Início / server / Perguntas / 1162578
Accepted
ciro
Asked: 2024-07-16 04:48:27 +0800 CST

vamos criptografar o problema de permissão do certificado com postgres

  • 772

Estou usando o certbot, no Ubuntu 22, para gerar certificado SSL. Tudo funciona bem, mas todos os certificados são gerados na seguinte pasta

/etc/letsencrypt/live/domain/cert.pem

O problema é que o usuário e o grupo são root. Se eu tentar usar um certificado para configurar o postgres para usar SSL, recebo um erro de permissão negada.

Eu evitaria copiar o certificado em outro diretório toda vez que fosse gerado. Existe uma maneira de alterar o grupo para gerar o certificado?

Atenciosamente

ubuntu

1 respostas

  1. Best Answer

    Geralmente, existem abordagens para que os serviços possam ler o certificado e a chave privada. A verdadeira preocupação é como manter a chave privada segura para que ninguém além dos serviços que a utilizam possa lê-la.

    1. Alguns serviços (por exemplo, Postfix) executam um processo mestre como root para se ligar a portas privilegiadas (<= 1024), bem como para ler segredos de arquivos de configuração, incluindo as chaves privadas. Eles então bifurcam processos sem privilégios para qualquer coisa que o serviço esteja fazendo.

    2. Alguns serviços (por exemplo, PostgreSQL) não executam nenhum dos seus processos como root. Portanto, eles não podem ler os arquivos em /etc/letsencrypt/live/, e os arquivos devem ser copiados para um local onde somente o serviço em questão possa lê-los.

    Como vários serviços podem precisar do mesmo certificado e chave privada, não é aconselhável alterar as permissões /etc/letsencrypt/live/diretamente, mas criar quantas cópias dos arquivos forem necessárias. Com Let's Encrypt, este não deve ser um processo manual, mas automatizado como ganchos de implantação (consulte Renovação de certificados ).

    Pavel Lazureykis escreveu um tutorial sobre certificados SSL automáticos para PostgreSQL ; as fases 10–12 instruem como construir o gancho de implantação:

    1. Vamos automatizar o processo de atualização de certificados. Criarei um novo script em /usr/bin/update_certs.sh:

      #!/bin/bash

# Paths to certificate and key files
CERTIFICATE="/etc/letsencrypt/live/pgtest.uptime-monitor.io/fullchain.pem"
PRIVATE_KEY="/etc/letsencrypt/live/pgtest.uptime-monitor.io/privkey.pem"

# Destination directory for PostgreSQL certificates 
PG_CERT_DIR="/etc/postgresql/16/main"

# Copy certificate and private key
sudo cp "$CERTIFICATE" "${PG_CERT_DIR}/pgtest.crt"
sudo cp "$PRIVATE_KEY" "${PG_CERT_DIR}/pgtest.key"

# Set permissions and ownership for certificate and private key 
sudo chmod 600 "${PG_CERT_DIR}/pgtest.crt"
sudo chmod 600 "${PG_CERT_DIR}/pgtest.key"
sudo chown postgres:postgres "${PG_CERT_DIR}/pgtest.crt"
sudo chown postgres:postgres "${PG_CERT_DIR}/pgtest.key"

# Force PostgreSQL to reload config:
sudo -u postgres psql -c "SELECT pg_reload_conf();"

    2. Defina este script como executável:

      chmod +x /usr/bin/update_certs.sh

    3. Instale o script como um gancho no certbot. Ele será executado sempre que o certificado for atualizado pelo certbot:

      sudo certbot renew --force-renewal --deploy-hook /usr/bin/update_certs.sh
    • 1

relate perguntas