Admin/Dev

23
Mai
2019

Message Certbot : certbot-auto has insecure permissions!

Publié par sky

Depuis une mise à jour de Certbot-auto, certainement la 0.34, le logiciel me renvoie une alerte à chaque renouvellement, sans pour autant le bloquer.

certbot-auto has insecure permissions!
To learn how to fix them, visit https://community.letsencrypt.org/t/certbot-auto-deployment-best-practices/91979/

Sans être un véritable problème, il est désormais recommandé que certbot-auto ne soit modifiable que par root, en particulier sur les systèmes disposant de plusieurs utilisateurs.

Comme beaucoup, le renouvellement des certificats se fait en automatique via un job régulièrement lancé par cron, dans que l'on s'en préoccupe vraiment. En limitant les permissions à root, cela permet d'être sur qu'un autre utilisateur du serveur ne remplace le logiciel par l'un de ses logiciels malveillants entre deux mises à jour.

Que l'on soit l'unique utilisateur du serveur, ou pas, il est préférable de faire la modification, afin que tout soit bien en ordre. Et puis cela évitera la répétition du message en question.

Cette modification nous recommande de placer l'application dans un dossier protégé, modifiable par root uniquement, puis d'appliquer les mêmes droits sur le binaire de l'application.

sudo mv certbot-auto /usr/local/bin/
sudo chown root /usr/local/bin/certbot-auto
sudo chmod 0755 /usr/local/bin/certbot-auto

Evidemment, ensuite, il est nécessaire de modifier le chemin aussi dans sa tâche cron pour que le script puisse continuer à accéder à certbot-auto.

 
Sommaire de la série
 
 
Commentaires
Commentaire de brandan le 11 Mai 2020 à 18:19

gracias por el dato, me funciono a la perfecciòn..

 
Commentaire de sky le 11 Mai 2020 à 18:42

Hola Brandan, de nada.
(And it's the only words I know in spanish :-))

 

 

Poster un commentaire
En postant sur skymac.org, je m'engage à être courtois et à ce que mon message soit pertinent avec le sujet de l'article.
En outre, j'accepte, sans condition, que mon message soit refusé et supprimé si ces règles ne sont pas appliquées.
Captcha indisponible
Pour valider le formulaire, vous devez confirmer que vous êtes bien une personne. Actuellement, la fonctionnalité est indisponible. Vous devez activer le service ReCaptcha dans le gestionnaire des cookies, et donc consentir à l'utilisation de ses cookies.
Ouvrir le panneau de gestion des cookies
Fermer le panneau
Ce site utilise des cookies pour assurer son bon fonctionnement. Il utilise aussi des cookies issues de services tiers permettant de proposer des fonctionnalités avancées. À tout moment, vous pouvez choisir quels services vous souhaitez activer ou refuser, afin de retirer votre consentement quant à l'utilisation des cookies.
 
Personnalisation des services
Vous êtes libre de choisir quels services vous souhaitez activer. En autorisant ces services tiers, vous acceptez le dépôt et la lecture de cookies et l'utilisation de technologies de suivi nécessaires à leur bon fonctionnement. En retirant votre consentement pour certains de ces services, certaines fonctionnalités du site peuvent ne plus fonctionner.
Navigation du site  En savoir plus
Le site écrit un cookie de session permettant son bon fonctionnement et aidant à la navigation. Il ne peut être désactivé.
Utilisation : 1 cookie, enregistre l'identifiant de la session.
Durée de vie : Le cookie est présent pendant toute la session sur le site. Il devient obsolète après 24 minutes d'inactivité.
Obligatoire
Popup Média
Afficher des vidéos depuis Yoube ou Dailymotion.
ReCaptcha  En savoir plus
Permet de valider que les visiteurs sont bien des humains lorsqu'ils valident des formulaires.
 
Tout accepter Tout refuser Gérer