<div dir="ltr"><div>(git commit 892fbb435e71349da502b7e2436648f52a09af6f )</div><div><br></div><div>Hal, I have the other end of the stick now.</div><div><br></div><div>My LetsEncrypt certificate path is /etc/letsencrypt/archive/<a href="http://ntpmon.dcs1.biz/">ntpmon.dcs1.biz/</a></div><div><br></div><div>The file: <br></div><div>-rw-r--r-- 1 root root 3558 May  9 09:39 fullchain28.pem<br></div><div><br></div><div>However, <br></div><div>root@ntpmon:/etc/letsencrypt# ls -dl /etc/letsencrypt/archive/<br>drwx------ 3 root root 4096 Jan 17  2016 /etc/letsencrypt/archive/</div><div><br></div><div>Which causes ntpd to fail on startup (I assume after dropping root):</div><div><snip></div><div><br>2020-06-09T11:15:58 ntpd[15250]: INIT: OpenSSL 1.1.1g  21 Apr 2020, 1010107f<br>2020-06-09T11:15:58 ntpd[15250]: NTSs: starting NTS-KE server listening on port 4460<br>2020-06-09T11:15:58 ntpd[15250]: NTSs: OpenSSL security level is 2<br>2020-06-09T11:15:58 ntpd[15250]: NTSs: starting NTS-KE server listening on old port 123<br>2020-06-09T11:15:58 ntpd[15250]: NTSs: listen4 worked<br>2020-06-09T11:15:58 ntpd[15250]: NTSs: listen6 worked<br>2020-06-09T11:15:58 ntpd[15250]: NTSs: starting NTS-KE server listening on port 4460<br>2020-06-09T11:15:58 ntpd[15250]: NTSs: listen4 worked<br>2020-06-09T11:15:58 ntpd[15250]: NTSs: listen6 worked<br>2020-06-09T11:15:58 ntpd[15250]: NTSc: Using system default root certificates.<br>2020-06-09T11:15:58 ntpd[15250]: NTSs: can't stat certificate (chain) from /etc/letsencrypt/live/<a href="http://ntpmon.dcs1.biz/fullchain.pem">ntpmon.dcs1.biz/fullchain.pem</a>: Permission denied<br>2020-06-09T11:15:58 ntpd[15250]: NTS: troubles during init2.  Bailing.<br>2020-06-09T11:15:58 ntpd[15250]: PROTO: 0.0.0.0 c01d 0d kern kernel time sync disabled</div><div><br></div><div>Um, what do I do?  I want to use LE, I want that directory secure, and I want to drop root.<br></div><div><br></div><div><br></div><div><br></div><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature">-- <br>Sanjeev Gupta<br>+65 98551208     <a href="http://www.linkedin.com/in/ghane" target="_blank">http://www.linkedin.com/in/ghane</a></div></div><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Apr 8, 2020 at 12:16 AM Richard Laager via devel <<a href="mailto:devel@ntpsec.org">devel@ntpsec.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">ntpd seems to load the TLS certificate and key before dropping<br>
privileges. Unfortunately, when it tries to *reload* the certificate<br>
later, it has dropped privileges and fails. This is a bit of a trap, as<br>
a sysadmin can think a setup is working when it isn't. (This bit me.) I<br>
think it would be better to do the initial load after dropping<br>
privileges so that it is consistent with reloading.<br>
<br>
-- <br>
Richard<br>
<br>
_______________________________________________<br>
devel mailing list<br>
<a href="mailto:devel@ntpsec.org" target="_blank">devel@ntpsec.org</a><br>
<a href="http://lists.ntpsec.org/mailman/listinfo/devel" rel="noreferrer" target="_blank">http://lists.ntpsec.org/mailman/listinfo/devel</a><br>
</blockquote></div>