Tom's questions

Estou usando o Exim4 para executar scripts PHP quando um e-mail é recebido.

Este script deve criar um arquivo na pasta /var/log/myapp se ele não existir, caso contrário, ele deve apenas ler o arquivo e adicionar mais conteúdo ao log.

Fiz alguns testes aplicando a permissão 777 na pasta e vi que o usuário utilizado pelo Exim4 é nobody.

No entanto, em alguns casos, meu usuário administrativo (por exemplo bob, ) pode executar manualmente o arquivo PHP por meio do PHP CLI e também usar esses arquivos de log.

Executei os comandos abaixo para adicionar meu usuário e ninguém para gravar na pasta, mas apenas meu usuário pode criar arquivos, mas 'ninguém' não pode.

sudo groupadd eximapplog

sudo usermod -a -G eximapplog bob
sudo usermod -a -G eximapplog nobody

sudo chgrp -R eximapplog /var/log/myapp
sudo chmod g+rwx /var/log/myapp

sudo chmod -R 775 /var/log/myapp

O que eu poderia estar fazendo de errado?

Eu tenho um script PHP rodando em um servidor Apache que é responsável por desconectar todas as sessões do usuário. Para isso, ele faz um loop que se identifica como a sessão que deve ser desconectada e a destrói. Este procedimento não tem eco.

O log do Apache retorna o código HTTP 200, informando que tudo correu bem.

Mas o NGINX retorna o seguinte erro.

[error] 512#512: *2699 upstream sent too big header while reading response header from upstream, client: <public-ip>, server: server01.example.com, request: "GET /tste.php HTTP/1.1", upstream: "http://192.168.50.2:80/tste.php", host: "server02.example.com"

O que pode causar esse problema?

script PHP:

<?php
error_reporting(-1);
ini_set('display_errors', 1);

if (!function_exists('deleteSession')) {
    function deleteSession($targetSessionID)
    {
        // 1. commit session if it's started.
        if (session_id()) {
            session_commit();
        }

        // 2. store current session id
        session_start();
        $current_session_id = session_id();
        session_commit();

        // 3. hijack then destroy session specified.
        
        session_id($targetSessionID);
        session_start();
        session_destroy();
        session_commit();


        // 4. restore current session id. If don't restore it, your current session will refer to the session you just destroyed!
        
        session_id($current_session_id);
        session_start();
        session_commit();

    }
}

$sessions = [
    'soadjasjosldjsaoidjasoijdsajdsaj',
    'soadjasjosldjsaoidjasoijdsajdsaj',
    'soadjasjosldjsaoidjasoijdsajdsaj',
    'soadjasjosldjsaoidjasoijdsajdsaj',
    'soadjasjosldjsaoidjasoijdsajdsaj',
    'soadjasjosldjsaoidjasoijdsajdsaj',
    'soadjasjosldjsaoidjasoijdsajdsaj',
    'soadjasjosldjsaoidjasoijdsajdsaj',
    'soadjasjosldjsaoidjasoijdsajdsaj',
    'soadjasjosldjsaoidjasoijdsajdsaj',
    'soadjasjosldjsaoidjasoijdsajdsaj',
    'soadjasjosldjsaoidjasoijdsajdsaj',
    'soadjasjosldjsaoidjasoijdsajdsaj'
];

foreach ($sessions as $session) {
    deleteSession($session);
}

Eu tenho dois servidores de correio que usam Exim, um é dedicado a receber e-mail e o outro é dedicado a enviar e-mail.

Como posso contar quantos emails um servidor enviou em um mês e quantos emails foram recebidos no mês pelo Exim?

Realizei o bloqueio de métodos diferentes de GET, POST e OPTIONS no apache.conf, e quando tento executar o servidor via IP o bloqueio funciona.

Mas ao configurar o mesmo bloqueio em um subdomínio (via sites-disponíveis), esse bloqueio não ocorre. O que eu poderia ter feito de errado?

apache2.conf

<Directory /var/www/>
    Options None
    AllowOverride None
    Require all granted

    <LimitExcept GET POST OPTIONS>
        Require all denied
    </LimitExcept>
</Directory>

sites-available/subdomain.example.com.conf

<VirtualHost *:80>
    ServerName subdomain.example.com
    ServerAlias subdomain.example.com
    DocumentRoot /var/www/html/subdomain.example.com
    ErrorLog ${APACHE_LOG_DIR}/error.log
    CustomLog ${APACHE_LOG_DIR}/access.log combined

    Header append X-FRAME-OPTIONS "SAMEORIGIN"

    RewriteCond %{REQUEST_URI} !^/\.well\-known/acme\-challenge/
    RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [R=301,L]
</VirtualHost>

<VirtualHost *:443>
    SSLEngine on

    SSLCertificateFile      /certs/example.crt
    SSLCertificateKeyFile   /certs/example.key
    SSLCertificateChainFile /certs/example-intermediary.crt

    Protocols h2 http/1.1

    Header always set Strict-Transport-Security "max-age=31536000"

    Header append X-FRAME-OPTIONS "SAMEORIGIN"

    <Directory /var/www/html/subdomain.example.com>
        Options None
        AllowOverride None
        Require all granted

        <LimitExcept GET POST OPTIONS>
            Require all denied
        </LimitExcept>
    </Directory>

    ServerName subdomain.example.com
    ServerAlias subdomain.example.com
    DocumentRoot /var/www/html/subdomain.example.com
    ErrorLog ${APACHE_LOG_DIR}/error.log
    CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>

Este bloqueio não está funcionando porque ao executar uma requisição com PUT, DELETE, LOCK, etc, o conteúdo da página é retornado normalmente.

O PHP 7 usa a pasta padrão do sistema (/tmp) para armazenar os arquivos carregados. PHP permite que você altere as configurações e altere o diretório de destino do upload. Alguns sites indicam mudar esta pasta para outra, pois a permissão /tmp é 777.

OWASP não tem nada listado nas recomendações de segurança. Devo realmente me preocupar em mudar esta pasta para outra ou não há riscos?

Às vezes precisamos editar um arquivo de aplicação PHP no Ubuntu e isso acaba gerando um arquivo .save, exemplo:secret-config.php.save

Se alguém acessar este arquivo, poderá ver o conteúdo original do PHP. Existe uma maneira no Apache 2.4 de bloquear o acesso a arquivos com extensão .savee .swp?

Estou planejando habilitar o IPv6 em alguns servidores que usam o Exim apenas para enviar e-mails. Preciso fazer alguma configuração especial no Exim ao habilitar o IPv6?

Essa preocupação surgiu depois que um usuário de um serviço VPS relatou o seguinte:

A ativação do IPv6 altera o nome do servidor.

Isso invalida os registros MX com o nome do servidor

Outra pergunta que tenho dúvidas. Eu uso o G Suite para gerenciar meus e-mails de domínio, especialmente para receber e-mails. Como uso o Exim para enviar e-mails do servidor para o qual meu domínio aponta, preciso configurar alguma coisa para usar o G Suite para receber/enviar e-mails?

Há alguns dias tive erros ao receber emails no Exim4 de um host específico.

Erros como este aparecem no meu log:

SMTP connection lost after final dot H=example.com [IP-ADDRESS] P=esmtp
SMTP connection from example.com [IP-ADDRES] lost while reading message data (header)

Isso é um problema com meu servidor ou com o servidor que envia os e-mails?

Outros serviços como Gmail ou Outlook não exibem esse erro e normalmente são recebidos.