Machavity's questions

Eu tenho uma instância do AWS Lightsail (instância de 1 GB de RAM) executando um site relativamente novo (ou seja, praticamente sem tráfego). Está rodando nginx e PHP-FPM 7.3 (tentei com 7.2 também) e MariaDB. Tudo isso está sob o CentOS 7.

Tudo funcionou bem no nível gratuito da AWS. Executei uma instância T2.micro EC2 e uma instância T2.micro RDS. Lightsail tem sido um pouco... mais sensível. Para fazer o Lightsail funcionar, troquei o PHP-FPM paraondemand

ondemand - nenhum filho é criado na inicialização. As crianças serão bifurcadas quando novas solicitações forem conectadas.

Eu tive que fazer isso, ou o MariaDB travaria aleatoriamente. Isso não parece afetar o problema abaixo.

O painel de administração do Wordpress parou de funcionar corretamente e todos disseram para CONCATENATE_SCRIPTSdesligar. Isso funciona... principalmente. O editor de postagens e modelos está com problemas. Ninguém foi capaz de me dar uma pista do porquê. Olhando ao redor, eu encontrei algo eu mesmo.

As páginas que não funcionam não estão carregando completamente. Com CONCATENATE_SCRIPTSa ativação, os arquivos CSS são carregados em uma página gigante. Como isso não é renderizado completamente, os arquivos CSS e JS são ignorados pelo navegador. CONCATENATE_SCRIPTScontorna isso simplesmente dividindo-os em arquivos componentes, que são menores e carregam facilmente. Mas a página de edição não pode ser dividida e depurar o problema subjacente tem sido enlouquecedor. Eu recebo uma resposta de 200 e alguns dados

Mas o desenho da página está incompleto. Eu diria que talvez 80-90% do HTML esteja lá, mas corte. Na seção começando aqui (bloco JS)

wp.apiFetch.use( wp.apiFetch.createPreloadingMiddleware( {"\/":{"body":{"name":"S

ele apenas termina abruptamente, e no mesmo ponto todas as vezes. É como se o PHP-FPM ou o nginx tivessem parado, mas sem nenhum log de erro (e a maioria dos outros problemas por aí sobre esse tipo de configuração são para páginas que não desenham). Ainda mais estranho é que não está fazendo isso em páginas menores, apenas muito longas. Não há tempo de roubo tope a instância não parece estar sob nenhuma carga séria, então não sei por que faria isso. Recarreguei todos os arquivos novos e até configurei um site WP separado para testar isso e todos o fazem.

Por comentários, ativei o log de depuração do nginx e encontrei

2019/08/07 02:33:08 [crit] 1461#0: *47 open() "/var/lib/nginx/tmp/fastcgi/3/00/0000000003" failed (13: Permission denied) while reading upstream, client: x.x.x.x, server: example.com, request: "GET /wp-admin/post-new.php HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000",

Isso não faz sentido porque ele faria isso em APENAS um punhado de arquivos grandes. Nenhuma unidade está cheia ou perto disso. Eu li esta pergunta, mas tanto o nginx quanto o PHP-FPM estão sendo executados no apache. A exclusão dos arquivos tmp também não resolveu. Os diretórios são de propriedade de apache:root, mas alterá-los para apache:apachenão tem efeito. O SELinux também não parece ser o culpado. Também não estou usando proxy_cache.

Eu tenho tentado depurar isso nas últimas horas e, tendo resolvido tantos problemas, parece que bati em uma parede de tijolos

Eu tenho uma instalação do Wordpress usando o nginx no CentOS7 (AWS Lightsail, se isso importa). Para isso assegurei

• wp-content/uploadsdiretório é 766
• o diretório de propriedade apache:apachee o nginx e o php-fpm são executados sob esse usuário
• seLinux é httpd_sys_rw_content_tpara o diretório

Isso me levou até o upload de arquivos com sucesso. Ele cria o arquivo e as permissões acima se propagam corretamente ( ln -Ze rodando statcomo apacheusuário). Os arquivos são 666, mas 766 não parece mudar nada. Os arquivos mais antigos que eu coloquei manualmente servem corretamente. A única diferença que posso encontrar é que os arquivos enviados manualmente são definidos no seLinux como

Context: unconfined_u:object_r:httpd_sys_rw_content_t:s0

Enquanto o novo arquivo 403 é

Context: system_u:object_r:httpd_sys_rw_content_t:s0

Tentei setenforce 0mas não mudou. Reiniciei o nginx também e ainda não mudou. O erro registrado é

2019/05/19 22:35:06 [error] 21393#0: *4010 open() "/usr/share/nginx/example/wp-content/uploads/2019/05/file.jpg" failed (13: Permission denied), client: 172.69.44.142, server: example.com, request: "GET /wp-content/uploads/2019/05/file.jpg HTTP/1.1", host: "www.example.com"

Ainda /usr/share/nginx/example/wp-content/uploads/2019/04/another_file.jpgfunciona bem, então também não parece relacionado à configuração do nginx.

Há algo mais que eu estou perdendo?

Devido à nossa configuração de rede, quando mudamos nossos negócios no ano passado, trocamos o Exchange 2010 para usar o AWS SES para retransmitir nossos e-mails de saída . Isso funcionou muito bem até ontem, quando o Exchange começou a falhar ao fazer a conexão TLS com o SES com esse erro nos logs de eventos sempre que tentava se conectar

Não é possível validar o certificado TLS do host inteligente para o conector Amazon SES. O erro de validação do certificado é UntrustedRoot. Se o problema persistir, entre em contato com o administrador do host inteligente para resolver o problema.

Coloquei o OpenSSL para Windows na caixa e executei o comando que encontrei neste tópico

openssl s_client -connect email-smtp.us-east-1.amazonaws.com:25 -starttls smtp
CONNECTED(000000EC)
depth=1 C = US, O = Symantec Corporation, OU = Symantec Trust Network, CN = Symantec Class 3 Secure Servidor CA - Erro de verificação G4
:num=20:não foi possível obter o certificado do emissor local
---
Cadeia de certificados
0 s:/C=US/ST=Washington/L=Seattle/O=Amazon.com, Inc./CN=email -smtp.us-east-1.amazonaws.com
i:/C=US/O=Symantec Corporation/OU=Symantec Trust Network/CN=Symantec Class 3 Secure Server CA - G4
1 s:/C=US/O= Symantec Corporation/OU=Symantec Trust Network/CN=Symantec Class 3
Secure Server CA - G4
i:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2006 VeriSign, Inc.
- Somente para uso autorizado/CN=VeriSign Classe 3 Public Primary Certification Authority - G5
---
Certificado do servidor
[removido para brevidade]
subject=/C=US/ST=Washington/L=Seattle/O=Amazon.com, Inc. /CN=email-smtp.us-east-1.amazonaws.com
emissor=/C=US/O=Symantec Corporation/OU=Symantec Trust Network/CN=Symantec Class 3 Secure Server CA - G4
---
Sem certificado de cliente Nomes de CA enviados
---
SSL handshake leu 3005 bytes e gravou 708 bytes
---
Novo, TLSv1/SSLv3, cifra é AES256-SHA A
chave pública do servidor é de 2048 bits
Renegociação segura É suportada
Compressão: NONE
Expansão: NONE
Sem ALPN negociado
SSL-Session:
Protocol : TLSv1
Cipher : AES256-SHA
Session-ID: 5576FCDBA77EB88DC9C2678EA399604E0A4543E5CFC0FA1E89F7320A7A84993C

Session-ID-ctx:
Master-Key: CBD8DEA48F07E570896E02CBDC0E1DA08F0DA1D4CA901522B05A9C6F66A3E4F9 811AA12DE24BA0C14402F5585C32BF05
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1433861339
Tempo limite: 300 (seg)
Verifique o código de retorno: 20 (não é possível obter o certificado do emissor local)

A única diferença entre isso no Linux vs Windows é a última linha

Verifique o código de retorno: 20 (não é possível obter o certificado do emissor local)

Suspeito que seja um problema da cadeia de CA, mas como faço para corrigir isso? O servidor que executa o Transporte de Hub é uma caixa do Windows Server 2008.

Encontrei um problema interessante. Temos um script PHP que entra em contato com um remetente LTL ( https://facts.dohrn.com/ ). Esse script está falhando porque não pode validar o certificado SSL. Fui ao site e descobri que eles estavam usando um certificado GoDaddy SHA2 (usa o GoDaddy Certificate Bundles - G2 , que é o que é usado para SHA2).

Eu tenho a versão mais recente ca-certificateinstalada e parece que eles têm Go Daddy Root Certificate Authority - G2 , mas isso não é a mesma coisa e falha em todas as formas de validação. Consegui finalmente fazê-lo funcionar copiando o pacote e usando-o diretamente em uma solicitação CURL. Mas isso é simplesmente uma solução alternativa. Há algo mais que estou perdendo que poderia fazer isso funcionar sem instalar o CA diretamente?

# openssl s_client -connect fatos.dohrn.com:443
CONNECTED(00000003) profundidade=0 OU = controle de domínio validado, CN = fatos.dohrn.com verifique o
erro:num=20:não foi possível obter o certificado do emissor local verifique o retorno:1
profundidade =0 OU = Controle de domínio validado, CN = fatos.dohrn.com verifique
erro:num=27:certificado não confiável verifique retorno:1 profundidade=0 OU =
Controle de domínio validado, CN = fatos.dohrn.com verifique
erro:num= 21:impossível verificar o primeiro certificado, verificar return:1
--- Cadeia de certificados 0 s:/OU=Domain Control Validated/CN=facts.dohrn.com
i:/C=US/ST=Arizona/L=Scottsdale/O =GoDaddy.com,
Inc./OU= http://certs.godaddy.com/repository//CN=Go Daddy Secure
Certificate Authority - G2
--- Certificado do servidor [certificado removido]
-----END CERTIFICATE-----
subject=/OU=Controle de domínio validado/CN=facts.dohrn.com
emissor=/C=US/ST=Arizona/L= Scottsdale/O=GoDaddy.com,
Inc./OU= http://certs.godaddy.com/repository//CN=Go Daddy Secure
Certificate Authority - G2
--- Nenhum certificado de cliente Nomes CA enviados
--- SSL handshake leu 1470 bytes e gravou 563 bytes
--- Novo, TLSv1/ SSLv3, Cifra é RC4-SHA A chave pública do servidor é de 2048 bits Renegociação segura NÃO É suportada Compressão: NONE Expansão:
NONE Sessão SSL:
Protocolo: TLSv1
Cifra: RC4-SHA
ID da sessão: 1A23000017A7003411F3833970B7FA23C6D782E663CE0C8B17DE4D5A515ID
-DEE15Act: Sessão
Master-Key: F6C9C6345A09B7965AF762DE4BEFE8BDD249136BF30D9364598D78CF123F17230B0C25DD552F103BEF9A893F75EAD2B0
Key-Arg : None
Krb5 Principal: None
PSK identity: None
PSK identity hint: None
Start Time: 1432044402
Timeout : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)

Tenho uma máquina master que acabei de atualizar do Chef 11 para o Chef 12, mas quando vou criar um novo nó EC2, ele deseja instalar o cliente 11.18 em vez de 12.01 ou 12.03. Não tenho certeza se isso está causando o bombardeio do cliente ou não (atinge um 403 tentando criar o nó cliente no mestre), mas não pode estar ajudando.

Alguém sabe onde posso dizer ao mestre qual versão do cliente instalar?