我从全新安装的 OpenBSD 6.0 开始,它在他们的 httpd 服务器(不是 Apache)上有一个 chroot(/var/www)。我安装了 PHP 7.0 并使用二进制安装设置了 php-fpm。在 web 根目录中同时存在 sendmail 和 femail 对象。我将一个网站移动到适当的位置,php 运行良好,php 查询 postgresql 数据库(也从二进制安装)并且一切运行良好 - 除了 mail()。
我在 /var/www/logs/php.mail.log 中设置了一个日志文件,它看到邮件被 php 识别,日志条目如下:
[09-Dec-2016 15:04:34 UTC] mail() on [/do_quick_mail_test.php:23]: To: [email protected] -- Headers: From: [email protected] (domain.com Robot)
/var/www/logs/error.log 和系统消息中都没有错误发生。
系统邮件日志中没有电子邮件指示。
当我像这样从命令行运行命令时,它可以正常工作并且邮件正常传递,没有问题:
echo 'Subject: test' | chroot /var/www /usr/sbin/sendmail -v [email protected]
我用浏览器访问的 php 程序是一个非常简单的程序:
<?php
session_start();
header( "Content-Type: text/plain" );
echo( 'Configuration Tests:'."\n" );
echo('Testing DNS:'."\n" );
print_r( dns_get_record("trialtoaster.com") );
echo( 'localhost lookup: '.gethostbyname( "localhost" )."\n" );
echo('Testing DateTime:'."\n" );
print_r( getdate() );
echo('Sending test email:'."\n" );
if ( mail("[email protected]", "PHP Test mail", "PHP email - test message.", "From: [email protected] (domain.com Robot)") ) {
echo '- PHP thinks the email went normally.';
} else {
echo '- PHP thinks the email failed.';
}
?>
该程序不会产生任何失败,除了 mail() 死亡。DNS 测试返回所有记录,包括 MX 记录,并且日期准确。尽管正确记录在 php 邮件日志中。
显示时, phpinfo() 正确反映了配置:
sendmail_path: /usr/sbin/sendmail -t
SMTP: localhost
smtp_port: 25
当我检查数据包过滤器时,它允许 lo0 上的任何东西去任何地方,当我运行命令时,我可以在 pftop 上看到它,但是当我从浏览器运行 mail() 时没有任何显示。
我已将 sendmail.ini 安装在与 chrooted sendmail 相同的目录中,这没有任何区别。
它开始看起来像 OpenBSD chrooted httpd 安装不完整,因为为了使用 php mail() 命令,有些东西完全丢失了,我担心它可能是 bash shell 和库,因为邮件从命令发送得很好线。这对我来说似乎不合时宜,因为 chroot 的目的是监禁黑客,并为被监禁的系统提供 bash shell 和库似乎有很多表面区域可以进行攻击。
我只是觉得这不是问题,因为否则,您还不如放弃 chroot 并在没有监狱的情况下运行它(看起来)。
有没有人看到我缺少的东西 - 如果没有,我在 shell 和库中进行复制,那么在不编写自定义包装器的情况下,最安全的方法是什么?