David's questions

Eu provavelmente só preciso de uma dica na direção certa.

Eu tenho um contêiner docker executando um aplicativo Django usando gunicorn e nginx. Este aplicativo Django está atualmente obtendo suas variáveis ​​de ambiente de um arquivo .env.

FROM python:alpine
EXPOSE 8000

RUN apk update
RUN apk add --no-cache git gcc musl-dev libffi-dev libxml2-dev libxslt-dev gcc swig g++
RUN apk add --no-cache jpeg-dev zlib-dev freetype-dev lcms2-dev openjpeg-dev tiff-  dev tk-dev tcl-dev
RUN apk add --no-cache bash ffmpeg libmagic
RUN python3 -m pip install --upgrade pip
RUN python3 -m pip install --upgrade setuptools

RUN mkdir /opt/app
WORKDIR /opt/app
COPY . .
RUN python3 -m pip install /root/d12f/

RUN pip3 install -r requirements.txt
RUN pip3 install gunicorn
CMD sh -c 'gunicorn --conf python:app.gunicorn_conf app.wsgi --bind 0.0.0.0:8000 --reload --log-level info --access-logfile - --timeout 360 --error-logfile -'

É claro que não há arquivo .env no repositório, pois isso seria um risco de segurança.

A imagem do Docker está sendo criada pelo github e armazenada em um pacote privado do GitHub. Mais tarde, esta imagem docker está sendo usada para rodar no Kubernetes.

Estou tentando encontrar a melhor solução para colocar um arquivo .env em

/opt/app/app/.env

como um arquivo local.

Eu preferiria não usar variáveis ​​de ambiente globais, se possível.

Obrigado por qualquer sugestão.

Atualmente estou lutando com um problema na minha configuração do qmail, que parece atrasar meu receptor smtp toda vez por 66 segundos. Isso é bom para a maioria dos hosts remotos, mas alguns parecem atingir o tempo limite e não entregam o e-mail.

Estou executando o qmail com jgreylist e o atraso parece acontecer entre a conexão inicial e o jgreylist.

2018-08-16 08:13:18.143940500 tcpserver: status: 2/30
2018-08-16 08:13:18.144214500 tcpserver: pid 989 from 209.85.213.41
2018-08-16 08:13:18.145110500 tcpserver: ok 989    
mail.klement.com:138.201.24.116:25 mail-vk0-f41.google.com:209.85.213.41::36018
2018-08-16 08:14:24.394795500 jgreylist[989]: 209.85.213.41: OK known
2018-08-16 08:14:25.026792500 qmail-smtpd[989]: MFCHECK pass [209.85.213.41] gmail.com
2018-08-16 08:14:25.028190500 qmail-smtpd[989]: Received-SPF: pass (mail.klm.com: SPF record at _netblocks.google.com designates 209.85.213.41 as permitted sender)
2018-08-16 08:14:25.028369500 qmail-smtpd[989]: MAIL FROM:<[email protected]>
2018-08-16 08:14:25.028566500 qmail-smtpd[989]: RCPT TO:<[email protected]>
2018-08-16 08:14:25.028718500 qmail-smtpd[989]: validrcptto [209.85.213.41] trying: [email protected]
2018-08-16 08:14:25.028880500 qmail-smtpd[989]: validrcptto [209.85.213.41] found: [email protected]
2018-08-16 08:14:25.485688500 tcpserver: end 989 status 0

Eu não tenho nenhuma configuração de atraso na configuração.

Seguem meus valores:

JGREYLIST_NOREV=1
JGREYLIST_BY_IP=0
JGREYLIST_HOLDTIME=120
JGREYLIST_LOG=1
JGREYLIST_LOG_PID=1
JGREYLIST_LOG_SMTP=0
JGREYLIST_TIMEOUT=120
JGREYLIST_LIMIT=0

SMTPGREETING="$LOCAL NO UCE"
SMTPD_GREETDELAY=0
#GREETDELAY=5
#DROP_PRE_GREET=1
DENY_TLS=0
MFCHECK=3

Eu inicio o tcpserver assim.

tcpserver -vR -l mail.klm.com -c 30 -u 162 -g 161 -x /var/qmail/service/smtpd-receiver/tcp.cdb 128.111.xxx.xxx 25 rblsmtpd -t0 -r ix.dnsbl.manitu.net -r zen.spamhaus.org -r dnsbl.njabl.org -r bl.spamcop.net jgreylist /var/qmail/bin/qmail-smtpd

Tudo o que acelera isso é mais do que bem-vindo.

Acabei de atualizar meu servidor NGINX no Ubuntu para a última versão oficial 1.9.15.

Desde então, uma configuração que usei por um bom tempo parou de funcionar. Resumindo, redireciono todo o tráfego para https, exceto uma página, por exemplo, /minhapágina/, que precisa estar disponível via http devido a recursos externos.

É assim que minha configuração se parece.

server {

  listen 12.34.56.78:80;

  server_name www.myside.com;
  root /home/myside.com/public_html;
  index index.php;

  location ~ \.php$ {
    include fastcgi.conf;
    fastcgi_intercept_errors on;
    fastcgi_pass php;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
  }

  location / {
    return 301 https://www.myside.com$request_uri;
    try_files $uri $uri/ /index.php?$args;
  }

      # but no redirect for this particular location:
  location /mypage/ {
    try_files $uri $uri/ /index.php?$args;
  }

}

server {

  listen 12.34.56.78:443 ssl http2 default_server;

  ssl on;
  ssl_certificate /etc/nginx/ssl/myside.com/cert.pem;
  ssl_certificate_key /etc/nginx/ssl/myside.com/privkey.pem;

  server_name www.myside.com myside.com;
  root /home/myside.com/public_html;
  index index.php;

  location / {
    try_files $uri $uri/ /index.php?$args;
  }

  location ~ \.php$ {
    include fastcgi.conf;
    fastcgi_intercept_errors on;
    fastcgi_pass php;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
  }

  location /mypage/ {
    return 301 http://$server_name$request_uri;
    try_files $uri $uri/ /index.php?$args;
  }

}

Infelizmente, agora está em loop http -> https -> http -> https e assim por diante.

No momento, estou tentando proteger minha instalação do qmail e as conexões SMTP.

Ao compilar o SSL UCSPI padrão, todas as cifras suportadas são habilitadas por padrão. Isso leva a problemas com POODLE, heartblead e outros problemas de SSL.

Eu defino uma variável de ambiente chamada CIPHERS com os seguintes valores.

CIPHERS=ALL:!LOW:!SSLv2:!EXP:!aNULL:!eNULL!3DES:!MD5:!EXP:!CBC:!PSK:!SRP:!DSS:!RC4

Isso desativa a maioria das coisas "não tão legais", exceto SSLv3, que é responsável pelo POODLE.

O segundo eu defino

CIPHERS=ALL:!LOW:!SSLv2: !SSLv3: ! EXP:!aNULL:!eNULL!3DES:!MD5:!EXP:!CBC:!PSK:!SRP:!DSS:!RC4

o servidor para de funcionar.

Qualquer conselho é bem-vindo também para cifras que devo desativar no topo.