญาตให้ใช้งานได้ คุณสามารถอนุญาตทุกอย่างให้กับทุกคนได้ ซึ่งจะง่ายกว่าและสั้นกว่า แต่ฉันไม่คิดว่าวิธีนี้จะปลอดภัยมากนัก
0
ตอบกลับ
fugee ohu avatar
za flag
fugee ohu
ทุกอย่างถูก chowned root:root ในระบบของฉัน ทำไมต้องตั้งกลุ่มเป็นเมล
0
ตอบกลับ
Nikita Kipriyanov avatar
za flag
Nikita Kipriyanov
ขอให้สังเกตว่าฉันไม่เพียงเปลี่ยนกลุ่มเป็น `mail` แต่ยังอนุญาตให้ `xx0` สำหรับวัตถุบางอย่าง ดังนั้นเฉพาะบริการเมล (ที่อยู่ในกลุ่ม `mail`) เท่านั้นที่จะสามารถเข้าถึงคีย์ส่วนตัวเหล่านั้นได้ คุณสามารถทำวิธีที่ง่ายกว่า แต่จะปลอดภัยน้อยกว่า สคริปต์ที่นำเสนอแสดงวิธีที่ปลอดภัยที่สุดในการดำเนินการ (เช่น คุณจะต้องมีคีย์เหล่านี้พร้อมการอนุญาตเหล่านี้ไม่ทางใดก็ทางหนึ่ง)
0
ตอบกลับ
fugee ohu avatar
za flag
fugee ohu
แล้วคุณจะเพิ่ม user postfix และ dovecot ในเมลกลุ่มหรือไม่? ฉันไม่รู้ว่า xx0 หมายถึงอะไร โปรดบอกฉันว่า ถ้าฉันเพิ่งรัน ```chmod -R 644 /etc/letsencrypt/archive``` คุณคิดว่าจะทำได้ไหม
0
ตอบกลับ
Nikita Kipriyanov avatar
za flag
Nikita Kipriyanov
Postfix `master` ทำงานเป็น `root ` ดังนั้นจึงอ่านใบรับรอง / คีย์เป็นรูทแล้วลดสิทธิ์ อาปาเช่ทำเช่นเดียวกัน สังเกตว่าฉันรีสตาร์ทไม่โหลดซ้ำ เป็นไซรัสที่ทำงานเป็น `cyrus:mail` บนเซิร์ฟเวอร์ของฉัน ดังนั้นต้องมีการตั้งค่านี้ ฉันไม่เคยใช้ dovecot ฉันไม่รู้ว่ามันทำงานอย่างไร การตั้งค่าเป็นแบบทั่วไป คุณสามารถตั้งค่าการอนุญาตได้ตามต้องการ แต่ **ฉัน *ไม่* แนะนำให้อนุญาตการเข้าถึงสำหรับทุกคน** อย่างที่ 644 ทำ ภายใต้คำว่า "xx0" ฉันหมายถึง "ทุกคน" ไม่มีสิทธิ์เข้าถึง เช่น. โหมดจริงอาจเป็น 640, 440, 400, 750, 100 เช่น บางอย่าง (เหมาะสม) ที่ลงท้ายด้วยศูนย์
0
ตอบกลับ
fugee ohu avatar
za flag
fugee ohu
ฉันจะดูได้อย่างไรว่าผู้ใช้และกลุ่มกระบวนการทำงานเป็นอย่างไร
0
ตอบกลับ
Nikita Kipriyanov avatar
za flag
Nikita Kipriyanov
ในทางเทคนิคแล้ว `ps axu` แต่ **อ่านเอกสารเกี่ยวกับซอฟต์แวร์เฉพาะของคุณ** Postfix เรียกใช้กระบวนการบางอย่างในฐานะรูท มันถูกกล่าวถึงอย่างลึกซึ้งในเอกสาร ในขณะที่มีการสำรวจสั้น ๆ นี้ คุณจะพลาดข้อเท็จจริงนี้ไป
0
ตอบกลับ
fugee ohu avatar
za flag
fugee ohu
ดังนั้นฉันจึงพบ postfix, dovecot, cyrus ทั้งหมดทำงานเป็นรูทโดยไม่ได้กล่าวถึงกลุ่ม
0
ตอบกลับ
fugee ohu avatar
za flag
fugee ohu
ฉันรันสคริปต์ฉันยังคงมีปัญหาเดิม
0
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา