Jonathan's questions

Estou procurando uma maneira de executar vários aplicativos python/php em um servidor. Cada aplicativo em sua própria pasta /bob_app.

Eu preciso que os usuários não possam executar sth como:

>>> import glob
>>> glob.glob("/*")
['/boot', '/cdrom', '/dev', '/lib64', '/run', '/initrd.img', '/sys', '/media', '/var', '/etc', '/srv', '/initrd.img.old', '/root', '/sbin', '/tmp', '/opt', '/vmlinuz', '/usr', '/home', '/lost+found', '/bin', '/proc', '/lib', '/mnt', '/vmlinuz.old']

Ou o php etc equivalente. Os aplicativos devem ver apenas o conteúdo da pasta em que estão sendo executados e nada acima disso.

Editar: os aplicativos estão em contêineres do docker e usar um ambiente chroot no docker não é algo que tenho certeza de que é a coisa certa a fazer.

Estou criando recursos usando terraform e tenho um nó na sub-rede 172.1.0.0 sem grupo de segurança ou regras atribuídas ao nó; o nó tem duas extremidades 22 e 80.

Usei o nmap para confirmar se as portas estão abertas e são elas:

nmap -Pn -sT -p T:11 some-ingress.cloudapp.net

Starting Nmap 6.47 ( http://nmap.org ) at 2016-07-08 19:02 EAT
Nmap scan report for some-ingress.cloudapp.net (1.2.3.4
Host is up (0.31s latency).
PORT   STATE SERVICE
22/tcp open  ssh

Nmap done: 1 IP address (1 host up) scanned in 1.34 seconds


nmap -Pn -sT -p T:80 some-ingress.cloudapp.net

Starting Nmap 6.47 ( http://nmap.org ) at 2016-07-08 19:02 EAT
Nmap scan report for some-ingress.cloudapp.net (1.2.3.4)
Host is up (0.036s latency).
PORT   STATE SERVICE
80/tcp open  http

Nmap done: 1 IP address (1 host up) scanned in 0.09 seconds

Instalei o nginx no nó e em execução e curl 172.1.0.4recebo a página padrão do nginx.curl 127.0.0.1curl 0.0.0.0

No entanto, executando curl <public ip>ou curl <dns name>trava e recebo um

curl: (56) Recv failure: Connection reset by peer

Minhas regras do iptables são:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  anywhere             anywhere             udp dpt:bootpc
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:bootps
ACCEPT     udp  --  anywhere             anywhere             udp dpt:bootps

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination  

Por que não consigo acessar o nginx no ip público do nó?

O nó está em uma rede virtual 172.1.0.0/16e uma sub-rede de 172.1.0.0/24posso postar as configurações do terraform, se necessário.

Estou executando o wordpress em um VPS da Digitalocean com o cloudflare instalado. Meu ssl estava funcionando perfeitamente até alguns dias atrás, quando vários clientes me informaram que recebiam o seguinte erro ao visitar o site (no chrome funciona no mozilla):

ERR_SSL_VERSION_OR_CIPHER_MISMATCH

Uma conexão segura não pode ser estabelecida porque este site usa um protocolo não suportado.

Desativei sslv3 e sslv2 sem sucesso, e fazer alterações no meu traço cloudflare não afeta nada.

Analisei o site via ssl labs e aparentemente está tudo bem https://www.ssllabs.com/ssltest/analyze.html?d=saharacluster.com .

Este erro é muito enigmático, você pode ver no relatório que uma conexão simulada recria o mesmo erro (via anndroid), porém o chrome parece se conectar bem.

Isso me deixou muito preocupado e desativei temporariamente o SSL no site.