httpd 彙整 - 咖啡偶-IT日常

感謝"Linux技術手扎"對於apache http調校說明

2023-05-05 william 技術

長期以來，我「HTTP反向代理伺服器」只使用「Apache Http」，理由簡單：習慣了；然而，新興的代理伺服器總讓我有種「雖簡單卻很艱難」的感受，雖說採用新服務器是進步的象徵，但我考量自己管理的網站達數十個，非常在意網站穩定性，若貿然決定更換新「反向代理服務器」，則需要很大的勇氣，誰都無法知道被代理的服務器會不會水土不服，造成災難，因而作罷。

一般來說，apache httpd運作很穩定，沒事就不要動設定；但是我總是遇到代理服務器重啟很慢的問題，原本也沒有多想，訓練自己忍耐力XD，直到遇見"Linux技術手扎"，網站中有兩篇文章，對於apache http效能，防止阻斷攻擊(DoS)有詳細說明。我拜讀之後，受用不盡，因此也節錄下來，作為自己快速參考用。

1、解決apache http重啟慢問題

vi /usr/lib/systemd/system/httpd.service
[Service]
...
KillMode=none

systemctl daemon-reload

2、防止阻斷攻擊(Dos)

vi /etc/httpd/conf/httpd.conf
...
RequestReadTimeout header=20-40,MinRate=500 body=20,MinRate=500

systemctl restart http

想知道修改原因、運作原理，請參考網站。

Leave a comment apache, centos, docker, httpd, linux, security, ubuntu

很困擾的httpd反向代理與容器(container)之間的問題

2022-11-21 william 其他

httpd 反向代理很好用, 一個ip就能搞定無數個網站, 某種角度來看, 也兼具資安效果, 可以阻擋使用ip進行網站攻擊的效果.

可是很困擾的是, 當我每三個月需要 renew 免費的 let's encrypt 證書, 證書是renew成功了, 但是該檔案對應到容器的服務,有些並不會跟著改用新的證書, 就出問題了.

以mail server為例子, postfix與dovecot服務, 都會咬住舊版的證書, 而不使用新的, 重開mail server又要公告, 只能半夜偷偷重開, 真是困擾阿

Leave a comment apache, container, docker, dovecot, httpd, LetsEncrypt, linux, mail, podman, postfix, RockyLinux

Rocky Linux 安裝httpd 反向代理

2022-10-29 william 技術

真是被selinux搞死,但,咱們工程師, 就是要勇往直前

RL9 安裝httpd後, 若要啟用proxy , reverse 功能 , 目前我遇到要改兩點

修改httpd設定, 把心跳這一行mark起來
vi /etc/httpd/conf.modules.d/00-proxy.conf

#LoadModule lbmethod_heartbeat_module modules/mod_lbmethod_heartbeat.so

selinux 啟用連線功能

 sudo setsebool -P httpd_can_network_connect 1

Leave a comment centos, httpd, LetsEncrypt, linux, proxy, RockyLinux, security

wget 抓網站檔案,要注意檔名是否正常

2022-10-20 william 技術

有時候用抓檔案, 檔名卻是亂七八糟, 有時候又正常

原來是網站的某個設定造成的, 最後遇到網站檔案名稱亂碼, 乾脆用這招,

wget --content-disposition <https://xxx.xxx.xxx.xxx>

Leave a comment centos, httpd, linux, RockyLinux, ubuntu

apache httpd反向代理的妙用,QR code下載最新板

2022-05-18 william 技術

若需要製作QR Code 裡面放永久連結, 讓人家可以下載最新版本程式,

這時候可以使用 httpd 的反向代理, ,導到最新版本實際網址即可

 ProxyPass /getLatestFile https://x.x.x.x/download/1.7.apk

tomcat 8 預設welcome檔案所在目錄

2022-02-02 william 技術

在tomcat server裡, 程式專案預設放在 webapps 目錄底下, 假設專案為 guacamole.
程式會放在 webapps/guacamole , 網址則為 http(s)://x.x.x.x/guacamole

若想直接輸入 http(s)://x.x.x.x , 自動引導入到 http(s)://x.x.x.x/guacamole , 則必須在 webapps 建立ROOT目錄, 以及在ROOT目錄下, 建立 index.html , index.htm, 或 index.jsp 這三種任一種welcome 檔案.

docker 容器的酪梨醬(guacamole 1.4.0 版本), tomcat 設定檔案在 /home/guacamole/tomcat 底下, 請建立一個含以下內容的 tomcat/webapps/ROOT/index.html 檔案即可.

<!DOCTYPE html>
<html>
  <head>
    <meta http-equiv="refresh" content="0; url='https://x.x.x.x/guacamole'" />
  </head>
  <body>
    <p>Please follow <a href="https://x.x.x.x/guacamole">this link</a>.</p>
  </body>
</html>

Leave a comment apache, docker, guacamole, httpd

httpd reverse proxy 需要注意的設定

2020-01-31 william 技術

一般來說有些需要保護的web service,可以躲到httpd proxy背後, 好處如下:

比較安全, 尤其是老舊的web service,
統一由httpd proxy 保管SSL證書很方便

這些在背後的service 通常只要讓httpd proxy 知道該service本地端的ip&port 就能存取, 並且晉升https的行列,非常方便.
基本上調整如下:

 <VirtualHost *:443>
 ServerName  xxx.yyy.com
 ErrorLog /var/log/httpd/ssl_error_log1
 TransferLog /var/log/httpd/ssl_access_log1
 
 SSLEngine On
 SSLProxyEngine On
 SSLCertificateFile /etc/letsencrypt/live/xxx.yyy.com/cert.pem
 SSLCertificateKeyFile /etc/letsencrypt/live/xxx.yyy.com/privkey.pem
 SSLCACertificateFile /etc/letsencrypt/live/xxx.yyy.com/fullchain.pem
 

 ProxyPass / http://zzz.yyy.com.tw:80/
 ProxyPassReverse / http://zzz.yyy.com:80/
 </VirtualHost>

以上設定若是遇到網址是％2F, 通常都會出問題,
這是slash html encode的問題, apache預設不支援該編碼, 因此可以加上 AllowEncodeSlashes 與 nocanon

<VirtualHost *:443>
AllowEncodedSlashes on
ProxyPass / http://zzz.yyy.com.tw:80/ nocanon
ProxyPassReverse / http://zzz.yyy.com:80/ nocanon
</VirtualHost>

Leave a comment centos, httpd, LetsEncrypt, linux, proxy

使用docker安裝nextcloud

2019-11-06 william 技術

新版安裝方式請到這裡查看

-------------------以下是舊版安裝方式-------------------

建立volume
設定mariadb data
執行
設定trusted_domain

建立volume

 docker volume create nextcloud-www
 docker volume create nextcloud-app
 docker volume create nextcloud-config
 docker volume create nextcloud-data
 docker volume create nextcloud-theme

確認 mariadb 資料庫伺服器是否準備好

執行docker指令

docker run -d -p <對應的port>:80 -v nextcloud-www:/var/www/html -v nextcloud-app:/var/www/html/custom_apps -v nextcloud-config:/var/www/html/config -v nextcloud-data:/var/www/html/data -v nextcloud-theme:/var/www/html/themes/mycustom --link <docker資料庫名稱>:mysql -e MYSQL_DATABASE=nextcloud -e MYSQL_USER=root -e MYSQL_PASSWORD=<密碼> -e MYSQL_HOST=mysql --restart=always --name nextcloud nextcloud

若有apache或是nginx作為反向proxy, 將https帶到nextcloud, 需設定trust_domain(網站會提醒)

httpd設定

# for CalDav
RewriteEngine On 
RewriteRule ^/\.well-known/carddav https://%{SERVER_NAME}/remote.php/dav/ [R=301,L] RewriteRule ^/\.well-known/caldav https://%{SERVER_NAME}/remote.php/dav/ [R=301,L]

# form redirect
<VirtualHost *:80>
    ServerName <server name>
    Redirect permanent / https://<server name>/
</VirtualHost>

<VirtualHost *:443> 
  # form security
  <IfModule mod_headers.c>
    Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains"
  </IfModule>
</VirtualHost>

nextcloud config設定

若使用httpd proxy 的方式需要加入以下設定, 以免登入轉圈圈無法進入頁面, 修改 config.php 檔案

'overwritehost' => '<主機名稱>',
'overwriteprotocol' => 'https',

執行command

 docker exec --user www-data <CONTAINER_ID> php occ 
例入遇到上傳檔案失敗, 或是一些檔案錯誤可執行
docker exec --user www-data <container id> php occ files:scan --all

Leave a comment centos, cloud, docker, httpd, linux, nextcloud, proxy

docker環境建立須知

2018-03-27 william 技術

本篇文章提供建立docker環境時, 所需要的步驟以及注意事項!

往後本站使用docker安裝之相關教學文件, 亦以本篇為基礎建設文章.

安裝docke所建議之母體作業系統為 CentOS 7.x , 以及 apache httpd 2.4.x 網站反向代理伺服器!

(1) 10002_(CentOS)如何安裝docker套件.txt

(2) 10007_(CentOS)如何取得LetsEncrypt加密證書.txt

(3) 10004_(CentOS)apache httpd代理內部伺服器(proxy).txt

(4) 10012_(Docker)如何安裝mariadb資料庫.txt

One comment database, docker, httpd, LetsEncrypt, mariadb, mysql, proxy

Share this:

Share this:

Share this:

Share this:

Share this:

Share this:

Share this:

Share this:

Share this: