Hallo allerseits, ich versuche mosquitto (ohne und mit TLS) auf 15.1 zum laufen zu bekommen. das ganze hat aus Rechteproblemen mit TLS nicht funktioniert. nach langem Suchen habe ich nun gefunden, dass in 15.1 in /usr/lib/systemd/system/mosquitto.service festgelegt ist, dass das als user mosquitto gestartet wird. Ich beziehe meine Zertifikate von letsencrypt, Die Zertifikate werden in /etc/letsencrypt abgelegt, aber die beiden wesentlichen Verzeichnisse /etc/letsencrypt/live und /etc/letsencrypt/archive sind nur für root lesbar. Das scheint dir Ursache des Problems zu sein, denn wenn ich in /usr/lib/systemd/system/mosquitto.service das ganze als user root starten lasse bzw. das Kommando /usr/sbin/mosquitto -c /etc/mosquitto/mosquitto.conf direkt als root aufrufe funktioniert alles. So ganz richtig (unter Sicherheitsaspekten) ist das sicherlich nicht. Andererseits setzt letsencrypt die Rechte sehr restriktiv
ls -l /etc/letsencrypt drwx------ 1 root root 40 Feb 12 21:28 archive
ls -l /etc/letsencrypt/archive/www.*/ -rw-r--r-- 1 root root 2074 Jul 7 14:12 cert4.pem -rw-r--r-- 1 root root 1647 Jul 7 14:12 chain4.pem -rw-r--r-- 1 root root 3721 Jul 7 14:12 fullchain4.pem -rw------- 1 root root 1704 Jul 7 14:12 privkey4.pem
was ist also der richtige Weg? Schönen Sonntag noch Bye Jürgen -- Dr.rer.nat. Jürgen Vollmer, Am Rennbuckel 21, D-76185 Karlsruhe Tel: +49(721) 92 04 87 1 Fax: +49(721) 92 04 87 2 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Sonntag, 7. Juli 2019, 18:33:31 CEST schrieb Dr. Juergen Vollmer:
Hallo allerseits,
ich versuche mosquitto (ohne und mit TLS) auf 15.1 zum laufen zu bekommen.
das ganze hat aus Rechteproblemen mit TLS nicht funktioniert.
nach langem Suchen habe ich nun gefunden, dass in 15.1 in /usr/lib/systemd/system/mosquitto.service festgelegt ist, dass das als user mosquitto gestartet wird.
Ich beziehe meine Zertifikate von letsencrypt, Die Zertifikate werden in /etc/letsencrypt abgelegt, aber die beiden wesentlichen Verzeichnisse /etc/letsencrypt/live und /etc/letsencrypt/archive sind nur für root lesbar.
Das scheint dir Ursache des Problems zu sein, denn wenn ich in /usr/lib/systemd/system/mosquitto.service das ganze als user root starten lasse bzw. das Kommando /usr/sbin/mosquitto -c /etc/mosquitto/mosquitto.conf direkt als root aufrufe funktioniert alles.
So ganz richtig (unter Sicherheitsaspekten) ist das sicherlich nicht.
Andererseits setzt letsencrypt die Rechte sehr restriktiv
ls -l /etc/letsencrypt
drwx------ 1 root root 40 Feb 12 21:28 archive
ls -l /etc/letsencrypt/archive/www.*/
-rw-r--r-- 1 root root 2074 Jul 7 14:12 cert4.pem -rw-r--r-- 1 root root 1647 Jul 7 14:12 chain4.pem -rw-r--r-- 1 root root 3721 Jul 7 14:12 fullchain4.pem -rw------- 1 root root 1704 Jul 7 14:12 privkey4.pem
Das ist einer der Gründe warum ich mein "eigenes" certbot habe. Du kannst nämlich die Zertifikate für die unterschiedlichsten Dienste brauchen. Und das funktioniert natürlich nicht mit dem "normalen" certbot und root. Eigentlich müssen die Ordner für die Zertifikate einem anderem User, sagen wir mal certbot gehören. Dann kannst du nämlich in deinem Fall mosquitto in die Gruppe certbot aufnehmen. Oder auch jeden anderen Dienst und die Dienste haben somit Rechte auf die Zertifikate. Gruß Eric -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (2)
-
Dr. Juergen Vollmer
-
Eric Schirra