主页 / user-135680

oucil's questions

Martin Hope
oucil
Asked: 2024-01-27 09:49:18 +0800 CST
  • 5

Dovecot 的 ACL 插件指令表明,对于全局 acl,我们应该创建一个 acl 文件/etc/dovecot/.并在其中包含访问控制列表项。所以我创建/etc/dovecot/global-acls并包含了...

inbox.Archive owner lrwstipeka
inbox.Drafts owner lrwstipeka
inbox.Sent owner lrwstipeka
inbox.Junk owner lrwstipeka
inbox.Trash owner lrwstipeka

...这应该可以防止用户删除这些系统文件夹。

然后从插件加载该文件/etc/dovecot/conf.d/90-acl.conf...

protocol imap {
  mail_plugins = $mail_plugins acl imap_acl
}

plugin {
  acl = vfile:/etc/dovecot/global-acls:cache_secs=300
}

plugin {
  acl_shared_dict = file:/path/to/mailbox/root/shared-mailboxes
}

我遇到的问题是我的系统日志中出现以下错误,表明该文件存在权限问题(或者可能是stat(),我不确定)。

Error: acl vfile: stat(/etc/dovecot/global-acls) failed: Permission denied
Fatal: acl: backend vfile init failed with data: /etc/dovecot/global-acls:cache_secs=300

drw-rw----.   3 vmail dovecot  4096 Jan 26 13:37 .
drwxr-xr-x. 126 root  root    12288 Jan 26 16:52 ..
drw-rw----.   2 vmail dovecot  4096 Jan 25 15:46 conf.d
-rw-rw----.   1 vmail dovecot   535 Jan 26 20:17 dovecot.conf
-rw-rw----.   1 vmail dovecot   257 Jan 26 13:35 global-acls

如您所见,权限设置与/etc/dovecot. 我已经搜索了几个小时的相关错误,但我不知所措。

有什么建议么?

permissions
Martin Hope
oucil
Asked: 2023-03-20 01:30:31 +0800 CST
  • 5

首先,我知道SSL Library Error: error:0A000126:SSL routines::unexpected eof while reading错误源于 OpenSSL 3 重新引入了防止截断攻击的功能。

我的问题是,当我从报告错误的同一台服务器通过 PHP 进行 curl 调用时,为什么会看到此错误?

我正在运行 Rocky Linux 9.1、PHP 8.0.27 和 OpenSSL 3.0.1(最新版本可用)。由于缺少该版本尚不可用的库,我无法通过 dnf 模块升级到 PHP8.1。

由于我正在从服务器对其自身进行 curl 调用,因此人们会认为,如果它是最新的足以识别错误,它就会正确地发出请求。“错误”报告表明这通常来自发出请求的不合规服务器,所以我应该在我的系统中的哪个位置查找以更正请求格式,以便我可以使自己合规并让我的 curl 请求再次工作?

这是我根据请求使用的当前卷曲选项...

CURLOPT_HTTPGET => TRUE,
CURLOPT_HEADER => FALSE,
CURLOPT_FAILONERROR => FALSE,
CURLOPT_RETURNTRANSFER => TRUE,
CURLOPT_CONNECTTIMEOUT => 10,
CURLOPT_TIMEOUT => 60,
CURLOPT_SSL_CIPHER_LIST => NULL,
CURLOPT_CAINFO => '/path/to/ca-certs.pem',
CURLOPT_SSL_VERIFYPEER => TRUE,
CURLOPT_SSL_VERIFYHOST => 2

httpd.conf这里是来自...的 SSL/TLS 相关选项

SSLProtocol -all +TLSv1.3 +TLSv1.2
SSLProxyProtocol -all +TLSv1.3 +TLSv1.2

SSLCipherSuite    TLSv1.3   TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
SSLCipherSuite    SSL       AES256+EECDH:AES256+EDH:!SHA1:!SHA256:!SHA384

SSLHonorCipherOrder on
SSLCompression off
SSLSessionTickets off

SSLOpenSSLConfCmd Curves X25519:secp521r1:prime256v1

谢谢你尽你所能的帮助!

编辑:下面的解决方案,tldr;必须在客户端请求中指定 TLS 版本和密码。

php
Martin Hope
oucil
Asked: 2023-03-17 06:25:32 +0800 CST
  • 6

我的应用程序位于一个目录中public,并从一个文件夹中提供服务,我在 public 的子目录中有一个 API 端点,这两个都被重定向到各自的 index.php 文件。在最近的服务器迁移之前,一切都运行良好。但是现在,API 请求被父目录拦截了。这是有问题的虚拟<directory...>主机段......

    # application root
    <Directory "/path/to/app">
        Options FollowSymLinks
        AllowOverride None
        Require all granted
    </Directory>

    # public root
    <Directory /path/to/app/public>
        RewriteBase /
        RewriteCond %{REQUEST_FILENAME} -s [OR]
        RewriteCond %{REQUEST_FILENAME} -l [OR]
        RewriteCond %{REQUEST_FILENAME} -d
        RewriteRule ^.*$ - [NC,L]
        RewriteRule ^.*\.(media.php|png|jpg|gif|ico)$ media.php [NC,L]
        RewriteRule ^.*\.(xml|txt|css|js)$ static.php [NC,L]
        RewriteRule ^.*$ index.php/ [NC,L]
        errordocument 404 /error.php?id=404
    </Directory>

    # API
    <Directory /path/to/app/public/api>
        Header set Access-Control-Allow-Methods "PUT, GET, POST, DELETE, HEAD, OPTIONS"
        RewriteCond %{HTTP:Authorization} ^(.*)
        RewriteRule .* - [e=HTTP_AUTHORIZATION:%1]
        RewriteRule ^(.*)$ index.php [L,NC]
    </Directory>

我正在使用 Apache 2.4.53。这些/path/to/app/public指令按预期工作,任何媒体文件扩展名都被重定向到 media.php,任何基于文本的文件都被重定向到 static.php,其他所有内容都被发送到 index.php,并带有 404 错误回退。

如果我mydomain.com/api/单独请求,我会收到正确的 API 特定错误消息,因为该./api/目录实际存在。但是,一旦我请求一个正确的端点,比如mydomain.com/api/v1.0/some-enddpoint/应该在./api/index.php文件中捕获和重定向的端点,我就会收到一个来自父目录的 404 错误。

感谢任何帮助!

apache-2.4
Martin Hope
oucil
Asked: 2020-06-16 04:52:44 +0800 CST
  • 2

我正在寻找在 Apache 中添加 HSTS 标头...

# HSTS / Header Strict Transport Security
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"

...但我有一长串不同但相关的站点/子站点的虚拟主机列表。我宁愿不必在我的每个虚拟主机定义中都定义它,但我不知道有一种方法可以在主要https.conf中包含一个仅适用于443 / https这些虚拟主机版本的设置,因为它会在验证器中引发警告你将 HSTS 应用于标准80 / http站点。

我尝试将其包装在<IfModule mod_ssl.c>...</IfModule>标签中,但如果我没记错的话,这实际上只是在询问SSL 模块是否已加载? 我尝试了很多不同的方法,但是当您不知道要查找的术语时,很难对所有静态进行分类。有什么建议么?谢谢!

https httpd.conf apache-2.4 http-headers hsts
Martin Hope
oucil
Asked: 2020-05-21 11:46:18 +0800 CST
  • 0

我需要能够跟踪他们的 VM 和与 S3 兼容的对象存储桶(通过 https 访问)之间的客户端数据使用情况。我已经ntopng在虚拟机上安装了社区版,现在它正在将所有数据转储到 MySQL 数据库中。

我注意到的开销ntopng并非无关紧要,而且这些不是资源丰富的虚拟机,所以如果可以的话,我想减少它的内存/资源占用。我只对上述连接感兴趣,那么有没有办法应用过滤器来仅跟踪来自某个来源的连接而不是跟踪所有流量?

我实际上也只对 INBOUND 流量感兴趣,因为上传不计费,所以我已经将--capture-direction=1标志设置为仅跟踪RX流量(从 Bucket 到 VM)。

我假设 Web 服务器组件处于空闲或禁用状态,因为我没有为这些参数设置任何值。还是我需要以某种方式专门禁用它们?最后,我禁用了所有 DNS 功能。

这是我当前的配置/etc/ntopng/ntopng.conf...

# ntopng Configuration
--community
-G=/run/ntopng.pid
-e=
-i=eth0
-n=3
--capture-direction=1
-N=myhost.tld
-F=mysql;/run/mysqld/mysqld.sock;ntop;flows;user;pass

或者,是否有更好和/或更轻的方法来实现我的需要?我的目标只是在月底知道 Acme Co 的 VM 使用了 n GB 的数据。

centos mysql networking traffic ntop
Martin Hope
oucil
Asked: 2020-05-14 23:11:42 +0800 CST
  • 0

/run/spamassassin目录不会在引导时重新创建,因为没有/usr/lib/tmpfiles.d/spamassassin文件告诉它这样做。如果我手动创建/run/spamassassin并启动服务一切运行正常,但重启后,同样的问题。已spamassassin.service启用,所以我不确定我应该做什么。我在版本 3.4.2-6.el8 上。

看起来它应该包含在基于网络搜索的包中,但我似乎无法在任何地方找到文件内容。当我运行dnf repoquery -l spamassassin它时,它没有被列为文件之一,所以我不确定它是否是事后生成的。

我应该手动创建这个文件吗?该文件应该在安装后生成吗?还是应该作为软件包的一部分安装?

感谢任何帮助!

spamassassin centos8 reboot
Martin Hope
oucil
Asked: 2020-05-13 13:42:34 +0800 CST
  • 0

CentOS 8 并不总是预装 Python,因此在安装之前,Ansible 将无法在远程机器上运行。然而,在经典的 Chicken/Egg 中,您不能使用 Ansiblednf模块来安装 Python。

我一直在使用:

- name: Install Python 3
  raw: dnf -y install python3

然而,这个问题是我要么必须设置,changed_when: false要么它总是返回一个改变的状态。如果可能的话,我希望正确报告状态。

然而,我发现easy_install这似乎只处理 Python 库,而不是 Python 本身。有没有内置的方法来处理这个或者是raw:唯一的选择?

python centos8 ansible
Martin Hope
oucil
Asked: 2015-03-09 08:33:58 +0800 CST
  • 1

我们有一个 vhost conf 文件,它在多租户场景中是一个包罗万象的文件,但是我们的一个客户需要有一个alias当前定义的特定声明......

Alias /special "/srv/application/public/example/special"

目前这意味着系统中的每个客户端/域都将被捕获并被迫服务/special/,这显然是一个问题。

如何限制此Alias声明的范围,使其仅在请求的域匹配example.com或时应用www.example.com

仅供参考,我们很快就会从 Apache 2.2 迁移到 2.4,如果在特定情况下有任何差异,请指出。谢谢!

编辑我应该指出,在这种情况下,我们受到中间件的限制,并且必须将所有内容保存在单个 vhost 声明中。

apache-2.2
Martin Hope
oucil
Asked: 2015-02-28 10:42:40 +0800 CST
  • 1

我们是一个多租户服务,并在我们的负载平衡器上终止我们的 SSL(用于 SSL 终止的 HAProxy + Apache),由于专用 IP 要求,这已经引起了越来越多的痛苦。但是时代变了,我们正在考虑迁移到 SNI,所以我希望 2015 年能获得有根据的意见,将其作为我们的标准。

我将概述我们的假设:

  • 由于 POODLE 攻击,SSL 已失效(TLS 万岁),
  • TLS 内置了 SNI
  • IE6 / Windows XP ( < sp3) 已死的原因有很多,其中最重要的是 XP 即将 EOL
  • 我们现在已经终止了对 IE7 和 IE8 的支持

我假设现在基本上全球支持 SNI 是否正确?

... 和 ...

除此之外,我是否应该考虑影响支持的情况?

……最后……

现在 HAProxy 1.5 直接支持 SSL 终止,在您的经验中是否有任何与 SNI 直接相关的警告会影响我们推出这项服务的能力?

ssl
Martin Hope
oucil
Asked: 2013-08-29 12:55:59 +0800 CST
  • 2

我们正在将我们的部署从常规 EC2 迁移到 VPC,我们在公共云中有两个负载均衡器,我们有许多域“A”记录指向,但是我没有意识到公共弹性 IP 不能附加到 VPC 实例,您必须使用基于 VPC 的弹性 IP。

所以您知道,我们的负载均衡器是基于 HAProxy 的实例,而不是弹性负载均衡器。因此,如果这有助于回答我的问题或提供替代方案,我们可以在这里使用 Apache。

因为并非所有指向公共 LB 的有问题的域都在我的控制之下,所以很难与每个人一起安排对 DNS 的更改,我们称之为不可能。

所以我的问题是,我是否可以将对我们公共 LB 的调用重定向到 VPC 中的替代者?当我们通过我们的客户并让他们更新他们的 DNS 时,这必须是透明的。

任何建议将不胜感激!

编辑:稍微扩展一下,如果我可以简单地使用 EC2 功能做到这一点,那将是一个好处,这样我就不必让两个公共 LB 实例保持运行。如果做不到这一点,我需要具体了解如何完成“重定向”,是在 DNS 中完成,还是在其他地方完成?

编辑 2:没有人能够对不需要 LB 实例保持运行的亚马逊特定解决方案提供任何见解,因此我在下面的选定答案中概述了我们对 HAProxy 所做的事情。

apache-2.2