Engintron suporte a ssl (https)

[msaulohenrique]

Lançaram atualização ontem 01/03 e hoje.

[RobertSP]

open_basedir não impede mass deface, impede lammers script kiddie, não vou entrar na discussão mas é um fato

open_basedir infelizmente impede sim a execução de muitos sistemas, basta dar um google

[Fernando Rafs]

6 horas atrás, RobertSP disse:

open_basedir não impede mass deface, impede lammers script kiddie, não vou entrar na discussão mas é um fato

open_basedir infelizmente impede sim a execução de muitos sistemas, basta dar um google

@RobertSP Desculpe, mas não entrei anteriormente no mérito do que ele impede ou não e nem que esta proteção impede a execução de outros plugins/aplicações, uma vez que estamos tratando de um apenas e nem o que ele protege (isto eu sei), este não é o mérito da questão, disse apenas que eu não desabilitaria uma camada de segurança existente, e que configurada corretamente, ajuda na proteção, aliada a outras camadas de segurança, e continuo com esta posição.

Neste caso, falo por mim, que eu nunca utilizei e nem utilizo plugins que necessitam desta proteção desabilitada (até a nova versão do Engintron), também não disse que não existe outros plugins que necessitam desta proteção desabilitada. Quando falo, falo pelas minhas configurações/experiências e dos plugins que utilizo ou já utilizei. Como havia dito, o desenvolvedor passou a exigir agora este requerimento.

Se uma pessoa/admin necessita utilizar Nginx e para isto necessita desabilitar a proteção open_basedir ou qualquer outra que seja, perfeito, a pessoa deve entender o que estava fazendo para optar por isto (principalmente se tratando de ambiente compartilhado). Em meu caso vejo mais benefício em não desabilitar, por conta de um plugin que atualmente enfrenta muitos problemas, alguns pontuais, que para quem possui experiência no Nginx saberá como corrigir sozinho, outros não pontuais, que o desenvolvedor está tropeçando na correção.

Nota: Não estou discutindo o que o open_basedir protege, bloqueia, etc, apenas que para mim é importante (até aqui), como deve ser importante para muitos outros, já para outros atrapalha a execução de determinado plugin/aplicação de suma importância, então cada um deve avaliar e determinar o que é ou não mais importante plugin/aplicação vs segurança.

[Jean Moura]

Vou aguardar corrigirem todos os problemas para atualizar!

[Fernando Rafs]

Pessoal!

Alguém que esteja utilizando o Engintron (última versão) pode fornecer alguma informação, se está funcionando corretamente (incluindo com HTTPS e em servidores com alto tráfego/contas compartilhadas) ou se ainda apresenta muitos problemas?

Valeu...

[Jorge Marcelino]

@Guto Atualizei faz alguns dias em um servidor de grande tráfego, até agora ok! Também coloquei no servidor do site principal aqui ontem, usamos SSL no site e central do cliente. Estamos monitorando pra verificar se tudo ocorre bem como esperado!

[Fernando Rafs]

2 horas atrás, Jorge Marcelino disse:

@Guto Atualizei faz alguns dias em um servidor de grande tráfego, até agora ok! Também coloquei no servidor do site principal aqui ontem, usamos SSL no site e central do cliente. Estamos monitorando pra verificar se tudo ocorre bem como esperado!

Valeu @Jorge Marcelino pelo feedback. Instalei novamente em um servidor, e às 04:00hs (agora pouco) o Nginx ficou Offline sem qualquer razão e não voltou, tive que reiniciar manualmente pelo plugin, aparentemente o mesmo problema já relatado no site do projeto. O restante parece estar Ok.

- https://github.com/engintron/engintron/issues/497

- https://github.com/engintron/engintron/issues/495

- https://github.com/engintron/engintron/issues/494

O fevangelou ainda não respondeu nenhum destes tópicos, vou manter o Engintron, mas continuarei analisando e aguardando um posicionamento do desenvolvedor a respeito.

[Jorge Marcelino]

@Guto As 4 e pouco não está rodando atualização do cPanel? Verifica isso no cron e me diz aqui.

[Fernando Rafs]

 As 4 e pouco não está rodando atualização do cPanel? Verifica isso no cron e me diz aqui.

Então, as atualizações são às 5.

 

[Fernando Rafs]

Alguém teve ou está tendo o famoso problema na geração de relatórios no Awstats ao utilizar Nginx? Se sim, conseguiu resolver o problema?

Quando se verifica o Apache Status, mostra corretamente o IP do visitante.

O problema está nos logs gerados, por exemplo "Latest Visitor/Últimos Visitantes" disponível no cPanel mostra o IP do servidor ao invés do IP do visitante, e com isto o Awstats não gera corretamente os relatórios.

Clientes que deveriam ter por exemplo 1.000 visitas no dia, agora passaram a ter 5, devido ao IP do servidor estar sendo registrado nos logs, e não o IP real.

Já tentei vários opções, e a única que resolveu foi alterado o Log Format no httpd.conf para:

LogFormat "%a %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%a %l %u %t \"%r\" %>s %b" common

Porém mesmo aplicando o Distiller no httpd.conf, ele não está gravando as configurações, ao dar um rebuild, voltam as configurações padrões.

E este problema, pode dar outra dor de cabeça ao precisar verificar os logs, por exemplo, caso necessite verificar um log para identificar algum invasor, no log estará o IP do servidor e não do invasor.

Algum conselho?

Nota: O módulo remoteip está instalado corretamente e com os IPs do servidor adicionados. Estou com problemas em servidores que antes rodavam apache 2.2 com módulo rpaf e funcionava normalmente. Após atualizar para o apache 2.4 com módulo remoteip começou a dar este problema.