Jeff's questions

你如何让 Apache (2.4.52) 停止记录 AH10244 [core:error]？

[Sun Mar 13 05:23:47.884213 2022] [core:error] [pid 558:tid 140262206592768] [client 45.146.165.37:51872] AH10244: invalid URI path (/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh)
[Tue Mar 15 10:19:35.439128 2022] [core:error] [pid 14291:tid 140557854676736] [client 45.77.75.45:37640] AH10244: invalid URI path (/%)

这些日志消息是由命令行实用程序（wget、curl、lynx）请求 IP 地址或虚拟主机引起的，例如

http://10.0.0.100/%
http://example.org/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh // note: a common attack vector

到目前为止，我发现唯一可以工作的是LogLevel notice core:crit，但我仍然希望其他core:notice消息出现在我的日志中，因此该解决方案是行不通的。

答案很可能是，不可能。如果是这样，请留下一个答案让我知道。

通常在我的虚拟主机块中，我会这样做：

Define SITE example.com

SSLCertificateFile /path/to/${SITE}.crt
SSLCertificateKeyFile /path/to/${SITE}.key

我想知道是否可以在 Apache 中创建一个与我的文件名相对应的变量example.com.crtand example.com.key？

我认为不是，但值得要求整合我的虚拟主机块。

编辑我认为我需要的是SetEnvIf

为了方便起见，我试图将我所有的端口 80 虚拟主机合并到一个块中，但我正在努力解决最后一块难题。

所有端口 80 的虚拟主机都接受一个www和non-www连接到/.well-known/acme-challenge/. 所有其他请求 301 到https://example.com/ - 没有 www。

我想我需要%{HTTP_HOST}变成一个可以定义的变量减去可能的“www”，例如${SITE}。

或者也许有更好的方法？

这是我目前所处的位置：

<VirtualHost ${IP1}:80>
    Define SITE hmmm
    ServerName example-1.com
    ServerAlias www.example-1.com
    ServerAlias example-2.com
    ServerAlias www.example-2.com
    # And so on... 25 vhosts
    DocumentRoot /home/user/htdocs/${SITE}

    RewriteEngine on
    RewriteCond %{REQUEST_URI} !^/\.well\-known/acme\-challenge/
    RewriteRule ^ https://${SITE}%{REQUEST_URI} [NE,R=301,L]

    <Directory /home/user/htdocs/${SITE}>
        Options FollowSymLinks
        AllowOverride None
        Require all granted
    </Directory>
</VirtualHost>

这已经困扰了我一段时间，所以是时候问了。

当error_log服务器因SIGHUP. 这是描述该行为的链接：MySQL Server response to SIGHUP signals

我明白发生了什么，但不知道如何解决它。

我有一个脚本可以控制 mysqld 的启动/停止：/etc/init.d/mysql

这是init.d 脚本引用的源 mysql-helpers 文件。

我找不到 SIGHUP 来自哪里？或者它可能来自操作系统？Debian 10。

编辑

做service mysql restart或stop永远不会产生额外的日志条目，所以它可能与服务器重新启动|停止期间的关闭过程有关？我对 SIGHUP 的了解不足以确定我是否在正确的轨道上。

而不是添加protocols h2 http/1.1我的所有 45 个VirtualHost *:443块，我想知道是否有办法检查适当的条件，然后protocols根据它进行设置？我认为，但不是 100% 肯定，适当的测试应该是查看请求是否针对 https。不过，也许我应该测试端口？

这是我到目前为止所得到的，但它不起作用。

Define PROTOCOLS "http/1.1"

<If "%{HTTPS} == 'on'">
    Define PROTOCOLS "h2 http/1.1"
</If>

Protocols ${PROTOCOLS}

编辑

Protocols在目录上下文中不起作用。

编辑 2

我只是不认为这是可能的，因为如果该Protocols指令在全局范围内定义，则不能像这样动态修改。服务器已经解析了指令。设置好了。如我错了请纠正我。

我正在升级我的 Apache Web 服务器并想知道是否需要在 vhost 配置中声明一个 CA 文件？

我的虚拟主机设置是

SSLEngine on
SSLCertificateFile /home/user/ssl/${SITE}-cert.pem
SSLCertificateKeyFile /home/user/ssl/${SITE}-key.pem
SSLCertificateChainFile /home/user/ssl/${SITE}-ca.pem
#SSLCACertificateFile /home/user/ssl/${SITE}-ca.pem

默认情况下，Apache 仅附带SSLCertificateFile和SSLCertificateKeyFileactive。与 Debian 的软件包相同。这两个我都懂。

默认情况下，Apache 的源代码和 Debian 的软件包都禁用 和SSLCertificateChainFile。SSLCACertificateFile我以为我理解了这些，但现在不太确定。

我所有的网站都可以在CA禁用这两个指令的情况下正常工作。

但我错过了什么吗？禁用它们是否会导致我的服务器在后台提供 CA，例如来自系统的 /etc/ssl/certs？

Let's Encrypt 在续订期间提供他们的 CA 文件，所以我认为指定SSLCertificateChainFile.

难道这两个 CA 指令与从 Mozilla 获取的 cURL 的 CA-bundle 文件的目的相似吗？我可以SSLCACertificateFile 在我的服务器上指向它并收工吗？

据我了解，客户负责使用其自己的授权 CA 来验证网站的证书。我错了吗？

文档似乎没有提供任何见解：

SSLCertificateChainFile和 SSLCACertificateFile

我是 VPS 托管领域的新手，自从我安装 Debian 以来已经有一段时间了，7-Wheezy 是我的最后一个。

我看到在 SeaBIOS 的 GRUB 之后轮询 CD ROM 驱动器（见第一个屏幕截图）。

“在 GRUB 之后”我的意思是，在屏幕要求您选择要启动的操作系统之后（参见第二个屏幕截图）。

这是由 Debian (10) 还是由 VPS 托管公司 (Vultr) 完成的？

最让我困惑的是它在 GRUB 之后轮询 CD。我以为 GRUB 是在 BIOS 之后出现的。也许这是我不知道的VPS。

我想在启动时禁用 CD 轮询，只是不知道如何继续。

可能吗？

试图将我的脚本安全性转移到服务器级别。

使用 PHP，只需检查是否$_SERVER['HTTP_X_REQUESTED_WITH']设置为XMLHttpRequest（添加了 jQuery）。

我想也许一个更好的问题是，如何将X-Requested-With请求标头添加到可以使用 mod_rewrite 检查的变量中RewriteCond？

%{REQUEST_FILENAME}包含这样的字符串：

/web/webroot/index.php

我看到很多人建议测试一个文件是否存在并且具有这样的 .php 扩展名：

RewriteCond %{REQUEST_FILENAME}.php -f

.php后面不是%{REQUEST_FILENAME}多余的吗？变量应该已经包含.php，对吧？

似乎添加.phpafter%{REQUEST_FILENAME}会使 TestString 检查添加一个额外的 .php，如下所示：

/web/webroot/index.php.php

我错过了一些简单的东西，我很确定，但我只是不知道它是什么。

上下文是这样的：

RewriteCond %{THE_REQUEST} ^.*?\.php [NC]
RewriteRule ^ - [R=404,NE,L]

RewriteCond %{REQUEST_FILENAME}.php -f
RewriteRule ^ %{REQUEST_FILENAME}.php [L]

使用 vhosts 和 PHP 7.2.34 运行 Apache 2.4.6，发现了一个奇怪的问题。

我的虚拟主机上的有效 URL，例如http://example.com/exists.php也可以用斜杠提供；例如http://example.com/exists.php/。

仅当提供的文件以.php.html、.txt 等结尾时才会出现这种情况。

没有影响 vhost 的 mod_rewrite 规则。我的 php.ini 看起来不错。

有任何想法吗？正常行为？

我注意到我可能需要通过以下方式调整我的 Postfix 配置，以解决来自一个发件人的邮件传递问题：

# vim /etc/postfix/main.cf

+ header_checks = regexp:/etc/postfix/header_checks

# vim /etc/postfix/header_checks // NEW FILE

+ /^Delivered-To: .*/ IGNORE

# postmap /etc/postfix/header_checks
# service postfix restart

我对倒车感到不舒服的部分是postmap命令。

如果它不能解决我的问题，目前的计划是header_checks从 main.cf 中删除该行并重新启动 Postfix。听起来对吗？

我的服务器已经像冠军一样运行了 4 年多，我讨厌在不必要的时候弄乱它。不幸的是，现在它是必要的。

您是否发现有必要每 1-6 个月重新生成一次 DKIM 密钥以避免您的邮件进入接收服务器的垃圾邮件文件夹？

一些指南建议这样做，有些甚至说这样做是“最佳实践”，但大多数其他指南根本没有提及。显然这样做是最佳实践，但您的真实世界经验是什么？

刚刚对我的旧 Debian 7 Postfix 服务器进行了现代化改造，以包括 DKIM + DMARC (+ SPF)，并且想知道我是否应该进行持续维护以重新生成密钥。

大多数人在做什么？你的真实世界经历是什么？您是否注意到旧密钥是您的邮件被发送到垃圾文件夹的原因？

我是一个小批量发件人，每天可能有 5-10 封电子邮件通过我的服务器发送。

我有几个要添加Strict-Transport-Security标头的基于 IP 的虚拟主机。我正在使用 Apache 2.4 自定义编译。

目前我<VirtualHost>为每个域有两个容器，如下所示：

<VirtualHost ${IP3}:80>
    ...
    <IfModule rewrite_module>
        RewriteEngine On
        RewriteCond %{HTTPS} off [OR]
        RewriteCond %{HTTP_HOST} !^www\. [NC]
        RewriteRule .* https://www.${SITE}%{REQUEST_URI} [NE,R=301,L]
    </IfModule>
    ...
</VirtualHost>

<VirtualHost ${IP3}:443>
    ...
</VirtualHost>

第一个 VirtualHost 对非 ssl 和非 www 请求执行简单的 mod_rewrite，将所有请求重定向到第二个 VirtualHost。简单的。

问题 1

我应该在第一个 VirtualHost 容器 (:80)、第二个 (:443) 还是两者中设置我的 mod_headers 内容？

问题2

我的 mod_headers 内容应该在 mod_rewrite 内容之前还是之后？

问题 3

我应该将Strict-Transport-Security标题应用到所有文件，还是只应用 .htm、.html 和 .php 文件？（我有一个 FilesMatch 指令设置为某些标头的限定符）

我的最佳猜测答案

在进行任何测试之前，我最好的猜测答案是：

Q1。将 mod_headers 内容添加到两个VirtualHost 容器中。

Q2。mod_headers 的东西应该在mod_rewrite 的东西之前。

Q3。是的，只有您服务的那些 web 文件类型需要Strict-Transport-Security. 无需将其添加到 .gifs、.pngs、.svgs、.css、.js 等。

编辑：我看到 stackexchange 也将它们添加到他们的 robots.txt 文件中。

谢谢。

是否有指令将没有索引文件的目录列表显式设置为 403 Forbidden？默认行为返回 404，因为mod_dir找不到索引文件。

我没有加载mod_autoindex并Options设置为FollowSymLinks. 我试过-Indexes了，但仍然返回 404。

<IfModule dir_module>
    DirectoryIndex index.php index.html index.htm
    DirectorySlash On
</IfModule>

<Directory /var/www>
    Options FollowSymLinks
    AllowOverride None
    Require all granted
</Directory>

没关系，但我使用的是 Apache 2.4。

ApacheDirectory指令是否应该与 DocumentRoot 相关？我在 VirtualHost 的上下文中问，但它不应该有任何区别。

换句话说，它应该是：

<VirtualHost>
    DocumentRoot /var/www
    <Directory /var/www>
    ...

或者

<VirtualHost>
    DocumentRoot /var/www
    <Directory />
    ...

两者都有效。Apache Directory文档说：

Directory-path 是目录的完整路径，或者是通配符字符串...

...但随后他们展示了两个与“完整路径”声明相矛盾的示例。

ED：Apache Performance Tuning 页面上的FollowSymLinks 和 SymLinksIfOwnerMatch以及AllowOverride部分也有矛盾的例子。

为了好玩，我查看了 Debian 的默认 vhost 设置，发现：

<VirtualHost *:80>
    DocumentRoot /var/www
    <Directory />
        Options FollowSymLinks
        AllowOverride None
    </Directory>

    <Directory /var/www/>
        Options Indexes FollowSymLinks MultiViews
        AllowOverride None
        Order allow,deny
        allow from all
    </Directory>
    ...

我希望这个标题是清楚的。

如何防止对未启用 ssl 的虚拟主机的 HTTPS 请求转到第一个启用 ssl 的虚拟主机（设置为 Apache-SNI）。

例如，使用下面我的缩写配置，https://example.comApache 在启用 ssl 的 vhost 上为（非 ssl vhost）的请求提供服务https://example.org。我想禁用该行为并可能使用适当的 HTTP 响应代码进行回复（不确定那是什么）。

这甚至可能是不可能的，但我想我会问。

# I actually have a SNI setup, but it's not demonstrated here.
# I don't think it's relevant in this situation.

NameVirtualHost *:80
NameVirtualHost *:443

<VirtualHost *:80>
    ServerName example.org
</VirtualHost>

<VirtualHost *:443>
    ServerName example.org
</VirtualHost>

<VirtualHost *:80>
    ServerName example.com
</VirtualHost>

编辑：也许是第一个 ssl-vhost 中的 mod_rewrite 规则？

这个问题专门关于 Apache（在我的情况下为 2.2）在提供默认内部页面时使用的字符集。例如，mod_autoindex目录列表、未找到的ErrorDocument页面、500-Internal Error 页面等。

Apache 目前用于这些内置页面的字符集是 iso-8859-1（见截图）。

这是我的相关 Apache 设置：

# apache2.conf:

AddDefaultCharset utf-8

我的操作系统是 Debian 7，我使用的是默认的 prefork 二进制文件。我在想这些页面上的字符集可能无法更改。或者也许有一个影响默认字符集的编译时选项？

在我的（特定于 Debian 的）/etc/apache2/envvars 中，我获取了我的默认语言环境：

$ cat /etc/apache2/envvars
. /etc/default/locale

$ cat /etc/default/locale
LANG="en_US.UTF-8

$ env | grep LANG
LANG=en_US.UTF-8

使用mod_headers修改 Content-Type 标头对 Apache 的默认内部页面没有影响。

我的目标是在多个 IP 地址上拥有多个 SSL 站点，但我正在为 Apache 设置而苦苦挣扎：

// I want this:
http + https example.com
http + https example.net

// On these IPs:
http example.com 1.1.1.1:80
http example.net 1.1.1.1:80
https example.com 2.2.2.2:443
https example.net 3.3.3.3:443

请注意，所有 4 个站点的 DocumentRoot 都不同。

在我当前的 Apache 设置中，当客户端访问https://example.com时，Apache 提供 1.1.1.1（连接被拒绝，假设：443）而不是 2.2.2.2:443。https://example.net（而不是 3.3.3.3:443）也是如此。我认为这是因为我的 DNS 记录@并www指向 1.1.1.1。非 SSL 1.1.1.1 基于名称的虚拟主机工作正常。

我不确定这是否是Apache 的行为。所以我的问题的核心是， “这是预期的 Apache 行为吗？如果是这样，有人可以给我一个例子，说明在这种情况下 IP 应该如何看待？http 和 https example.com 应该都在一个 IP 上而不是我分裂他们就这样起来？”

我的 httpd.conf 现在是这样的：

# http example.com and http example.net:
Listen 1.1.1.1:80
# https example.com:
Listen 2.2.2.2:443
# https example.net:
Listen 3.3.3.3:443

NameVirtualHost *:80

<VirtualHost *:80>
    ServerName example.com
    DocumentRoot /var/www/example.com
</VirtualHost>

<VirtualHost *:80>
    ServerName example.net
    DocumentRoot /var/www/example.net
</VirtualHost>

<VirtualHost 2.2.2.2:443>
    SSLEngine on
    ServerName example.com
    DocumentRoot /var/www/example.com-ssl
</VirtualHost>

<VirtualHost 3.3.3.3:443>
    SSLEngine on
    ServerName example.net
    DocumentRoot /var/www/example.net-ssl
</VirtualHost>

编辑：我所做的每一次谷歌搜索都会返回大量的SNI 指南（一个 IP 上的多个 SSL 虚拟主机，这不是我想要的。

我刚刚在我的系统日志中注意到这个奇怪的警告：

postfix/smtpd[26261]: warning: hostname localhost does not resolve to
    address 113.167.250.138

...然后紧随其后的是：

postfix/smtpd[26261]: connect from unknown[113.167.250.138]
postfix/smtpd[26261]: NOQUEUE: reject: RCPT from unknown[113.167.250.138]:
    550 5.1.1 <[email protected]>: Recipient address rejected: User
    unknown; from=<[email protected]>
    to=<[email protected]> proto=ESMTP helo=<localhost>
postfix/smtpd[26261]: disconnect from unknown[113.167.250.138]

所以我决定从另一台win机器上做一个跟踪路由，并将远程IP解析为机器的主机名：

> tracert 113.167.250.138

Tracing route to MYHOSTNAME [113.167.250.138] over a maximum of 30 hops:

  1  MYHOSTNAME [113.167.250.138]
  2  [2-5 removed]
  6  ix-8-0-3-0.tcore1.CT8-Chicago.as6453.net [x.x.x.x]
  7  if-22-2.tcore2.CT8-Chicago.as6453.net [x.x.x.x]
  8  if-11-3.tcore2.PDI-PaloAlto.as6453.net [x.x.x.x]
  9  if-22-2.tcore2.LVW-LosAngeles.as6453.net [x.x.x.x]
 10  if-10-0-0-5.mcore5.LAA-LosAngeles.as6453.net [x.x.x.x]
 11  Request timed out.
 12  Request timed out.
 13  vdc.vn [123.29.5.170]
 14  vdc.vn [123.29.6.238]
 15  MYHOSTNAME [113.167.250.138]

显然，这是一个垃圾邮件发送者试图向我服务器上的本地帐户发送邮件，但是我的两台机器如何将该 IP 地址解析为 localhost/MYHOSTNAME？

编辑 1：我将在今天晚些时候从这个问题中删除垃圾邮件发送者的（明显）IP。

编辑 2：任何人都可以查看编辑历史记录，所以我认为删除垃圾邮件发送者的 IP 地址没有任何好处。模组，我认为如果您想永久删除 IP 将是一个好主意。

如何从 /var/log/syslog (rsyslog.conf/Debian) 过滤 mail.info，同时保持消息大于或等于 mail.warn？

我已经尝试了几乎所有不同的附加和前置不同组合的变体mail, mail.info, mail.!info, mail.*, mail.warn, mail.!warn，但显然文档比我更聪明。

目前我在这，但唉，她是不行的：

*.*;auth,authpriv.none;mail.warn,mail.!info -/var/log/syslog

编辑：我很难理解分号分隔符以及它如何“限制”以前的条目。