<p> Attention is currently required from: George Joseph. </p>
<p><a href="https://gerrit.asterisk.org/c/asterisk/+/18533">View Change</a></p><p>3 comments:</p><ul style="list-style: none; padding: 0;"><li style="margin: 0; padding: 0;"><p><a href="null">Patchset:</a></p><ul style="list-style: none; padding: 0;"><li style="margin: 0; padding: 0 0 0 16px;"><p style="margin-bottom: 4px;"><a href="https://gerrit.asterisk.org/c/asterisk/+/18533?tab=comments">Patch Set #7:</a> </p><p><blockquote style="border-left: 1px solid #aaa; margin: 10px 0; padding: 0 10px;">Is this a requirement for using the EVP_KPEY apis?</blockquote></p><p style="white-space: pre-wrap; word-wrap: break-word;">It is not. It was a target-of-opportunity, and possibly something that might generate SElinux warnings, so I fixed it.</p><p style="white-space: pre-wrap; word-wrap: break-word;">It is a standalone commit because it is unrelated to everything else.</p></li><li style="margin: 0; padding: 0 0 0 16px;"><p style="margin-bottom: 4px;"><a href="https://gerrit.asterisk.org/c/asterisk/+/18533?tab=comments">Patch Set #7:</a> </p><p style="white-space: pre-wrap; word-wrap: break-word;">Symlinking keys is not good security hygiene.<br></p></li></ul></li><li style="margin: 0; padding: 0;"><p><a href="null">File res/res_crypto.c:</a></p><ul style="list-style: none; padding: 0;"><li style="margin: 0; padding: 0 0 0 16px;"><p style="margin-bottom: 4px;"><a href="https://gerrit.asterisk.org/c/asterisk/+/18533/comment/5be0fd56_6b76dbcb">Patch Set #7, Line 518:</a> <code style="font-family:monospace,monospace">DT_REG</code></p><p><blockquote style="border-left: 1px solid #aaa; margin: 10px 0; padding: 0 10px;">Meant to ask yesterday but forgot...  What about symlinks?  I think we need to allow DT_LNK as well.</blockquote></p><p style="white-space: pre-wrap; word-wrap: break-word;">As it stands now, using symlinks would be problematic because you'd need to check the ownership and permissions of the directory containing the key file, and then check the same on the file itself.</p><p style="white-space: pre-wrap; word-wrap: break-word;">ssh, for instance, won't allow private keys to reside outside of the ~/.ssh/ directory when scanning that directory.</p><p style="white-space: pre-wrap; word-wrap: break-word;">I've seen buttoned down versions of it that won't even allow it to be read if the link count on the file is anything but 1.</p></li></ul></li></ul><p>To view, visit <a href="https://gerrit.asterisk.org/c/asterisk/+/18533">change 18533</a>. To unsubscribe, or for help writing mail filters, visit <a href="https://gerrit.asterisk.org/settings">settings</a>.</p><div itemscope itemtype="http://schema.org/EmailMessage"><div itemscope itemprop="action" itemtype="http://schema.org/ViewAction"><link itemprop="url" href="https://gerrit.asterisk.org/c/asterisk/+/18533"/><meta itemprop="name" content="View Change"/></div></div>

<div style="display:none"> Gerrit-Project: asterisk </div>
<div style="display:none"> Gerrit-Branch: master </div>
<div style="display:none"> Gerrit-Change-Id: Ie77e0648f8b0b1c2159fb24662d1989cfd4cc36d </div>
<div style="display:none"> Gerrit-Change-Number: 18533 </div>
<div style="display:none"> Gerrit-PatchSet: 7 </div>
<div style="display:none"> Gerrit-Owner: Philip Prindeville <philipp@redfish-solutions.com> </div>
<div style="display:none"> Gerrit-Reviewer: Friendly Automation </div>
<div style="display:none"> Gerrit-Reviewer: George Joseph <gjoseph@digium.com> </div>
<div style="display:none"> Gerrit-Attention: George Joseph <gjoseph@digium.com> </div>
<div style="display:none"> Gerrit-Comment-Date: Tue, 10 May 2022 15:15:39 +0000 </div>
<div style="display:none"> Gerrit-HasComments: Yes </div>
<div style="display:none"> Gerrit-Has-Labels: No </div>
<div style="display:none"> Comment-In-Reply-To: George Joseph <gjoseph@digium.com> </div>
<div style="display:none"> Gerrit-MessageType: comment </div>