标签: web-server

在限制来自IP的请求数量时，我使用

limit_req_zone  $binary_remote_addr zone=one:10m rate=1r/m;

我可以以r/m（每分钟请求数）或r/s（每秒请求数）为单位指定速率。有没有办法指定请求/小时的速率？

例如，我希望速率为 75 个请求/小时。所以它将是 1.25r/m，但 r/m 必须是整数。所以，即使这样也行不通。

请帮帮我。

我已经从 apache 2.2.22 切换到 apache 2.4.10，突然之间，我用来访问某些日志的别名不再起作用。

这是我的配置文件：

<VirtualHost *:80>

        ServerAdmin webmaster@localhost
        ServerName mdvns-sequencer

        DocumentRoot /var/www/

        <Directory /var/log/mdvns/>
                Order allow,deny
                Allow from all
                Options +Indexes
        </Directory>

        Alias /logs/ /var/log/mdvns/

        <Directory /var/www>
                AddHandler cgi-script .py
                AllowOverride None
                Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
                Order allow,deny
                Allow from all
        </Directory>

        ErrorLog ${APACHE_LOG_DIR}/error.log

        # Possible values include: debug, info, notice, warn, error, crit,
        # alert, emerg.
        LogLevel warn

        CustomLog ${APACHE_LOG_DIR}/access.log combined

</VirtualHost>

当我尝试访问 /logs/ （我设置的别名）时，我收到 403 禁止。error.log 有以下消息：

[Sat Jan 01 00:38:25.348732 2000] [authz_core:error] [pid 1256:tid …

conf/httpd.conf如果同一个文件中的同一个参数有不同的配置/conf.d/*，哪个优先？

我无法在任何官方文档中找到明确说明的\xe2\x80\x99。

我有现有的重定向规则

location ~* "^/view-price-range.php" {
    return 301 $scheme://www.mysite.com.au/pricing/;
}

nginx 是否可以检测锚标记并具有重定向规则？

例如 view-price-range.php#mytag

我想要的是，如果该网址被请求，它也会转到/pricing/。

于是尝试：

location ~* "^/view-price-range.php#mytag" {
    return 301 $scheme://www.mysite.au/pricing/;
}

并且不工作。我不确定#url 中的内容是否被评估为 nginx 中的注释？

我正在运行带有监控软件（Sentry.io）的网络服务器，我可以看到对以下端点的（失败）命中：

GET /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
GET /console/
POST /api/jsonws/invoke
POST /mifs/.;/services/LogService
POST /Autodiscover/Autodiscover.xml
GET /_ignition/execute-solution
POST /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php

对我来说，这些都很可疑。对于上下文，服务器不是 PHP 服务器，它是 NodeJS，其所有端点均已明确定义 - 它不是从文件系统提供服务 - 并且它位于 nginx 反向代理后面。

我应该担心收到这样的请求吗？我相信他们的努力不会取得任何成果，因为我知道所有端点是什么，因为我定义了它们。

我还认为我可能想得太多了，他们可能是寻找常见页面或其他内容的常规爬虫。我应该担心吗？我应该尝试阻止/反击这些请求，还是只是让它们发生而不得到任何结果？

我在 Apache 服务器上托管了一个 clickonce 存储库；出于显而易见的原因*，我不希望这个存储库被代理服务器缓存。

我知道没有办法阻止代理缓存它想要的东西，但我正在寻找一种方法来提示代理不要缓存我的 URL，或者为它提供“过时日期”。

有没有办法用 Apache 做到这一点？如果没有，是否可以使用另一个网络服务器（IIS？）

如果有一些选项仅适用于某些特定的代理供应商，我也对这些选项感兴趣。

** 如果存储库被缓存，软件会根据“最新版本”（由代理保存）的过时副本检查其版本，而不是根据我服务器上的“真实”最新版本检查自己。

后期编辑：可能是 IIS 对 URL 不区分大小写，而 Apache 是，有人可以使用此信息进一步增加 OS/WebServer 检测的置信度？

我正在阅读有关有用的 UrlScan 工具here并遇到

IIS 6.0 不包括 RemoveServerHeader 功能，因为此功能没有提供真正的安全优势。大多数服务器攻击都不是特定于操作系统的。此外，可以通过不依赖于服务器标头的机制来检测服务器的身份和有关操作系统的信息。

当然，这激起了我的好奇心，因为我不明白如何在不使用服务器标头的情况下检测操作系统和/或 Web 服务器。然而，扩展名（.php、.asp、.aspx、.do、.py 等）不能回答这个问题，也不能在响应内容中寻找“__VIEWSTATE”或类似的隐藏输入字段。

有什么我真的不知道的秘密方法吗？

编辑 1：我假设自定义的错误页面（不是默认的那些清楚地显示 Web 服务器的页面；了解 Web 服务器也可以为您提供有关操作系统的有力线索）

我们在 DMZ 中有一个 Web 服务器，用于提供 ASP.NET Web 应用程序。该应用程序已上线大约 2 个月，并且运行良好，但我们定期收到来自用户的电子邮件，说他们无法访问该网站，因为他们超时或链接损坏或找不到页面等...

我的第一个想法是，这是他们结束的事情，因为我们让世界各地的人测试了该网站，没有任何问题，也没有已知的停机时间。我的问题是我不想只是告诉用户，“问题在你这边，想办法解决。” 我希望有一种方法可以向他们证明这一点，或者可能有一些步骤让他们向自己证明这一点。

对我自己或用户有问题的任何建议？

编辑：为了澄清一点，问题在于反复使用相同的用户（到目前为止总共有 5 个），他们根本无法访问该网站。所以这不是页面特定的问题。到目前为止，一些很棒的答案我希望我可以将多个答案标记为答案，因为它们都很好。

也感谢您的快速转身。在这里提问和得到答案比联系我内部的服务器/网络组要快:)

由于大多数开源项目都包含 mod_rewrite 规则以与 Apache 一起使用，因此我需要能够将它们转换为与 lighttpd 或 nginx 一起使用。哪个 Web 服务器允许我将规则完全转换为来自 Apache 的规则？如果两者都可以准确转换，哪一个具有更好的语法和高级选项，可以更好地模仿 Apache？

例如，我将使用来自 Wordpress 的 .htaccess。

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

我想知道什么是用于云托管的 ubuntu 服务器的优秀监控软件。

我想监控：

1. 我网站的流量统计
2. 最大负载的脚本/区域
3. 整体服务器负载
4. 正常运行时间和停机时间问题等。

谢谢。