Страница 1 из 2

Два вопроса по jail

Добавлено: Ср мар 29, 2023 3:07 pm
MaySky
Добрый день.

1) Добавил в jail
/usr/bin/wget
Перестроил skeleton и jailы для всех акаунтов.
Захожу под пользователем и пытаюсь сделать wget https://site.com
Получаю ошибку
Connecting to site.com (site.com)|xxx.xxx.xxx.xxx|:443... connected.
GnuTLS: The request is invalid.
Unable to establish SSL connection.
По http все работает. libgnutls.so.30 и libgnutls.so.30.28.2 есть в /usr/lib64/ внутри джейла пользователя.
Что еще нужно добавить для https?

2) При входе по ssh в аккаунт в jail со старта получаю сообщение.
basename: missing operand
Try 'basename --help' for more information.
Как это починить?

Re: Два вопроса по jail

Добавлено: Чт мар 30, 2023 8:16 am
alenka
2)При авторизации через ssh автоматом вызывается скрипт, который и показывает данную ошибку(это если у вас подключено basename в jail)
/home/USER/etc/profile.d/which2.sh
Это связано с блокировкой selinux, ниже можно почитать про данную блокировку.
https://access.redhat.com/documentation ... ling_files
Данный нюанс изучался поверхностно.

1)смотрите в сторону добавления цепочки сертификатов

Re: Два вопроса по jail

Добавлено: Чт мар 30, 2023 9:56 am
MaySky
2) В панели ж вроде selinux выключается еще при установке?
[root@hon ~]# cat /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of these three values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.
SELINUXTYPE=targeted
[root@hon ~]# getenforce
Disabled

1) Речь про пакет ca-certificates?

Re: Два вопроса по jail

Добавлено: Чт мар 30, 2023 10:02 am
alenka
1)Вот именно при выключенном selinux блочит по флагам
2) да

Re: Два вопроса по jail

Добавлено: Чт мар 30, 2023 3:14 pm
MaySky
По 2 понятно.

Теперь по 1)
Версия BrainyCP 1.0947.20230308
OS Almalinux 8
Сделал на сервере

Код: Выделить всё

rpm -ql ca-certificates
/etc/pki/ca-trust
/etc/pki/ca-trust/README
/etc/pki/ca-trust/ca-legacy.conf
/etc/pki/ca-trust/extracted
/etc/pki/ca-trust/extracted/README
/etc/pki/ca-trust/extracted/edk2/README
/etc/pki/ca-trust/extracted/edk2/cacerts.bin
/etc/pki/ca-trust/extracted/java
/etc/pki/ca-trust/extracted/java/README
/etc/pki/ca-trust/extracted/java/cacerts
/etc/pki/ca-trust/extracted/openssl
/etc/pki/ca-trust/extracted/openssl/README
/etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt
/etc/pki/ca-trust/extracted/pem
/etc/pki/ca-trust/extracted/pem/README
/etc/pki/ca-trust/extracted/pem/email-ca-bundle.pem
/etc/pki/ca-trust/extracted/pem/objsign-ca-bundle.pem
/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
/etc/pki/ca-trust/source
/etc/pki/ca-trust/source/README
/etc/pki/ca-trust/source/anchors
/etc/pki/ca-trust/source/blacklist
/etc/pki/ca-trust/source/ca-bundle.legacy.crt
/etc/pki/java
/etc/pki/java/cacerts
/etc/pki/tls
/etc/pki/tls/cert.pem
/etc/pki/tls/certs
/etc/pki/tls/certs/ca-bundle.crt
/etc/pki/tls/certs/ca-bundle.trust.crt
/etc/ssl
/etc/ssl/certs
/usr/bin/ca-legacy
/usr/bin/update-ca-trust
/usr/share/man/man8/ca-legacy.8.gz
/usr/share/man/man8/update-ca-trust.8.gz
/usr/share/pki
/usr/share/pki/ca-trust-legacy
/usr/share/pki/ca-trust-legacy/ca-bundle.legacy.default.crt
/usr/share/pki/ca-trust-legacy/ca-bundle.legacy.disable.crt
/usr/share/pki/ca-trust-source
/usr/share/pki/ca-trust-source/README
/usr/share/pki/ca-trust-source/anchors
/usr/share/pki/ca-trust-source/blacklist
/usr/share/pki/ca-trust-source/ca-bundle.trust.p11-kit
Проверил в /home/user/ - все что в обычных папках системы, есть и там, кроме /usr/bin/ca-legacy и /usr/bin/update-ca-trust
НО
есть у меня еще одна инсталляция BrainyCP версии 1.0945.20230202 на CentOS 7
Там в jail ничего нет по поводу сертификатов. Только стандартный список
/usr/bin/stat
/usr/bin/convert ; /usr/bin/md5sum
/usr/bin/sftp
/usr/libexec/openssh/sftp-server
/usr/bin/ffmpeg
/usr/bin/wget
В папках пользователя все те же файлы (весь список всего что касается ca-certificates, кроме /usr/bin/ca-legacy и /usr/bin/update-ca-trust)
И при этом wget работает по https без проблем.

Резюмируя.
Есть сервер на CentOS 7 где тот же список файлов в jail и wget с https работает четко.
Есть сервер на Almalinux 8 где тот же список файлов в jail и wget с https не работает.

Как сделать чтоб работало во втором случае?

UPD. На сервере, где не работает wget с https, работает openssl s_client -connect www.google.com:443 без проблем в командной строке в jail.

Re: Два вопроса по jail

Добавлено: Чт апр 06, 2023 1:32 pm
MaySky
Вопрос актуален.

wget находится в списке jail по умолчанию при установке панели.
То есть я его специально туда не добавлял.
Но на сайты по HTTPS он не подключается.

Как это исправить?

Re: Два вопроса по jail

Добавлено: Чт апр 06, 2023 1:49 pm
alenka
Мы проверим на alma 8

Re: Два вопроса по jail

Добавлено: Ср апр 19, 2023 5:28 pm
MaySky
Удалось что-то прояснить по этому вопросу?

Re: Два вопроса по jail

Добавлено: Чт апр 20, 2023 12:41 pm
alenka
2) При входе по ssh в аккаунт в jail со старта получаю сообщение.
basename: missing operand
Try 'basename --help' for more information.
Как это починить?
Пока игнорируйте данную ошибку, мы ее уберем для алмы 8 в следующем обновлении.(при пересборке jail)

Re: Два вопроса по jail

Добавлено: Чт апр 20, 2023 5:24 pm
MaySky
Принял.
Спасибо.
А по wget для https что ожидать?