oucil's questions

As instruções do plugin ACL do Dovecot indicam que para ACLs globais, devemos criar um arquivo ACL /etc/dovecot/.e incluir os itens da lista de controle de acesso nele. Então eu criei /etc/dovecot/global-aclse incluí...

inbox.Archive owner lrwstipeka
inbox.Drafts owner lrwstipeka
inbox.Sent owner lrwstipeka
inbox.Junk owner lrwstipeka
inbox.Trash owner lrwstipeka

... o que supostamente impede que os usuários excluam essas pastas do sistema .

Este arquivo é então carregado a partir do /etc/dovecot/conf.d/90-acl.confplugin ...

protocol imap {
  mail_plugins = $mail_plugins acl imap_acl
}

plugin {
  acl = vfile:/etc/dovecot/global-acls:cache_secs=300
}

plugin {
  acl_shared_dict = file:/path/to/mailbox/root/shared-mailboxes
}

O problema que estou tendo é que estou recebendo os seguintes erros em meu syslog, mostrando que há um problema de permissão com esse arquivo (ou possivelmente com stat(), não tenho certeza).

Error: acl vfile: stat(/etc/dovecot/global-acls) failed: Permission denied
Fatal: acl: backend vfile init failed with data: /etc/dovecot/global-acls:cache_secs=300

drw-rw----.   3 vmail dovecot  4096 Jan 26 13:37 .
drwxr-xr-x. 126 root  root    12288 Jan 26 16:52 ..
drw-rw----.   2 vmail dovecot  4096 Jan 25 15:46 conf.d
-rw-rw----.   1 vmail dovecot   535 Jan 26 20:17 dovecot.conf
-rw-rw----.   1 vmail dovecot   257 Jan 26 13:35 global-acls

Como você pode ver, as permissões são definidas da mesma forma que os outros arquivos em /etc/dovecot. Procurei por horas por erros relacionados, mas estou perdido.

Alguma sugestão?

Primeiro, estou ciente do SSL Library Error: error:0A000126:SSL routines::unexpected eof while readingerro decorrente do OpenSSL 3 reintroduzir um recurso para evitar ataques de truncamento.

A pergunta que tenho é por que estou vendo esse erro quando estou fazendo uma chamada curl via PHP do mesmo servidor que está relatando o erro?

Estou executando Rocky Linux 9.1, PHP 8.0.27 e OpenSSL 3.0.1 (últimas versões disponíveis). Ainda não consigo atualizar para o PHP8.1 por meio do módulo dnf devido à falta de bibliotecas ainda não disponíveis para esse lançamento.

Como estou fazendo uma chamada curl do servidor para ele mesmo, alguém poderia pensar que, se estiver atualizado o suficiente para reconhecer o erro, ele estaria emitindo as solicitações corretamente. Os relatórios de "bug" indicam que isso geralmente é de servidores não compatíveis que emitem as solicitações, portanto, onde devo procurar em meu sistema para corrigir o formato da solicitação para que eu possa entrar em conformidade e fazer com que minhas solicitações curl funcionem novamente?

Aqui estão as opções de curl atuais que estou usando com minha solicitação ...

CURLOPT_HTTPGET => TRUE,
CURLOPT_HEADER => FALSE,
CURLOPT_FAILONERROR => FALSE,
CURLOPT_RETURNTRANSFER => TRUE,
CURLOPT_CONNECTTIMEOUT => 10,
CURLOPT_TIMEOUT => 60,
CURLOPT_SSL_CIPHER_LIST => NULL,
CURLOPT_CAINFO => '/path/to/ca-certs.pem',
CURLOPT_SSL_VERIFYPEER => TRUE,
CURLOPT_SSL_VERIFYHOST => 2

E aqui estão as opções relacionadas a SSL/TLS de httpd.conf...

SSLProtocol -all +TLSv1.3 +TLSv1.2
SSLProxyProtocol -all +TLSv1.3 +TLSv1.2

SSLCipherSuite    TLSv1.3   TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
SSLCipherSuite    SSL       AES256+EECDH:AES256+EDH:!SHA1:!SHA256:!SHA384

SSLHonorCipherOrder on
SSLCompression off
SSLSessionTickets off

SSLOpenSSLConfCmd Curves X25519:secp521r1:prime256v1

Obrigado por qualquer ajuda que você pode oferecer!

EDIT: Solução abaixo, tldr; teve que especificar a versão TLS e a cifra na solicitação do cliente.

Meu aplicativo reside em um diretório e é servido a partir de uma publicpasta, e eu tenho um endpoint de API em um subdiretório de public, ambos redirecionados para seus respectivos arquivos index.php. Até uma migração de servidor recente, tudo estava funcionando muito bem. Agora, porém, as solicitações de API estão sendo interceptadas pelo diretório pai. Aqui estão os segmentos vhost <directory...>em questão...

    # application root
    <Directory "/path/to/app">
        Options FollowSymLinks
        AllowOverride None
        Require all granted
    </Directory>

    # public root
    <Directory /path/to/app/public>
        RewriteBase /
        RewriteCond %{REQUEST_FILENAME} -s [OR]
        RewriteCond %{REQUEST_FILENAME} -l [OR]
        RewriteCond %{REQUEST_FILENAME} -d
        RewriteRule ^.*$ - [NC,L]
        RewriteRule ^.*\.(media.php|png|jpg|gif|ico)$ media.php [NC,L]
        RewriteRule ^.*\.(xml|txt|css|js)$ static.php [NC,L]
        RewriteRule ^.*$ index.php/ [NC,L]
        errordocument 404 /error.php?id=404
    </Directory>

    # API
    <Directory /path/to/app/public/api>
        Header set Access-Control-Allow-Methods "PUT, GET, POST, DELETE, HEAD, OPTIONS"
        RewriteCond %{HTTP:Authorization} ^(.*)
        RewriteRule .* - [e=HTTP_AUTHORIZATION:%1]
        RewriteRule ^(.*)$ index.php [L,NC]
    </Directory>

Estou usando o Apache 2.4.53. As /path/to/app/publicdiretivas estão funcionando conforme o esperado, todas as extensões de arquivo de mídia são redirecionadas para media.php, todos os arquivos baseados em texto são redirecionados para static.php e todo o resto é enviado para index.php com um fallback de erro 404.

Se eu solicitar mydomain.com/api/sozinho, recebo a mensagem de erro específica da API adequada, porque o ./api/diretório existe fisicamente. Mas assim que solicito um endpoint adequado, como mydomain.com/api/v1.0/some-enddpoint/o que deve ser capturado e redirecionado no ./api/index.phparquivo, recebo um erro 404 que vem do diretório pai.

Agradeço qualquer ajuda!

Estou procurando adicionar o cabeçalho HSTS no Apache ...

# HSTS / Header Strict Transport Security
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"

... mas eu tenho uma longa lista de vhosts para sites/sub-sites diferentes, mas relacionados. Prefiro não precisar defini-lo em cada uma das minhas definições de vhost, mas não conheço uma maneira de incluir uma configuração no main https.confque SÓ se aplique às 443 / httpsversões desses vhosts, pois gera avisos nos validadores quando você aplicar HSTS a um 80 / httpsite padrão.

Eu tentei envolvê-lo em <IfModule mod_ssl.c>...</IfModule>tags, mas se não me engano, isso é realmente apenas perguntando O módulo SSL está carregado? Tentei pesquisar de várias maneiras, mas quando você não conhece o termo que está procurando, é difícil classificar toda a estática. Alguma sugestão? Obrigado!

Eu preciso ser capaz de rastrear o uso de dados do cliente entre sua VM e um bucket de armazenamento de objetos compatível com S3 (acessado via https). Instalei ntopnga edição da comunidade na VM e agora está despejando todos os dados em um banco de dados MySQL.

Percebi que a sobrecarga de ntopngnão é inconsequente, e essas não são VMs ricas em recursos, então gostaria de diminuir sua pegada de memória/recursos, se puder. Estou APENAS interessado na conexão descrita acima, então existe uma maneira de aplicar um filtro para rastrear apenas conexões de uma determinada origem em vez de rastrear TODO o tráfego?

Na verdade, também estou interessado apenas no tráfego INBOUND, pois os uploads não são faturáveis, então já configurei o --capture-direction=1sinalizador para rastrear apenas o RXtráfego (do Bucket para a VM).

Estou assumindo que o componente do servidor web está ocioso ou desabilitado, pois não defini nenhum valor para esses parâmetros. Ou preciso desativá-los especificamente de alguma forma? Por fim, desativei todos os recursos de DNS.

Aqui está minha configuração atual em /etc/ntopng/ntopng.conf...

# ntopng Configuration
--community
-G=/run/ntopng.pid
-e=
-i=eth0
-n=3
--capture-direction=1
-N=myhost.tld
-F=mysql;/run/mysqld/mysqld.sock;ntop;flows;user;pass

Alternativamente, existe um método melhor e/ou mais leve para alcançar o que eu preciso? Meu objetivo é simplesmente no final do mês saber que a VM da Acme Co usou n GB de dados.

O /run/spamassassindiretório não está sendo recriado na inicialização porque não há nenhum /usr/lib/tmpfiles.d/spamassassinarquivo informando para fazer isso. Se eu criar e iniciar manualmente /run/spamassassino serviço, tudo funciona bem, mas após a reinicialização, o mesmo problema. O spamassassin.serviceestá ativado, então não tenho certeza do que devo fazer. Estou na versão 3.4.2-6.el8.

Parece que deveria ser incluído no pacote com base em pesquisas na web, mas não consigo encontrar o conteúdo do arquivo em nenhum lugar. Quando executo dnf repoquery -l spamassassin, ele não está listado como um dos arquivos, então não tenho certeza se foi gerado após o fato.

Devo criar manualmente este arquivo; esse arquivo deve ser gerado após a instalação; ou deve ser instalado como parte do pacote?

Agradeço qualquer ajuda!

O CentOS 8 nem sempre vem com o Python pré-instalado e, portanto, o Ansible falhará na execução na máquina remota até que seja instalado. No entanto, em um Chicken/Egg clássico, você não pode usar o dnfmódulo Ansible para instalar o Python.

Eu tenho usado:

- name: Install Python 3
  raw: dnf -y install python3

No entanto, o problema com isso é que eu tenho que definir changed_when: falseou ele sempre retornará um estado alterado. Eu gostaria que o estado fosse informado corretamente, se possível.

Descobri, easy_installno entanto, que isso parece lidar apenas com bibliotecas Python, e não com o próprio Python. Existe uma maneira interna de lidar com isso ou é raw:a única opção?

Temos um arquivo vhost conf que é um catch-all em um cenário multi-inquilino, no entanto, há um requisito para um de nossos clientes ter uma aliasdeclaração específica que está atualmente definida assim...

Alias /special "/srv/application/public/example/special"

Atualmente, isso significa que TODOS os clientes / domínios no sistema seriam capturados e forçados a servir , o /special/que obviamente é um problema.

Como posso limitar o escopo desta Aliasdeclaração para que ela seja aplicada apenas quando o domínio solicitado corresponder a example.comou www.example.com?

Para sua informação, estamos mudando do Apache 2.2 para o 2.4 em breve. Se houver alguma diferença no caso específico, indique-a. Obrigado!

EDIT Devo salientar que estamos limitados neste caso pelo middleware e devemos manter tudo em uma única declaração vhost.

Somos um serviço multilocatário e encerramos nosso SSL em nossos balanceadores de carga (HAProxy + Apache para finalização de SSL), isso causou problemas crescentes devido aos requisitos de IP dedicado. Mas os tempos mudaram e estamos pensando em mudar para o SNI, então eu esperava opiniões fundamentadas para 2015 sobre adotá-lo como nosso padrão.

Vou delinear nossas suposições:

• SSL está morto (long live TLS) devido ao ataque POODLE,
• TLS tem SNI embutido
• IE6 / Windows XP (<sp3) estão mortos por vários motivos, entre os quais o XP se tornando EOL
• Terminamos o suporte para IE7 e essencialmente IE8 neste momento

Estou correto ao assumir que o SNI é essencialmente suportado globalmente agora?

... e ...

Existem cenários que devo considerar além desses que afetariam o suporte?

... e finalmente ...

Agora que o HAProxy 1.5 suporta terminação SSL diretamente, há alguma advertência em sua experiência diretamente relacionada ao SNI que afetará nossa capacidade de implementar este serviço?