Apache modssl은 404 대신 원하지 않는 임의의 200을 반환합니다.

tag-icon tag-icon apache-httpd ssl http-proxy https
Apache modssl은 404 대신 원하지 않는 임의의 200을 반환합니다.

나는 매우 간단한 Apache 2.4.7 구성과 CentOS 6.5 Linux에 활성 웹 서버를 가지고 있습니다. PHP나 CGI는 없으며 일부 정적 페이지와 프록시가 다른 서버 계층으로 전달됩니다.

보안 검색을 수행 중이었는데 사용자 이름이 존재하지 않는 URL 형식으로 의도적으로 잘못된 데이터를 보냈습니다. 405 오류가 발생할 것으로 예상했습니다.

HTTP/1.1 405 메소드는 허용되지 않습니다.
날짜: 2015년 2월 27일 금요일 21:28:51 GMT
서버: Apache-Coyote/1.1
X 프레임 옵션: SAMEORIGIN
허용됨: 가져오기, 삭제, 게시, 넣기
X 프레임 옵션: SAMEORIGIN

이것이 제가 90-95%의 시간 동안 얻는 것입니다. 하지만 20~30번의 시도 중 약 1번은 200개의 반환 코드를 받고 페이지가 비어 있습니다.

200 2015년 2월 27일:21:02:50
HTTP/1.1 200 확인
날짜: 2015년 2월 27일 금요일 21:28:50 GMT
서버: 아파치
X 프레임 옵션: SAMEORIGIN
콘텐츠 길이: 1

이것이 단순한 구성 문제라면 모든 호출이 3~5% 실패하는 것이 아니라 실패하거나 작동할 것으로 예상합니다.

SSL 포트에서만 이것을 볼 수 있으며 http 포트도 구성되어 있으며(공개적으로 공개되지는 않지만) 동일한 문제가 표시되지 않습니다. 오류 없이 http를 통해 수백 건의 호출을 보낼 수 있지만 https를 통해 50건의 호출마다 적어도 한두 번 호출을 받습니다.

성공하지 못한 채 시도한 일부 테스트는 다음과 같습니다.

로그에는 405 또는 200이 전송되었다는 사실만 보고될 뿐 URL에는 눈에 띄는 차이가 없습니다. 아니면 뭔가 문제가 있습니다.

동일한 문제인 로컬 루프백을 호출하여 인바운드 방화벽 문제를 제거합니다.

프록시 연결을 직접 호출하여 아웃바운드 로드 밸런서 관련 문제를 제거합니다. 이 테스트에 대한 이유는 이 계층에 ~username 호출을 처리할 항목이 없으며 와일드카드 Proxypass에서 이를 무시하고 다음 계층으로 전달될 수 있다는 것입니다. 다음 서버 계층은 완벽하게 응답합니다. 테스트 블래스트에서 수백 번의 호출을 해도 오류가 없습니다.

완전히 동일한 구성(AWS 이미지가 동일하므로 IP 주소만 다를 뿐)의 개발 환경에서 동일한 테스트를 오류 없이 시도했기 때문에 프로덕션 볼륨에서는 문제가 될 수 있지만 그다지 도움이 되지는 않습니다. 현재 서버는 초당 평균 5~10회 정도의 조회수를 기록하고 있으며, 짧은 시간 동안의 방문 횟수는 최대 25회까지 가능하다. CPU 로드는 0.00~0.02 이고 사용 가능한 메모리는 2G나 7G 이상이고 디스크 문제는 없습니다.

여기에 전체 구성 파일을 게시하고 싶지는 않지만 VirtualHost의 관련 부분을 읽는 것은 매우 일반적입니다. (무고한 사람을 보호하고 stackexchange가 링크라고 생각하는 것을 방지하기 위해 URL이 변경되었습니다)

들어봐 443
SSLCipherSuite ***수정됨***
SSLHonorCipher주문
SSLSessionCache "shmcb:/opt/httpd/logs/ssl_scache(512000)"
SSLSessionCache 시간 초과 300
모든 SSL 프로토콜 -SSLv2 -SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2
SSL 압축 꺼짐




SSL 엔진 활성화됨
SSL 인증서 파일 ***수정됨***
SSLCertificateKeyFile ***수정됨***
SSLCertificateChainFile ***수정됨***

BrowserMatch "MSIE[2-5]"\
         nokeepalive SSL-더티오프 \
         다운그레이드-1.0 강제응답-1.0
CustomLog "/opt/httpd/logs/ssl_request_log"\
          "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

 주문이 거부됨, 허용됨
 모두 허용

SSLProxyEngine 활성화됨


에이전시 패스/약관!
프록시 패스/정적!
에이전트 패스/이미지!
ProxyPass /terms_ccm!
ProxyPass /pay/ https://pay.ACME.COM/ Payment/
ProxyPassReverse/결제/https://pay.ACME.COM/결제/
ProxyPass/http://mbg.ACME.COM/mobgate/
ProxyPassReverse http://mbg.ACME.com/mobgate/

관련 정보