All perguntas(server)

Estou tentando configurar uma instância do Mastodon no Ubuntu 22.04. Configurei o Nginx como proxy reverso e agora estou tentando gerar um certificado SSL com Let's Encrypt. Quando executo certbot --nginx -d pacsa.us -v, recebo esta saída:

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator nginx, Installer nginx
Requesting a certificate for pacsa.us
Performing the following challenges:
http-01 challenge for pacsa.us
Waiting for verification...
Challenge failed for domain pacsa.us
http-01 challenge for pacsa.us

Certbot failed to authenticate some domains (authenticator: nginx). The Certificate Authority reported these problems:
  Domain: pacsa.us
  Type:   unauthorized
  Detail: 94.23.75.107: Invalid response from http://pacsa.us/.well-known/acme-challenge/LnWLQH7GlWEN4ODIF7Eh_8CLOUGhyOc5ZuHfu9LRexI: 404

Hint: The Certificate Authority failed to verify the temporary nginx configuration changes made by Certbot. Ensure the listed domains point to this nginx server and that it is accessible from the internet.

Cleaning up challenges
Some challenges have failed.
Ask for help or search for solutions at https://community.letsencrypt.org. See the logfile /var/log/letsencrypt/letsencrypt.log or re-run Certbot with -v for more details.

Esta é a aparência do bloco do servidor da porta 80 em /etc/nginx/conf.d/mastodon.conf:

server {
  listen 80;
  listen [::]:80;
  server_name pacsa.us;
  root /home/mastodon/public;
  location /.well-known/acme-challenge/ { allow all; }
  location / { return 301 https://$host$request_uri; }
}

Preciso obter informações básicas sobre o sistema operacional em PHP:

$p = shell_exec('cat /etc/*-release 2>&1');

Isso retorna:

cat: '/etc/*-release': No such file or directory

O comando funciona bem no terminal/CLI via PuTTY.

Minha melhor interpretação atual é que o PHP requer que um caminho seja definido. Então eu tentei isso:

$p = shell_exec('echo $PATH');

O que retorna:

/bin:/usr/bin

Quando executo echo $PATHdiretamente no terminal, recebo uma :lista delimitada. Então peguei tudo isso e coloquei no arquivo PHP diretamente da seguinte forma:

putenv('/etc');

//plus others

Ainda sem resultado. Eu sei que shell_exec()funciona bem com outros comandos shell_exec('whoami');. No terminal/CLI estou logado exatamente como o mesmo usuário do PHP 8.3.

O que mais estou perdendo?

Na AWS - podemos acessar buckets s3 de uma instância ec2 criando uma função e anexando a função IAM à instância EC2. Então a instância ec2 pode acessar o bucket s3 da VM sem ACCESSS_KEY e SECRET_KEY.

Como posso conseguir o mesmo com o Azure VM e o Azure Storage? Quero usar a CLI do Azure para acessar o armazenamento do Azure ou outros serviços, mas sem fazer login e, em vez disso, usar funções e anexá-lo à VM do Azure.

Muito obrigado pela ajuda do @Romeo Ninov! Os erros que cometi são

• deve usar file /etc/audit/rules.d/audit.rulespara adicionar uma regra para RedHat 7 e 8
• deve usar service auditd restartpara reiniciar o auditctl para que a nova regra entre em vigor.
• deve usar ausearch -k testingpara pesquisar trilhas de auditoria.
• deve remover -a task,neverfrom /etc/audit/rules.d/audit.rules, que suprime a auditoria de syscall para todas as tarefas iniciadas

Adicionei uma regra /etc/audit/rules.d/audit.rulese executei reboot, pois não é possível reiniciar a auditoria por systemctl restart.

root@localhost:~# cat /etc/audit/rules.d/audit.rules
## This set of rules is to suppress the performance effects of the
## audit system. The result is that you only get hardwired events.
-D

## This suppresses syscall auditing for all tasks started
## with this rule in effect.  Remove it if you need syscall
## auditing.
-a task,never

-w /root/testing/ -p rwxa -k testing

root@localhost:~# systemctl restart auditd.service
Failed to restart auditd.service: Operation refused, unit auditd.service may be requested by dependency only (it is configured to refuse manual start/stop).
See system logs and 'systemctl status auditd.service' for details.

em algum momento, o servidor está ativo, eu faço login por ssh

root@localhost:~# service auditd status
Redirecting to /bin/systemctl status auditd.service
● auditd.service - Security Audit Logging Service
     Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; preset: enabled)
    Drop-In: /usr/lib/systemd/system/service.d
             └─10-timeout-abort.conf
     Active: active (running) since Sat 2024-06-22 17:51:41 CST; 24s ago
       Docs: man:auditd(8)
             https://github.com/linux-audit/audit-documentation
    Process: 795 ExecStart=/usr/sbin/auditd (code=exited, status=0/SUCCESS)
   Main PID: 797 (auditd)
      Tasks: 4 (limit: 2257)
     Memory: 2.8M (peak: 3.1M)
        CPU: 24ms
     CGroup: /system.slice/auditd.service
             ├─797 /usr/sbin/auditd
             └─799 /usr/sbin/sedispatch

Jun 22 17:51:41 localhost systemd[1]: Starting auditd.service - Security Audit Logging Service...
Jun 22 17:51:41 localhost auditd[797]: audit dispatcher initialized with q_depth=2000 and 1 active plugins
Jun 22 17:51:41 localhost auditd[797]: Init complete, auditd 4.0.1 listening for events (startup state enable)
Jun 22 17:51:41 localhost systemd[1]: Started auditd.service - Security Audit Logging Service.
root@localhost:~# 
root@localhost:~# auditctl -l
-a never,task
-w /root/testing -p rwxa -k testing
root@localhost:~# 

Estou bar.txtem /root/testingedição foo.txtpara adicionar uma nova linha foo.txte excluirbar.txt

root@localhost:~/testing# vim bar.txt
root@localhost:~/testing# vim foo.txt
root@localhost:~/testing# rm -f bar.txt
root@localhost:~/testing# cat foo.txt
foo.txt
foo.txt

Espero obter alguma trilha de auditoria no arquivo de log, para que eu possa saber que alguém cria e edita arquivos na /root/testing/pasta e um arquivo é excluído, mas falhou:

root@localhost:~/testing# grep "testing" /var/log/audit/audit.log
type=CONFIG_CHANGE msg=audit(1718981523.208:192): auid=4294967295 ses=4294967295 subj=system_u:system_r:unconfined_service_t:s0 op=add_rule key="testing" list=4 res=1AUID="unset"
type=CONFIG_CHANGE msg=audit(1719049566.384:285): auid=0 ses=3 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 op=remove_rule key="testing" list=4 res=1AUID="root"
root@localhost:~/testing# 

Muito obrigado pela sua ajuda!

Quando tento fazer login no meu cliente de e-mail, recebo isto:

This certificate belongs to:
   mail.ssk.pm

This certificate was issued by:
   R3
   Let's Encrypt
   US

This certificate is valid
   from Thu, 21 Mar 2024 18:03:06 UTC
     to Wed, 19 Jun 2024 18:03:05 UTC

SHA1 Fingerprint: 2BAC DF4D 2E6A BC4B BDBB 9746 6A39 D523 9306 DE4A
SHA256 Fingerprint: 2BAC DF4D 2E6A BC4B BDBB 9746 6A39 D523
                    9306 DE4A87A9 CAC5 AAD1 6E8A 8796 9232 D4B6 4EAB 97EF ECEF 437D 1BFC 4369 96AE 6FF4 C503

WARNING: Server certificate has expired

Mas quando eu certbox --nginx renove eu recebo isto:

certbot --nginx renew
Saving debug log to /var/log/letsencrypt/letsencrypt.log

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/mail.ssk.pm.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Certificate not yet due for renewal

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/ssk.pm.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Certificate not yet due for renewal

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
The following certificates are not due for renewal yet:
  /etc/letsencrypt/live/mail.ssk.pm/fullchain.pem expires on 2024-08-19 (skipped)
  /etc/letsencrypt/live/ssk.pm/fullchain.pem expires on 2024-08-18 (skipped)
No renewals were attempted.

Estou faltando alguma coisa aqui?

Eu rotineiramente faço login em muitos servidores remotos por meio de SSH. Eu uso uma chave SSH pública/privada para fazer login sem precisar digitar minha senha ( https://linuxize.com/post/how-to-setup-passwordless-ssh-login/ ).

Porém, se eu precisar fazer alguma sudooperação em um dos servidores remotos, preciso lembrar minha senha. Por segurança, normalmente uso senhas distintas geradas aleatoriamente para cada servidor, portanto, ter que encontrar a senha correta para copiar/colar é um pouco chato.

Existe uma solução melhor?

Na página de documentação ( https://docs.cloudlinux.com/shared/command-line_tools/ ) existem quase 300 instâncias da palavra "versão" e folheá-la para usuários, linguagens de programação, etc. - nada relacionado a minha pergunta aqui.

Existe um terminal universal /comando CLI para obter a versão da distribuição Linux que está sendo usada?

Caso contrário , qual é o comando terminal/CLI para obter a versão do CloudLinux?

O servidor está rodando CloudLinux então não sei se cada distribuição usa algo diferente ou se existe um comando unificado.

Eu sei que o título em si é bastante vago, então deixe-me explicar o que estou tentando fazer.

Existe um jogo (para ser mais específico, jogo em miniaplicativos WeChat), que solicita sprites e arquivos em geral de um servidor ao progredir para aquela parte do jogo e, ao fazer isso, o arquivo será solicitado e carregado para que você possa experimentar o jogo (duh).
Agora estou usando o Fiddler para rastrear esses sprites (em outras palavras, datamine) que são solicitados do servidor, porém, como eu disse, tenho que avançar para essa parte do jogo para que o Fiddler me mostre a solicitação e URL do arquivo localizado no servidor (exemplo, https://this.example.com/z38/native/FILENAME.png ), e minha preocupação é obter sprites que ainda não foram solicitados ao servidor pelo jogo.
Após uma inspeção minuciosa, percebi que os nomes dos arquivos são UUIDs, no formato 8-4-4-4-12, e depois uma sequência de 5 caracteres, separados por um ponto, e por fim, o extensão é colocada. Por exemplo: a0216a6d-b337-426d-aecd-ee8a81801087.f8dfb.jpg (Nota: este é um exemplo legítimo, tal arquivo existe no servidor)

E não tenho ideia do que fazer com esse UUID. É aí que vai minha pergunta, é possível que esse UUID esteja guardando algum tipo de informação? A sequência de 5 caracteres no final do nome do arquivo pode ser encontrada dentro de outros arquivos do jogo, então não é um problema. Enquanto eu tiver isso, precisaria encontrar de alguma forma o UUID correspondente a essa sequência de 5 caracteres. Para resumir, duas são minhas perguntas:

1. Posso converter o UUID em algum tipo de texto, string, número inteiro, unidade ou qualquer coisa que possa ser algum tipo de informação?
2. Subquestão, como percebo que o formato "8-4-4-4-12" consiste em 5 partes, é possível que a sequência de 5 caracteres tenha a ver com alguma dessas coisas? Cada caractere representa uma parte do UUID, respectivamente?

Obrigado pelas respostas e desculpe-me se estou perdendo seu tempo simplesmente perguntando no lugar errado ou se minha postagem é vaga em algumas partes.

Notas:

O comando abaixo será executado por um tempo e depois ocorrerá um erro. Ainda não tive a chance de reiniciar o servidor. Ele criará o arf.xml, mas não criará o report.html. Alguém tem alguma sugestão?

Especificações gerais:

Versão OSCAP = 1.3
OS = RHEL 9.3
Free Mem = 173GB, Free SWAPMEM = 3GB
CPU = Intel(R) Xeon(R) Gold 6238 CPU @ 2.10GHz
Mount Free space 17GB

Comando:

oscap xccdf eval \
 --profile xccdf_org.ssgproject.content_profile_stig \
 --results-arf arf.xml \
 --report report.html \
/usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml

Erro:

Erro XPath: falha na alocação de memória: limite crescente de acertos do conjunto de nós
limite crescente de acertos do conjunto de nós
^
erro de tempo de execução: arquivo /usr/share/openscap/xsl/xccdf-report.xsl linha 91 valor do elemento da avaliação XPath não retornou nenhum resultado. Erro OpenSCAP: não foi possível aplicar XSLT /usr/share/openscap/xsl/xccdf-report.xsl ao arquivo XML: arf.xml [/builddir/build/BUILD/openscap-1.3.8/src/source/xslt.c: 182]

Situação: Um site que gerenciamos foi migrado para uma nova solução hospedada e também terá um novo nome de domínio. Os clientes desejam manter o nome de domínio antigo e redirecioná-lo para o novo nome de domínio na solução hospedada (sobre a qual basicamente não temos controle).

Adicionei um redirecionamento 301 no nível do AWS Application Load Balancer. Ele desvia perfeitamente o tráfego do URL antigo para o novo. O problema, porém, é que o pessoal da segurança determina que o URL antigo - para continuar - precise responder com um cabeçalho HSTS. Isso está um pouco fora da minha área e não estou encontrando uma solução excelente para isso.

A única solução viável que consigo pensar - ainda não testei, porque espero que haja algo melhor - é manter o servidor no back-end e fornecer um cabeçalho HSTS antes de fornecer o redirecionamento. Parece um pouco demais manter um servidor apenas para adicionar um cabeçalho.

Lendo a documentação e outros tópicos aqui, não parece que posso adicionar um cabeçalho HSTS diretamente à resposta do ALB.

Acho que as opções como as vejo agora são:

1. Convença o cliente a abandonar o domínio antigo
2. Convença o pessoal da segurança de que a falta de HSTS no domínio antigo é aceitável
3. Mantenha um servidor rodando apenas para fornecer o HSTS (se isso funcionar)
4. Algo mais?