ich habe ein seltsames Problem mit einem Zertifikat eines Kollegen. Im Homeverzeichnis unter OpenVPN liegen die drei Dateien die für OpenVPN gebracht werden. Während die “to RED” und die “to Blue” Datei kopiert weren kann, kann die Zertifikatsdatei nicht kopiert werden. Die Rechte sind wie folgt gesetzt:
To Blue und To Red
Lesen und schreiben durch Eigentümer; Lesen durch Gruppe; Lesen durch alle
644
Die Zertifikatsdatei
Lesen und schreiben durch Eigentümer
600
Warum werden die Rechte unterschiedlich gesetzt? Wo muss ich ansetzen, damit die Rechte gleich gesetzt werden?
Gruß
Alois
Ps. Ich habe die Rechte erst mal händisch gesetzt.
Hab das so nicht im Einsatz, deshalb sollte sich jemand dazu aeussern, der weiss wovon er schreibt, aber grundsaetzlich laesst sich sagen, dass die Zertikatsdatei normalerweise Verwaltungsdaten + Public Key + Signatur der CA beinhaltet und nichts davon ist geheimzuhalten, der Private Key des Clients/Servers wird in der Regel in einer eigenen Datei gespeichert und dieser sollte nicht von allen im System gelesen werden koennen, also das 600. Es koennen auch Private+Public Keys in eine Datei gezwungen werden, Loesung ist aber nicht so geil.
Vielleicht off topic, aber die .12-Datei ist so eine Konstruktion, Zertifikat und private Key in einer Datei, nochmal geschuetzt/verschluessel durch ein Passwort, die .ovpn-Dateien sind nur Konfigurationsdateien fuer die Clients, da steht der FQDN oder die IP des Zielservers drin, Kompression oder nicht usw. usf.
Hallo Alois,
wir haben seit den letzten updates dasselbe Problem, dass die .12-Datei nur root lesen kann (600) und damit die Kollegen die Datei nicht mehr nach Hause exportieren können.
Hast du inzwischen eine Lösung dafür gefunden?
Da mir das Verbiegen der Rechte nicht gefällt, habe ich mir jetzt ein Script gebastelt, dass die User richtig setzt. Bitte schön:
#!/bin/bash
#==============================================================================
#title : openvpn_set_owner.sh
#description : Set the owners of the OpenVPN files
#author : MachtDochNix
#date : 20190121
#version : 0.1
#usage : ./openvpn_set_owner.sh
#devendencies : locate
#notes : The script sets the users of the openvpn files according
# to the dependencies of the specifications from the paths.
#==============================================================================
# locate-database update
/usr/bin/updatedb
#for file in /home/*/*/OpenVPN/*.p12; do
for file in $(locate -b .p12)
do
file_name=${file%%.p12}
openvpn_user=${file_name##/*/}
if [ $(stat -c %U $file) == "root" ]
then
echo "Benutzer wird berichtigt: -> $openvpn_user!"
chown $openvpn_user $file_name.*
else
echo "$file_name.p12 -> $openvpn_user schon richtig gesetzt!"
fi
done
Nee, wenn ein neues Zertifikat ausgestellt wird, dann muss es einmal aufgerufen werden.
Wo der Fehler herkommt konnte ich nicht ergründen, darum nun eben so auf die Schnelle, da ich sämtliche Zertifikate erneuern musste (IPFire-Update).