Message Certbot : certbot-auto has insecure permissions!
Depuis une mise à jour de Certbot-auto, certainement la 0.34, le logiciel me renvoie une alerte à chaque renouvellement, sans pour autant le bloquer.
certbot-auto has insecure permissions!
To learn how to fix them, visit https://community.letsencrypt.org/t/certbot-auto-deployment-best-practices/91979/
Sans être un véritable problème, il est désormais recommandé que certbot-auto ne soit modifiable que par root, en particulier sur les systèmes disposant de plusieurs utilisateurs.
Comme beaucoup, le renouvellement des certificats se fait en automatique via un job régulièrement lancé par cron, dans que l'on s'en préoccupe vraiment. En limitant les permissions à root, cela permet d'être sur qu'un autre utilisateur du serveur ne remplace le logiciel par l'un de ses logiciels malveillants entre deux mises à jour.
Que l'on soit l'unique utilisateur du serveur, ou pas, il est préférable de faire la modification, afin que tout soit bien en ordre. Et puis cela évitera la répétition du message en question.
Cette modification nous recommande de placer l'application dans un dossier protégé, modifiable par root uniquement, puis d'appliquer les mêmes droits sur le binaire de l'application.
sudo mv certbot-auto /usr/local/bin/
sudo chown root /usr/local/bin/certbot-auto
sudo chmod 0755 /usr/local/bin/certbot-auto
Evidemment, ensuite, il est nécessaire de modifier le chemin aussi dans sa tâche cron pour que le script puisse continuer à accéder à certbot-auto.
