dovecot, apparmor und ssl-certifikate
Moin zusammen, eine etwas spezielle Frage: Ich setze seit längerem dovecot (mit ssl / self-signed certifate via mkcert.sh) auf der 13.2 mit apparmor zusammen ein. Das lief bis gestern zum "normalen" update einwandfrei. Jetzt aber hat der mailserver nicht mehr starten wollen - das Problem war, das das Zertifikat "dovecot.pem" nicht mehr in /etc/ssl/certs zu finden war (die Datei war tatsächlich gelöscht). Der Update für "ca-certificates" scheint das getan zu haben. Das private Zertifikat in /etc/ssl/private dagegen war unangetastet. (beide wurden jeweils dort durch mkcert.sh abgelegt) Die Datei hatte ich aber noch im Backup UND in /etc/pki/trust - in letzterem habe ich die Datei jedenfalls NIE manuell hinkopiert. Frage: a) wer hat mein Zertifikat da hin gelegt b) leider kann man /etc/pki/trust/dovecot.pem nicht in der ssl-conf eintragen; hier wird der Zugriff durch apparmor mal wieder verweigert. Was macht man nun sinnvollerweise? Kurzfristig habe ich mir das certifikat wieder nach /etc/ssl/certs kopiert - laufe nun aber Gefahr das der nächste update von ca-certifikates das wieder "wegräumt". Ideen? Andreas -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 10.02.2015 um 11:31 schrieb Kyek, Andreas, Vodafone DE:
Moin zusammen,
eine etwas spezielle Frage:
Ich setze seit längerem dovecot (mit ssl / self-signed certifate via mkcert.sh) auf der 13.2 mit apparmor zusammen ein. Das lief bis gestern zum "normalen" update einwandfrei.
Jetzt aber hat der mailserver nicht mehr starten wollen - das Problem war, das das Zertifikat "dovecot.pem" nicht mehr in /etc/ssl/certs zu finden war (die Datei war tatsächlich gelöscht). Der Update für "ca-certificates" scheint das getan zu haben. Das private Zertifikat in /etc/ssl/private dagegen war unangetastet. (beide wurden jeweils dort durch mkcert.sh abgelegt)
Ach, das passiert Dir jetzt erst? :) Ich kenne das Problem schon seit einiger Zeit...
Die Datei hatte ich aber noch im Backup UND in /etc/pki/trust - in letzterem habe ich die Datei jedenfalls NIE manuell hinkopiert.
Nee, das ist der aktuelle Standard-Ort für Zertifikate, /etc/ssl/certs ist nur noch ein Symlink.
Frage: a) wer hat mein Zertifikat da hin gelegt
Wie Du richtig vermutet hast, war das das Update. "rpm -qf /etc/ssl/certs" sollte Dir das passende Paket anzeigen.
b) leider kann man /etc/pki/trust/dovecot.pem nicht in der ssl-conf eintragen; hier wird der Zugriff durch apparmor mal wieder verweigert.
Dovecot auf "complain" stellen und Meldungen verfolgen. Ggf. in /etc/apparmor.d/ ein Regelwerk zusammenbasteln. Ist aber m. E. mühselig, wenn Christian Boltz da auch anderer Ansicht ist :) Oder Du fügst die Zeilen /etc/pki/ r, /etc/pki/trust/ r, /etc/pki/trust/* r, in eine bestehende Datei wie /etc/apparmor.d/abstractions/ssl_certs oder /etc/apparmor.d/local/usr.lib.dovecot.ssl-params ein.
Was macht man nun sinnvollerweise? Kurzfristig habe ich mir das certifikat wieder nach /etc/ssl/certs kopiert - laufe nun aber Gefahr das der nächste update von ca-certifikates das wieder "wegräumt".
Ideen?
mkdir /etc/dovecot/certs -> Zertifikate reinkopieren -> Dovecot-Konfig darauf zeigen lassen Das Verzeichnis /etc/dovecot/certs ist bei mir vom 15.12.2014, also hatte ich das Problem schon vor 2 Monaten :) HDH, Werner --
Werner Flamme wrote:
Am 10.02.2015 um 11:31 schrieb Kyek, Andreas, Vodafone DE:
Moin zusammen,
eine etwas spezielle Frage:
Ich setze seit längerem dovecot (mit ssl / self-signed certifate via mkcert.sh) auf der 13.2 mit apparmor zusammen ein. Das lief bis gestern zum "normalen" update einwandfrei.
Jetzt aber hat der mailserver nicht mehr starten wollen - das Problem war, das das Zertifikat "dovecot.pem" nicht mehr in /etc/ssl/certs zu finden war (die Datei war tatsächlich gelöscht). Der Update für "ca-certificates" scheint das getan zu haben. Das private Zertifikat in /etc/ssl/private dagegen war unangetastet. (beide wurden jeweils dort durch mkcert.sh abgelegt)
Ach, das passiert Dir jetzt erst? :) Ich kenne das Problem schon seit einiger Zeit...
k.A. - ich bin der Sache aus aktuellem Anlasse heute nachgegangen.
Die Datei hatte ich aber noch im Backup UND in /etc/pki/trust - in letzterem habe ich die Datei jedenfalls NIE manuell hinkopiert.
Nee, das ist der aktuelle Standard-Ort für Zertifikate, /etc/ssl/certs ist nur noch ein Symlink.
Sicher? /etc/ssl/certs ist in der Tat ein Symlink; allerdings zeigt dieser nicht nach /etc/pki/trust :-( Was dieses pki/trust Verzeichnis genau sein sol list mir nicht klar. ls -l /etc/ssl bringt hier: ... lrwxrwxrwx 1 root root 38 19. Nov 17:02 ca-bundle.pem -> /var/lib/ca-certificates/ca-bundle.pem lrwxrwxrwx 1 root root 28 19. Nov 17:02 certs -> /var/lib/ca-certificates/pem Mir ist also immer noch nicht klar, wie mein schönes Zertifikat nach pki/trust gewandert ist. (Hab's da jetzt wieder entsorgt)
Frage: a) wer hat mein Zertifikat da hin gelegt
Wie Du richtig vermutet hast, war das das Update. "rpm -qf /etc/ssl/certs" sollte Dir das passende Paket anzeigen.
Das hatte ich ja geschrieben - "ca-certificates" ist wohl das "schuldige" Paket. Ungewöhnlich ist allerdings das NICHT zu dem Paket gehörende Dateien gelöscht werden; das kenne ich von rpm bisher nicht so. Da hat jemand ein ziemlich radikales [de-]installationsskript in das rpm gepackt.
b) leider kann man /etc/pki/trust/dovecot.pem nicht in der ssl-conf eintragen; hier wird der Zugriff durch apparmor mal wieder verweigert.
Dovecot auf "complain" stellen und Meldungen verfolgen. Ggf. in /etc/apparmor.d/ ein Regelwerk zusammenbasteln. Ist aber m. E. mühselig, wenn Christian Boltz da auch anderer Ansicht ist :)
Das habe ich versucht - ist wohl entweder nicht mein Tag oder allgemein nicht mein Ding.
Oder Du fügst die Zeilen /etc/pki/ r, /etc/pki/trust/ r, /etc/pki/trust/* r, in eine bestehende Datei wie /etc/apparmor.d/abstractions/ssl_certs oder /etc/apparmor.d/local/usr.lib.dovecot.ssl-params ein.
Ist auch 'ne Idee; die unten hat mir aber besser gefallen. Damit sind die dovecot certifikate bei der restliche dovecot config; passt!
Was macht man nun sinnvollerweise? Kurzfristig habe ich mir das certifikat wieder nach /etc/ssl/certs kopiert - laufe nun aber Gefahr das der nächste update von ca-certifikates das wieder "wegräumt".
Ideen?
mkdir /etc/dovecot/certs -> Zertifikate reinkopieren -> Dovecot-Konfig darauf zeigen lassen
Das Verzeichnis /etc/dovecot/certs ist bei mir vom 15.12.2014, also hatte ich das Problem schon vor 2 Monaten :)
Merci - werde diese Mail archivieren. Andreas -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 10.02.2015 um 15:01 schrieb Kyek, Andreas, Vodafone DE:
Werner Flamme wrote:
Am 10.02.2015 um 11:31 schrieb Kyek, Andreas, Vodafone DE:
Moin zusammen,
eine etwas spezielle Frage:
Ich setze seit längerem dovecot (mit ssl / self-signed certifate via mkcert.sh) auf der 13.2 mit apparmor zusammen ein. Das lief bis gestern zum "normalen" update einwandfrei.
Jetzt aber hat der mailserver nicht mehr starten wollen - das Problem war, das das Zertifikat "dovecot.pem" nicht mehr in /etc/ssl/certs zu finden war (die Datei war tatsächlich gelöscht). Der Update für "ca-certificates" scheint das getan zu haben. Das private Zertifikat in /etc/ssl/private dagegen war unangetastet. (beide wurden jeweils dort durch mkcert.sh abgelegt)
Ach, das passiert Dir jetzt erst? :) Ich kenne das Problem schon seit einiger Zeit...
k.A. - ich bin der Sache aus aktuellem Anlasse heute nachgegangen.
Die Datei hatte ich aber noch im Backup UND in /etc/pki/trust - in letzterem habe ich die Datei jedenfalls NIE manuell hinkopiert.
Nee, das ist der aktuelle Standard-Ort für Zertifikate, /etc/ssl/certs ist nur noch ein Symlink.
Sicher? /etc/ssl/certs ist in der Tat ein Symlink; allerdings zeigt dieser nicht nach /etc/pki/trust :-( Was dieses pki/trust Verzeichnis genau sein sol list mir nicht klar.
ls -l /etc/ssl bringt hier: ... lrwxrwxrwx 1 root root 38 19. Nov 17:02 ca-bundle.pem -> /var/lib/ca-certificates/ca-bundle.pem lrwxrwxrwx 1 root root 28 19. Nov 17:02 certs -> /var/lib/ca-certificates/pem
Mir ist also immer noch nicht klar, wie mein schönes Zertifikat nach pki/trust gewandert ist. (Hab's da jetzt wieder entsorgt)
Bei mir steht der Grund im 3. Absatz in /usr/share/doc/packages/ca-certificates/README ;) Ist eh eine ganz interessante Datei. Anscheinend ist der Packager wohl nicht darauf gekommen, dass auch andere Software als p11-kit Zertifikate suchen könnten und deshalb auf die "alten" Verzeichnisse bzw. deren Inhalte angewiesen sind. Hattest Du das Zertifikat auch nicht mehr in /etc/ssl/certs.rpmsave/? Das existiert bei mir (vom 20.10.14) und enthält den alten Stand.
mkdir /etc/dovecot/certs -> Zertifikate reinkopieren -> Dovecot-Konfig darauf zeigen lassen
Das Verzeichnis /etc/dovecot/certs ist bei mir vom 15.12.2014, also hatte ich das Problem schon vor 2 Monaten :)
Merci - werde diese Mail archivieren.
:) Auf den Gedanken bin ich gekommen, weil die Apache-Zertifikate unter /etc/apache2 liegen, die Postfix-Zertifikate unter /etc/postfix usw., obgleich es letzten Endes immer dieselben Zertifikate sind. Gruß Werner --
Hallo Werner, hallo Andreas, hallo Leute, Am Dienstag, 10. Februar 2015 schrieb Werner Flamme:
Am 10.02.2015 um 11:31 schrieb Kyek, Andreas, Vodafone DE:
b) leider kann man /etc/pki/trust/dovecot.pem nicht in der ssl-conf eintragen; hier wird der Zugriff durch apparmor mal wieder verweigert.
Dovecot auf "complain" stellen und Meldungen verfolgen. Ggf. in /etc/apparmor.d/ ein Regelwerk zusammenbasteln. Ist aber m. E. mühselig, wenn Christian Boltz da auch anderer Ansicht ist :)
Stimmt, "aa-logprof" aufrufen und ein paar Fragen beantworten ist definitiv nicht mühselig ;-)
Oder Du fügst die Zeilen /etc/pki/ r,
Ist die wirklich nötig? Sprich: muss Dovecot das Verzeichnislisting von /etc/pki/ lesen können? (Mein /etc/pki/ enthält nur leere Verzeichnisse, daher habe ich keine Ahnung, welche Dateien wo liegen können/sollen.)
/etc/pki/trust/ r, /etc/pki/trust/* r, in eine bestehende Datei wie /etc/apparmor.d/abstractions/ssl_certs oder /etc/apparmor.d/local/usr.lib.dovecot.ssl-params ein.
abstractions/ssl_certs ist in diesem Fall die bessere Wahl - das Problem betrifft ja auch andere Programme, die SSL verwenden. Apropos: Habe ich den Bugreport dazu übersehen? Oder gibt es keinen? ;-)
Was macht man nun sinnvollerweise? Kurzfristig habe ich mir das certifikat wieder nach /etc/ssl/certs kopiert - laufe nun aber Gefahr das der nächste update von ca-certifikates das wieder "wegräumt".
Ideen?
mkdir /etc/dovecot/certs -> Zertifikate reinkopieren -> Dovecot-Konfig darauf zeigen lassen
Das Verzeichnis /etc/dovecot/certs ist bei mir vom 15.12.2014, also hatte ich das Problem schon vor 2 Monaten :)
Also ein paar Wochen vor dem AppArmor-Update im Januar. Wenn Du gleich einen Bugreport eingereicht hättest, hätte ich das geänderte abstractions/ssl_certs noch ins Update reinbekommen. Nächstes Mal also bitte gleich meckern ;-) Helau! Christian Boltz -- We break the translation consistently (wow, consistent break, I like that wording) [from https://bugzilla.novell.com/show_bug.cgi?id=165509] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 16.02.2015 um 22:06 schrieb Christian Boltz:
Hallo Werner, hallo Andreas, hallo Leute,
Apropos: Habe ich den Bugreport dazu übersehen? Oder gibt es keinen? ;-)
Es gab keinen, wurde ja rasch mit Deiner Hilfe hier gefixt :)
Was macht man nun sinnvollerweise? Kurzfristig habe ich mir das certifikat wieder nach /etc/ssl/certs kopiert - laufe nun aber Gefahr das der nächste update von ca-certifikates das wieder "wegräumt".
Ideen?
mkdir /etc/dovecot/certs -> Zertifikate reinkopieren -> Dovecot-Konfig darauf zeigen lassen
Das Verzeichnis /etc/dovecot/certs ist bei mir vom 15.12.2014, also hatte ich das Problem schon vor 2 Monaten :)
Also ein paar Wochen vor dem AppArmor-Update im Januar. Wenn Du gleich einen Bugreport eingereicht hättest, hätte ich das geänderte abstractions/ssl_certs noch ins Update reinbekommen. Nächstes Mal also bitte gleich meckern ;-)
Habe ich doch, hier auf der Mailingliste im November :). Du hast mir ja damals auch weitergeholfen :). Der Thread begann mit <http://lists.opensuse.org/opensuse-de/2014-11/msg00061.html>. Es ging allerdings nicht um Zertifikate (das kam erst später). Nachdem wegen der Zertifikate aber weder auf der deutschen noch auf der englischen Liste geschrien wurde, dachte ich, ich sei ein Einzelfall - bis mich Andreas' Posting eines anderen belehrte. Gruß Werner --
participants (3)
-
Christian Boltz -
Kyek, Andreas, Vodafone DE -
Werner Flamme