Admin/Dev

23
Mai
2019

Message Certbot : certbot-auto has insecure permissions!

Publié par sky

Depuis une mise à jour de Certbot-auto, certainement la 0.34, le logiciel me renvoie une alerte à chaque renouvellement, sans pour autant le bloquer.

certbot-auto has insecure permissions!
To learn how to fix them, visit https://community.letsencrypt.org/t/certbot-auto-deployment-best-practices/91979/

Sans être un véritable problème, il est désormais recommandé que certbot-auto ne soit modifiable que par root, en particulier sur les systèmes disposant de plusieurs utilisateurs.

Comme beaucoup, le renouvellement des certificats se fait en automatique via un job régulièrement lancé par cron, dans que l'on s'en préoccupe vraiment. En limitant les permissions à root, cela permet d'être sur qu'un autre utilisateur du serveur ne remplace le logiciel par l'un de ses logiciels malveillants entre deux mises à jour.

Que l'on soit l'unique utilisateur du serveur, ou pas, il est préférable de faire la modification, afin que tout soit bien en ordre. Et puis cela évitera la répétition du message en question.

Cette modification nous recommande de placer l'application dans un dossier protégé, modifiable par root uniquement, puis d'appliquer les mêmes droits sur le binaire de l'application.

sudo mv certbot-auto /usr/local/bin/
sudo chown root /usr/local/bin/certbot-auto
sudo chmod 0755 /usr/local/bin/certbot-auto

Evidemment, ensuite, il est nécessaire de modifier le chemin aussi dans sa tâche cron pour que le script puisse continuer à accéder à certbot-auto.

 
Sommaire de la série
 
 
Commentaires
Aucun commentaire pour le moment.

 

Poster un commentaire
En postant sur skymac.org, je m'engage à être courtois et à ce que mon message soit pertinent avec le sujet de l'article.
En outre, j'accepte, sans condition, que mon message soit refusé et supprimé si ces règles ne sont pas appliquées.
Les cookies assurent le bon fonctionnement de nos services. En continuant, vous acceptez leur utilisation sur notre site internet.
Accepter