spirit-of-eli
Goto Top

Coturn TLS Verschlüsselung hat Probleme mit Certbot

Moin zusammen,

nach dem ich feststellen durfte, dass bei meinem Nextcloud Talk Server keine Video oder Audio Verbindung mehr möglich war, habe ich mir das Thema näher angeschaut.

Kurz um gab es anscheint ein Update seitens Certbot wodurch die Zertifikate nicht mehr im Verzeichnis "letsencrypt - live" liegen. Diese werden nun im Ordner "letsencrypt - archive" abgelegt und die aktuelle Version per Symlink in das "live" Verzeichnis gemappt.

Das Resultat ist folgendes. Im Coturn definiert man zu Absicherung via TLS den Speicherort der Zertifikate im Certbot. Jedoch kann Coturn auf Grund von Rechte Verschärfung der Verzeichnise weder auf "live" noch auf "archive" zugreifen, bzw die Zertifikate nicht lesen.
https://github.com/coturn/coturn/issues/496#issuecomment-606533463

Ein kurzer Workaround, anderen Usern wieder lese/ausführen Rechte geben.
chmod +x -R
auf beide Verzeichnise
Was ich allerdings nicht verstanden habe ist der Punkt, dass Nginx ohne Probleme trotz der Änderung funktioniert.


Gruß
Spirit

Content-Key: 570101

Url: https://administrator.de/contentid/570101

Printed on: February 29, 2024 at 08:02 o'clock

Member: wiesi200
wiesi200 May 07, 2020 at 07:09:37 (UTC)
Goto Top
Hallo,

Chmod +x bedeutend doch ausführbar und nicht lesezugriff
Member: Spirit-of-Eli
Spirit-of-Eli May 07, 2020 at 07:14:19 (UTC)
Goto Top
Zitat von @wiesi200:

Hallo,

Chmod +x bedeutend doch ausführbar und nicht lesezugriff

Wenn ich dem hier Folge:
Short version
chmod +x is equal to chmod ugo+x (Based on umask value)
Wird lesen und ausfuhren akkumuliert.
Member: wiesi200
wiesi200 May 07, 2020 at 07:30:05 (UTC)
Goto Top
Ja natürlich brauchst du für ausführen auch lesen.

Aber +x ist was anderes als rein Lesezugriff.
Member: Spirit-of-Eli
Spirit-of-Eli May 07, 2020 updated at 08:07:17 (UTC)
Goto Top
Ganz ehrlich, mir wäre es lieber die Rechte gar nicht anfassen zu müssen. Anscheinend gibt es ja auch eine andere Funktion welche z.b. von Nginx aber eben nicht von Coturn umgesetzt wird.
Ohne Anpassung hat schließlich nur "root" Zugriff auf die Dateien.

Der Webserver sowie der Turnserver laufen beide unter einem separaten user.

Edit: Ich habe die Definition oben korrigiert.
Member: wiesi200
wiesi200 May 07, 2020 at 08:47:15 (UTC)
Goto Top
Aber jetzt verstehst du vielleicht auch warum Nginx auch so läuft. Die leserechte waren vermutlich vorhanden und reichen normalerweise auch.

Coturn braucht hier aus irgendeinem unverständlich Grund mehr. Ich tippe mal auf Programmierfehler in der Prüfung des Zertifikats
Member: Spirit-of-Eli
Spirit-of-Eli May 07, 2020 at 10:22:29 (UTC)
Goto Top
Das Problem besteht in Punkt bei dem Symlink. Anders als einige. vermuten kann Coturn tatsächlich dem Symlink folgen. Aber auf dem Archiv Ordner waren die entsprechenden rechte nicht vorhanden. Bzw. wurde diese Konstellation wohl erst durch ein Certbot update geschaffen. Zu vor lagen die Files ja tatsächlich im Ordner "live" und waren abrufbar. Nach dem Certbot update war dies nicht mehr möglich.

Ich müsste jetzt tatsächlich testen wie es bei einer älteren Certbot Version ausgesehen hat.

Ich stecke aber auch nicht tief genug in programmier Themen drin als das ich nachvollziehen kann, wie Coturn tatsächlich handeln müsste oder können sollte.