monit, vamos criptografar e permissões de arquivo

2

Eu decidi colocar monit no meu vps rodando centos 7. Eu já tenho vamos criptografar no servidor e os certificados estão instalados. Eu queria apontar o monit no fullchain.pem ou no cert.pem, mas eu recebo este erro.

    Dec 30 00:56:52 [23926]: The SSL server PEM file 
    '/etc/letsencrypt/live/example.com/fullchain.pem' must have permissions no more than -rwx------ (0700); right now permissions are -rw-r--r-- (0644).
    Dec 30 00:56:52 monit[23926]: /etc/monitrc:131: SSL server PEM file permissions check failed 'allow'
    Dec 30 00:56:52  systemd[1]: monit.service: main process exited, code=exited, status=1/FAILURE

Não sabe como proceder. Eu mudo o dono dos arquivos cert? Eu mudo o dono que executa o monit?

    
por johndoeysmith 30.12.2017 / 08:35

1 resposta

1

O Monit é bastante estranho porque espera que a chave privada e a cadeia de certificados TLS sejam concatenadas em um único arquivo especificado por pemfile , portanto, não é possível usar certificados recuperados com o certbot sem algum processamento adicional.

Você precisará configurar um gancho de implantação no certbot para concatene os certificados em um único arquivo e defina permissões nesse arquivo. / p>

Um script de exemplo pode se parecer com:

#!/bin/bash

for domain in $RENEWED_DOMAINS
do
    case $domain in
    example.com)
        cat $RENEWED_LINEAGE/privkey.pem $RENEWED_LINEAGE/fullchain.pem > /etc/monit/pemfile-$domain.pem
        chmod 600 /etc/monit/pemfile-$domain.pem
        ;;
done

Em seguida, renove com certbot renew --deploy-hook '/path/to/that/script.sh' .

E em monit, especifique pemfile /etc/monit/pemfile-example.com.pem

Por fim, você pode reiniciar o monit com o certificado renovado com algo como uma renovação do certbot --post-hook 'systemctl restart monit' ...

    
por 30.12.2017 / 09:08