Apache modsslは、404の代わりに不要なランダムな200を返します。

tag-icon tag-icon apache-httpd ssl http-proxy https
Apache modsslは、404の代わりに不要なランダムな200を返します。

私は非常に単純なApache 2.4.7構成とCentOS 6.5 Linux上でアクティブなWebサーバーを持っています。 PHPやCGIはなく、いくつかの静的ページとプロキシが異なるサーバー層に渡されます。

セキュリティ検索を行っていましたが、ユーザー名が存在しない URL 形式で意図的に誤ったデータを送信しました。 405エラーが発生すると予想しました。

HTTP/1.1 405 メソッドは使用できません。
日付: 2015年2月27日金曜日 21:28:51 GMT
サーバー: Apache-Coyote/1.1
Xフレームオプション:SAMEORIGIN
許可:インポート、削除、公開、挿入
Xフレームオプション:SAMEORIGIN

これが私が90〜95%の時間にわたって得ることです。しかし、20〜30回の試みのうち約1回は200個の戻りコードを受け取り、ページは空です。

200 2015年2月27日:21:02:50
HTTP/1.1 200 確認
日付: 2015年2月27日金曜日 21:28:50 GMT
サーバー: Apache
Xフレームオプション:SAMEORIGIN
コンテンツの長さ: 1

これが単純な設定問題である場合、すべての呼び出しが3〜5%失敗するのではなく、失敗したり機能したりすることを期待します。

これはSSLポートでのみ表示され、httpポートも設定されています(公開されていませんが)、同じ問題は表示されません。エラーなしでhttpを介して何百もの呼び出しを送信できますが、httpsを介して50の呼び出しごとに少なくとも1〜2回呼び出しを受け取ります。

成功せずに試したいくつかのテストは次のとおりです。

ログには405または200が送信されたという事実だけが報告され、URLには顕著な違いはありません。または何か問題があります。

同じ問題であるローカルループバックを呼び出して、インバウンドファイアウォールの問題を排除します。

プロキシ接続を直接呼び出して、アウトバウンドロードバランサー関連の問題を排除します。このテストの理由は、この階層に〜username呼び出しを処理するエントリがなく、ワイルドカードProxypassでそれを無視して次の階層に渡すことができることです。次のサーバー層は完全に応答します。テストブラストで何百回も呼び出してもエラーはありません。

まったく同じ設定(AWS イメージが同じであるため、IP アドレスのみが異なる)の開発環境で同じテストをエラーなく試みたため、本番ボリュームでは問題になる可能性がありますが、あまり役に立ちません。現在、サーバーは毎秒平均5〜10回程度のヒット数を記録しており、短時間の訪問回数は最大25回まで可能です。 CPU負荷は0.00〜0.02で、使用可能なメモリは2Gまたは7G以上で、ディスクに問題はありません。

ここでは、設定ファイル全体を公開したくありませんが、VirtualHostの関連部分を読むのは非常に一般的です。 (無実の人を保護し、stackexchangeがリンクだと思うのを防ぐためにURLが変更されました)

聞く 443
SSLCipherSuite ***修正済み***
SSLHonorCipher注文
SSLSessionCache "shmcb:/opt/httpd/logs/ssl_scache(512000)"
SSLSessionCache タイムアウト 300
すべてのSSLプロトコル -SSLv2 -SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2
SSL圧縮オフ




SSLエンジンが有効
SSL証明書ファイル***修正済み***
SSLCertificateKeyFile ***修正***
SSLCertificateChainFile ***修正***

BrowserMatch "MSIE[2-5]"\
         nokeepalive SSL-ダーティオフ\
         ダウングレード-1.0強制応答-1.0
CustomLog "/opt/httpd/logs/ssl_request_log"\
          "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

 注文が拒否されました、許可されています
 すべて許可

SSLProxyEngineが有効


代理店パス/規約!
プロキシパス/静的!
エージェントパス/イメージ!
ProxyPass /terms_ccm!
ProxyPass /pay/ https://pay.ACME.COM/ Payment/
ProxyPassReverse/支払い/https://pay.ACME.COM/支払い/
ProxyPass/http://mbg.ACME.COM/mobgate/
ProxyPassReverse http://mbg.ACME.com/mobgate/

ベストアンサー1

おすすめ記事