[sisyphus] Q: apache and reverse proxy

[sisyphus] Q: apache and reverse proxy

[Leonid Shalupov]

Hi!

В 1.3.32 полностью сломали reverse proxy.
В 1.3.33 вернули обратно.
См. http://nagoya.apache.org/bugzilla/show_bug.cgi?id=14518

Вешать багу?
Будет update для Master'a?

--
Live long and prosper,
Leonid Shalupov.

[sisyphus] Re: Q: apache and reverse proxy

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 470 bytes --]

On Tue, Nov 02, 2004 at 06:44:01PM +0300, Leonid Shalupov wrote:
> В 1.3.32 полностью сломали reverse proxy.
> В 1.3.33 вернули обратно.
> См. http://nagoya.apache.org/bugzilla/show_bug.cgi?id=14518
> Вешать багу?

Можно.

> Будет update для Master'a?

Да.  Собственно, решалось, фиксить ли там ещё одну непочиненную в
.33 известную проблему (с htpasswd).

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[sisyphus] Re: Q: apache and reverse proxy

[Leonid Shalupov]

On Tue, Nov 02, 2004 at 08:26:15PM +0200, Michael Shigorin wrote:
> > В 1.3.32 полностью сломали reverse proxy.
> > В 1.3.33 вернули обратно.
> > См. http://nagoya.apache.org/bugzilla/show_bug.cgi?id=14518
> > Вешать багу?
> Можно.
#5435

--
Live long and prosper,
Leonid Shalupov.

[sisyphus] Re: Q: apache and reverse proxy

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 1619 bytes --]

On Tue, Nov 02, 2004 at 10:09:16PM +0300, Leonid Shalupov wrote:
> > > См. http://nagoya.apache.org/bugzilla/show_bug.cgi?id=14518
> > Можно.
> #5435

Значтак.  Собрал apache-1.3.33rusPL30.20-alt1 и mod_ssl к нему,
после тестирования на localhost и в округе оно уходит в incoming.

Если не затруднит -- перед рекомендацией в errata проверьте, что
нужное починилось и что другое не отвалилось:

* Tue Nov 02 2004 Michael Shigorin <mike@altlinux.ru> 1.3.33rusPL30.20-alt1

- 1.3.33 (minor security fixes)
- security fixes officially released (patch93 removed)
- reverse proxy functionality restored (broken in 1.3.32 -- #5435);
  thanks to Leonid Shalupov <ls ls9707 spb edu> for alerting
- added htpasswd patch by Larry Cashdollar <lwc vapid ath cx>
  (unchecked buffer operations; not much of an issue though)

PS: по поводу mod_ssl: "плавающий" молчаливый отвал httpd при
рестарте после обновления оного, похоже, как-то связан с
выпадением apache при service httpd stop (часть restart):

[warn] pid file /var/run/httpd.pid overwritten -- Unclean shutdown of previous Apache run?

Ссылки, которые нагуглились по 
mod_ssl  'Unclean shutdown of previous Apache run',

http://www.lexa.ru/apache-talk/msg08561.html
http://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=78019
http://archive.apache.org/gnats/4597

кивают на mod_ssl (в FAQ которого проблемы не заметно).

Если кто поможет разобраться и починить -- с меня и, видимо,
bloodmary пиво или более благородные напитки на выбор.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] Re: Q: apache and reverse proxy

[Dmitry Alexeyev]

> PS: по поводу mod_ssl: "плавающий" молчаливый отвал httpd при
> рестарте после обновления оного, похоже, как-то связан с
> выпадением apache при service httpd stop (часть restart):

Я думаю, что тут всё крайне просто. 

При выполнении service httpd stop Apache не всегда выгружает дочерние 
процессы, они все дружно или поодиночке, остаются в памяти. 

Попробуйте сделать: 

watch --interval=1 service httpd restart

на другой консоли tail -f /var/log/httpd/error

Где-то на 15-20й итерации в логе появится сообщение: 

[crit] (98)Address already in use: make_sock: could not bind to port 443

У меня это сейчас получается не зависимо от того, идут запросы к апачу 
или нет. 

Теперь делаем ps aux и видим: 
apache   12139  0.0  1.8 76948 7268 ?        S    04:08   
0:00 /usr/sbin/httpd

При этом pid файлы и прочая уже очищены, т.е. это runaway процесс (хотя 
он работает корректно)

При обновлении разделяемая библиотека остаётся в памяти, а новый процесс 
пытается ею воспользоваться. Вероятно, неудачно. 

Решение: не верить апачу и делать killall -9 libhttpd.ep при обновлении. 

WBR
Dmitry

[sisyphus] Re: Q: apache and reverse proxy

[Michael Shigorin]

On Fri, Nov 05, 2004 at 04:22:08AM +0300, Dmitry Alexeyev wrote:
> Решение: не верить апачу и делать killall -9 libhttpd.ep при
> обновлении. 

Видите ли... думал врисовать нечто подобное в инитскрипт по части
stop(), но по результатам обсуждения с ldv@ вроде как решили
покрутить start-stop-daemon.  Вероятно, я не повесил багу...

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [sisyphus] Re: Q: apache and reverse proxy

[Dmitry Alexeyev]

On Friday 05 November 2004 22:26, Michael Shigorin wrote:
> On Fri, Nov 05, 2004 at 04:22:08AM +0300, Dmitry Alexeyev wrote:
> > Решение: не верить апачу и делать killall -9 libhttpd.ep при
> > обновлении.
>
> Видите ли... думал врисовать нечто подобное в инитскрипт по части
> stop(), но по результатам обсуждения с ldv@ вроде как решили
> покрутить start-stop-daemon.  Вероятно, я не повесил багу...

Хммм... я бы сказал, что велика вероятность того, что не там копаете. 
IMHO это проблема апача, что дочерние процессы не хотят завершаться, 
видимо игнорируют сигналы? 

WBR
Dmitry

[sisyphus] Re: Q: apache and reverse proxy

[Michael Shigorin]

On Fri, Nov 05, 2004 at 10:32:59PM +0300, Dmitry Alexeyev wrote:
> > > Решение: не верить апачу и делать killall -9 libhttpd.ep
> > > при обновлении.
> > Видите ли... думал врисовать нечто подобное в инитскрипт по
> > части stop(), но по результатам обсуждения с ldv@ вроде как
> > решили покрутить start-stop-daemon.  Вероятно, я не повесил
> > багу...
> Хммм... я бы сказал, что велика вероятность того, что не там
> копаете.  IMHO это проблема апача, что дочерние процессы не
> хотят завершаться, видимо игнорируют сигналы? 

Ровно так и думаю, но пока изучение матчасти путём гугленья
приводит ровно к таким же невнятным подозрениям.  А не к багам и
патчам.

Потому и пошёл думать про инженерныые варианты решения, но там
есть проблема -- запущенный сбоку apache так тоже пришибёт.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [sisyphus] Re: Q: apache and reverse proxy

[Dmitry Alexeyev]

On Friday 05 November 2004 22:36, Michael Shigorin wrote:
> On Fri, Nov 05, 2004 at 10:32:59PM +0300, Dmitry Alexeyev wrote:
> > > > Решение: не верить апачу и делать killall -9 libhttpd.ep
> > > > при обновлении.
> > >
> > > Видите ли... думал врисовать нечто подобное в инитскрипт по
> > > части stop(), но по результатам обсуждения с ldv@ вроде как
> > > решили покрутить start-stop-daemon.  Вероятно, я не повесил
> > > багу...
> >
> > Хммм... я бы сказал, что велика вероятность того, что не там
> > копаете.  IMHO это проблема апача, что дочерние процессы не
> > хотят завершаться, видимо игнорируют сигналы?
>
> Ровно так и думаю, но пока изучение матчасти путём гугленья
> приводит ровно к таким же невнятным подозрениям.  А не к багам и
> патчам.
>
> Потому и пошёл думать про инженерныые варианты решения, но там
> есть проблема -- запущенный сбоку apache так тоже пришибёт.

 pstree -p
?
WBR
Dmitry

[sisyphus] Re: Q: apache and reverse proxy

[Michael Shigorin]

On Fri, Nov 05, 2004 at 10:48:28PM +0300, Dmitry Alexeyev wrote:
> > Потому и пошёл думать про инженерныые варианты решения, но
> > там есть проблема -- запущенный сбоку apache так тоже
> > пришибёт.
> pstree -p ?

И парсить, парсить, парсить?..

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [sisyphus] Re: Q: apache and reverse proxy

[Dmitry Alexeyev]

On Friday 05 November 2004 23:21, Michael Shigorin wrote:
> On Fri, Nov 05, 2004 at 10:48:28PM +0300, Dmitry Alexeyev wrote:
> > > Потому и пошёл думать про инженерныые варианты решения, но
> > > там есть проблема -- запущенный сбоку apache так тоже
> > > пришибёт.
> >
> > pstree -p ?
>
> И парсить, парсить, парсить?..

pstree -p -h $PID | tr + \\n | tr -d [:alpha:],[:punct:]

Не знаю уж, насколько хорошо так делать

Как вариант - /sbin/fuser -n (-vk) tcp 443

У всего этого один минус - за это время он сможет ещё десяток дочерних 
процессов нафоркать.

А что можно поменять в start_stop_daemon(), чтобы отслеживались потомки? 
Интересно же :) 

WBR
Dmitry 

Re: [sisyphus] Re: Q: apache and reverse proxy

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 953 bytes --]

On Fri, Nov 05, 2004 at 10:32:59PM +0300, Dmitry Alexeyev wrote:
> On Friday 05 November 2004 22:26, Michael Shigorin wrote:
> > On Fri, Nov 05, 2004 at 04:22:08AM +0300, Dmitry Alexeyev wrote:
> > > Решение: не верить апачу и делать killall -9 libhttpd.ep при
> > > обновлении.
> >
> > Видите ли... думал врисовать нечто подобное в инитскрипт по части
> > stop(), но по результатам обсуждения с ldv@ вроде как решили
> > покрутить start-stop-daemon.  Вероятно, я не повесил багу...
> 
> Хммм... я бы сказал, что велика вероятность того, что не там копаете. 
> IMHO это проблема апача, что дочерние процессы не хотят завершаться, 
> видимо игнорируют сигналы? 

Видимо.  Я, впрочем, не исключаю возможности забить на исправление самого
apache и просто выносить все дочерние процессы с нужным uid с помощью того
же start-stop-daemon'а.

Вы же никогда не запускаете два http-сервера под одним
псевдопользователем, верно?


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] Re: Q: apache and reverse proxy

[Dmitry Alexeyev]

On Saturday 06 November 2004 03:01, Dmitry V. Levin wrote:
> On Fri, Nov 05, 2004 at 10:32:59PM +0300, Dmitry Alexeyev wrote:
> > On Friday 05 November 2004 22:26, Michael Shigorin wrote:
> > > On Fri, Nov 05, 2004 at 04:22:08AM +0300, Dmitry Alexeyev wrote:
> > > > Решение: не верить апачу и делать killall -9 libhttpd.ep при
> > > > обновлении.
> > >
> > > Видите ли... думал врисовать нечто подобное в инитскрипт по части
> > > stop(), но по результатам обсуждения с ldv@ вроде как решили
> > > покрутить start-stop-daemon.  Вероятно, я не повесил багу...
> >
> > Хммм... я бы сказал, что велика вероятность того, что не там
> > копаете. IMHO это проблема апача, что дочерние процессы не хотят
> > завершаться, видимо игнорируют сигналы?
>
> Видимо.  Я, впрочем, не исключаю возможности забить на исправление
> самого apache и просто выносить все дочерние процессы с нужным uid с
> помощью того же start-stop-daemon'а.
>

Кстати в dev@httpd это обсуждалось, как лучше завершать дочерние 
процессы. (SIGTERM + SIGKILL по истечение некоторого времени). 
Но как-то оно не так работает, как они обсуждали. 
И, кстати, не пишет в лог: "child process still didn't ext". Вообще-то, 
вроде как, должен. 

> Вы же никогда не запускаете два http-сервера под одним
> псевдопользователем, верно?

:) (в fortunes!!)
Вреда кстати от этого не будет, чужие дочерние процессы сразу будут 
возвращены на место, даже если такая конфигурация имеет место быть.

Кстати, вот уж чего точно никак не сделать, так это не запустить два 
httpd с mod_ssl на разных портах, потому как SSL не на 443 - это хм... 
очень нестандартная конфигурация. 
Т.ч. можно сделать 
fuser -vk -n tcp 443

WBR
Dmitry

[sisyphus] Re: Q: apache and reverse proxy

[Michael Shigorin]

On Sat, Nov 06, 2004 at 09:07:02AM +0300, Dmitry Alexeyev wrote:
> > Видимо.  Я, впрочем, не исключаю возможности забить на
> > исправление самого apache и просто выносить все дочерние
> > процессы с нужным uid с помощью того же start-stop-daemon'а.

Так сделаешь ручку?

> Кстати в dev@httpd это обсуждалось, как лучше завершать
> дочерние процессы. (SIGTERM + SIGKILL по истечение некоторого
> времени).  Но как-то оно не так работает, как они обсуждали. 

*sigh*

Если вдруг повесите ссылочку в bugzilla -- буду пребдого...

> > Вы же никогда не запускаете два http-сервера под одним
> > псевдопользователем, верно?
> :) (в fortunes!!)

Ну, если кто запускает -- то это уже действительно его проблемы.

> Кстати, вот уж чего точно никак не сделать, так это не
> запустить два httpd с mod_ssl на разных портах, потому как SSL
> не на 443 - это хм...  очень нестандартная конфигурация. 
> Т.ч. можно сделать 
> fuser -vk -n tcp 443

Это аварийный рецепт для mod_ssl, но проблема-то не в нём.
Вроде как.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/