David's questions

我很可能只需要一个正确方向的提示。

我有一个使用 gunicorn 和 nginx 运行 Django 应用程序的 docker 容器。此 Django 应用程序当前正在从 .env 文件中获取其环境变量。

FROM python:alpine
EXPOSE 8000

RUN apk update
RUN apk add --no-cache git gcc musl-dev libffi-dev libxml2-dev libxslt-dev gcc swig g++
RUN apk add --no-cache jpeg-dev zlib-dev freetype-dev lcms2-dev openjpeg-dev tiff-  dev tk-dev tcl-dev
RUN apk add --no-cache bash ffmpeg libmagic
RUN python3 -m pip install --upgrade pip
RUN python3 -m pip install --upgrade setuptools

RUN mkdir /opt/app
WORKDIR /opt/app
COPY . .
RUN python3 -m pip install /root/d12f/

RUN pip3 install -r requirements.txt
RUN pip3 install gunicorn
CMD sh -c 'gunicorn --conf python:app.gunicorn_conf app.wsgi --bind 0.0.0.0:8000 --reload --log-level info --access-logfile - --timeout 360 --error-logfile -'

当然，repo 中没有 .env 文件，因为这会带来安全风险。

Docker 映像由 github 创建并存储在私有 GitHub 包中。稍后，这个 docker 镜像被用于在 Kubernetes 上运行。

我正在尝试找到将 .env 文件放入的最佳解决方案

/opt/app/app/.env

作为本地文件。

如果可能的话，我宁愿不使用全局环境变量。

感谢您的任何建议。

我目前正在努力解决我的 qmail 设置中的一个问题，这似乎每次都会延迟我的 smtp 接收器 66 秒。这对于大多数远程主机来说都很好，但有些似乎达到了超时并且不传递邮件。

我正在使用 jgreylist 运行 qmail，并且延迟似乎发生在初始连接和 jgreylist 之间。

2018-08-16 08:13:18.143940500 tcpserver: status: 2/30
2018-08-16 08:13:18.144214500 tcpserver: pid 989 from 209.85.213.41
2018-08-16 08:13:18.145110500 tcpserver: ok 989    
mail.klement.com:138.201.24.116:25 mail-vk0-f41.google.com:209.85.213.41::36018
2018-08-16 08:14:24.394795500 jgreylist[989]: 209.85.213.41: OK known
2018-08-16 08:14:25.026792500 qmail-smtpd[989]: MFCHECK pass [209.85.213.41] gmail.com
2018-08-16 08:14:25.028190500 qmail-smtpd[989]: Received-SPF: pass (mail.klm.com: SPF record at _netblocks.google.com designates 209.85.213.41 as permitted sender)
2018-08-16 08:14:25.028369500 qmail-smtpd[989]: MAIL FROM:<[email protected]>
2018-08-16 08:14:25.028566500 qmail-smtpd[989]: RCPT TO:<[email protected]>
2018-08-16 08:14:25.028718500 qmail-smtpd[989]: validrcptto [209.85.213.41] trying: [email protected]
2018-08-16 08:14:25.028880500 qmail-smtpd[989]: validrcptto [209.85.213.41] found: [email protected]
2018-08-16 08:14:25.485688500 tcpserver: end 989 status 0

我在配置中没有任何延迟设置。

这是我的价值观：

JGREYLIST_NOREV=1
JGREYLIST_BY_IP=0
JGREYLIST_HOLDTIME=120
JGREYLIST_LOG=1
JGREYLIST_LOG_PID=1
JGREYLIST_LOG_SMTP=0
JGREYLIST_TIMEOUT=120
JGREYLIST_LIMIT=0

SMTPGREETING="$LOCAL NO UCE"
SMTPD_GREETDELAY=0
#GREETDELAY=5
#DROP_PRE_GREET=1
DENY_TLS=0
MFCHECK=3

我像这样启动 tcpserver。

tcpserver -vR -l mail.klm.com -c 30 -u 162 -g 161 -x /var/qmail/service/smtpd-receiver/tcp.cdb 128.111.xxx.xxx 25 rblsmtpd -t0 -r ix.dnsbl.manitu.net -r zen.spamhaus.org -r dnsbl.njabl.org -r bl.spamcop.net jgreylist /var/qmail/bin/qmail-smtpd

一切加快速度的东西都更受欢迎。

我刚刚将我在 Ubuntu 上的 NGINX 服务器更新到了最新的官方版本 1.9.15。

从那时起，我使用了很长一段时间的配置停止工作。简而言之，我将所有流量重定向到 https，除了一个页面，例如 /mypage/，由于外部资源，该页面需要通过 http 访问。

这就是我的配置的样子。

server {

  listen 12.34.56.78:80;

  server_name www.myside.com;
  root /home/myside.com/public_html;
  index index.php;

  location ~ \.php$ {
    include fastcgi.conf;
    fastcgi_intercept_errors on;
    fastcgi_pass php;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
  }

  location / {
    return 301 https://www.myside.com$request_uri;
    try_files $uri $uri/ /index.php?$args;
  }

      # but no redirect for this particular location:
  location /mypage/ {
    try_files $uri $uri/ /index.php?$args;
  }

}

server {

  listen 12.34.56.78:443 ssl http2 default_server;

  ssl on;
  ssl_certificate /etc/nginx/ssl/myside.com/cert.pem;
  ssl_certificate_key /etc/nginx/ssl/myside.com/privkey.pem;

  server_name www.myside.com myside.com;
  root /home/myside.com/public_html;
  index index.php;

  location / {
    try_files $uri $uri/ /index.php?$args;
  }

  location ~ \.php$ {
    include fastcgi.conf;
    fastcgi_intercept_errors on;
    fastcgi_pass php;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
  }

  location /mypage/ {
    return 301 http://$server_name$request_uri;
    try_files $uri $uri/ /index.php?$args;
  }

}

不幸的是，它现在正在循环 http -> https -> http -> https 等等。

我目前正在尝试保护我的 qmail 安装和 SMTP 连接。

编译标准 UCSPI SSL 时，默认启用所有支持的密码。这会导致 POODLE、heartblead 和其他 SSL 问题。

我使用以下值设置了一个名为 CIPHERS 的环境变量。

CIPHERS=ALL:!LOW:!SSLv2:!EXP:!aNULL:!eNULL!3DES:!MD5:!EXP:!CBC:!PSK:!SRP:!DSS:!RC4

除了负责 POODLE 的 SSLv3 之外，这会禁用大多数“不太好”的东西。

我设置的第二个

CIPHERS=ALL:!LOW:!SSLv2: !SSLv3: !EXP:!aNULL:!eNULL!3DES:!MD5:!EXP:!CBC:!PSK:!SRP:!DSS:!RC4

服务器停止工作。

对于我可能应该在顶部禁用的密码，也欢迎任何建议。

这听起来可能有点奇怪，但我尝试使用命令行而不是编辑器在 Ubuntu 中永久设置 IP 地址。

我的想法是提供服务器，只需输入一次 IP 地址，脚本就会处理这个问题。

我只是无法想象那里没有任何东西可以写

ifconfig eth1 10.1.1.1 netmask 255.255.255.0 up