6
Coturn TLS Verschlüsselung hat Probleme mit Certbot
Moin zusammen,
nach dem ich feststellen durfte, dass bei meinem Nextcloud Talk Server keine Video oder Audio Verbindung mehr möglich war, habe ich mir das Thema näher angeschaut.
Kurz um gab es anscheint ein Update seitens Certbot wodurch die Zertifikate nicht mehr im Verzeichnis "letsencrypt - live" liegen. Diese werden nun im Ordner "letsencrypt - archive" abgelegt und die aktuelle Version per Symlink in das "live" Verzeichnis gemappt.
Das Resultat ist folgendes. Im Coturn definiert man zu Absicherung via TLS den Speicherort der Zertifikate im Certbot. Jedoch kann Coturn auf Grund von Rechte Verschärfung der Verzeichnise weder auf "live" noch auf "archive" zugreifen, bzw die Zertifikate nicht lesen.
https://github.com/coturn/coturn/issues/496#issuecomment-606533463
Ein kurzer Workaround, anderen Usern wieder lese/ausführen Rechte geben.
auf beide Verzeichnise
Was ich allerdings nicht verstanden habe ist der Punkt, dass Nginx ohne Probleme trotz der Änderung funktioniert.
Gruß
Spirit
nach dem ich feststellen durfte, dass bei meinem Nextcloud Talk Server keine Video oder Audio Verbindung mehr möglich war, habe ich mir das Thema näher angeschaut.
Kurz um gab es anscheint ein Update seitens Certbot wodurch die Zertifikate nicht mehr im Verzeichnis "letsencrypt - live" liegen. Diese werden nun im Ordner "letsencrypt - archive" abgelegt und die aktuelle Version per Symlink in das "live" Verzeichnis gemappt.
Das Resultat ist folgendes. Im Coturn definiert man zu Absicherung via TLS den Speicherort der Zertifikate im Certbot. Jedoch kann Coturn auf Grund von Rechte Verschärfung der Verzeichnise weder auf "live" noch auf "archive" zugreifen, bzw die Zertifikate nicht lesen.
https://github.com/coturn/coturn/issues/496#issuecomment-606533463
Ein kurzer Workaround, anderen Usern wieder lese/ausführen Rechte geben.
chmod +x -RWas ich allerdings nicht verstanden habe ist der Punkt, dass Nginx ohne Probleme trotz der Änderung funktioniert.
Gruß
Spirit
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 570101
Url: https://administrator.de/contentid/570101
Printed on: April 20, 2024 at 14:04 o'clock
6 Comments
Latest comment
Hallo,
Chmod +x bedeutend doch ausführbar und nicht lesezugriff
Chmod +x bedeutend doch ausführbar und nicht lesezugriff
Wenn ich dem hier Folge:
Short version
chmod +x is equal to chmod ugo+x (Based on umask value)
Ja natürlich brauchst du für ausführen auch lesen.
Aber +x ist was anderes als rein Lesezugriff.
Aber +x ist was anderes als rein Lesezugriff.
Ganz ehrlich, mir wäre es lieber die Rechte gar nicht anfassen zu müssen. Anscheinend gibt es ja auch eine andere Funktion welche z.b. von Nginx aber eben nicht von Coturn umgesetzt wird.
Ohne Anpassung hat schließlich nur "root" Zugriff auf die Dateien.
Der Webserver sowie der Turnserver laufen beide unter einem separaten user.
Edit: Ich habe die Definition oben korrigiert.
Ohne Anpassung hat schließlich nur "root" Zugriff auf die Dateien.
Der Webserver sowie der Turnserver laufen beide unter einem separaten user.
Edit: Ich habe die Definition oben korrigiert.
Aber jetzt verstehst du vielleicht auch warum Nginx auch so läuft. Die leserechte waren vermutlich vorhanden und reichen normalerweise auch.
Coturn braucht hier aus irgendeinem unverständlich Grund mehr. Ich tippe mal auf Programmierfehler in der Prüfung des Zertifikats
Coturn braucht hier aus irgendeinem unverständlich Grund mehr. Ich tippe mal auf Programmierfehler in der Prüfung des Zertifikats
Das Problem besteht in Punkt bei dem Symlink. Anders als einige. vermuten kann Coturn tatsächlich dem Symlink folgen. Aber auf dem Archiv Ordner waren die entsprechenden rechte nicht vorhanden. Bzw. wurde diese Konstellation wohl erst durch ein Certbot update geschaffen. Zu vor lagen die Files ja tatsächlich im Ordner "live" und waren abrufbar. Nach dem Certbot update war dies nicht mehr möglich.
Ich müsste jetzt tatsächlich testen wie es bei einer älteren Certbot Version ausgesehen hat.
Ich stecke aber auch nicht tief genug in programmier Themen drin als das ich nachvollziehen kann, wie Coturn tatsächlich handeln müsste oder können sollte.
Ich müsste jetzt tatsächlich testen wie es bei einer älteren Certbot Version ausgesehen hat.
Ich stecke aber auch nicht tief genug in programmier Themen drin als das ich nachvollziehen kann, wie Coturn tatsächlich handeln müsste oder können sollte.
