Eu tenho três servidores Apache 2.4.6 com balanceamento de carga em execução em novas instalações do CentOS 7. O balanceador de carga é um Barracuda 340. Eu sei que é antigo, mas é mais do que capaz de lidar com o tráfego e tudo está funcionando muito bem com o site real que eles estão hospedando. Todos os servidores são NAT protegidos por um firewall e não possuem endereços IP públicos. No entanto, exatamente a cada trinta segundos, vejo os mesmos três erros de SSL em meus logs do Apache. Nos logs a seguir, sub.example.com representa um subdomínio diferente daquele realmente hospedado pelos servidores em questão. E 10.0.0.123 é o endereço IP do balanceador de carga na rede interna.
[Fri May 01 06:28:37.315078 2015] [ssl:info] [pid 13873] [client 10.0.0.123:37617] AH01964: Connection to child 5 established (server sub.example.com:443)
[Fri May 01 06:28:37.315175 2015] [ssl:debug] [pid 13873] ssl_engine_io.c(1201): (70014)End of file found: [client 10.0.0.123:37617] AH02007: SSL handshake interrupted by system [Hint: Stop button pressed in browser?!]
[Fri May 01 06:28:37.315183 2015] [ssl:info] [pid 13873] [client 10.0.0.123:37617] AH01998: Connection closed to child 5 with abortive shutdown (server sub.example.com:443)
Se eu estivesse tendo problemas para negociar a conexão com o site hospedado, teria algo em que continuar, mas o site real funciona perfeitamente. Só não quero que meus logs de erros sejam preenchidos com lixo. Qualquer ajuda é muito apreciada.
Responder1
Nos logs a seguir, sub.example.com representa um subdomínio diferente daquele realmente hospedado pelos servidores em questão.
[Fri May 01 06:28:37.315175 2015] [ssl:debug] [pid 13873] ssl_engine_io.c(1201): (70014)End of file found: [client 10.0.0.123:37617] AH02007: SSL handshake interrupted by system [Hint: Stop button pressed in browser?!]
Verifique se sub.example.com resolve para o mesmo endereço IP que example.com (ou pelo menos um dos IP do balanceador de carga). Se for esse o caso, alguém pode tentar acessar o site errado, mas parar durante o handshake SSL porque o certificado não corresponde ao URL acessado. Como a mensagem se repete a cada 30 segundos, pode ser algum tipo de automatismo que pode ter funcionado no passado e talvez tenha parado de funcionar após alterações no seu site. Ele também pode ter parado de funcionar após alterações no lado do cliente, porque várias linguagens de script e ferramentas agora verificam o certificado por padrão e não o verificavam no passado.
Para detectar a origem do cliente provavelmente você terá que consultar arquivos de log ou fazer capturas de pacotes em locais estratégicos para descobrir o IP do cliente. Se você tiver acesso às configurações de DNS, você também pode simplesmente apontar sub.example.com para lugar nenhum.
Responder2
Parece que o balanceador de carga está procurando portas ativas .. mas não negociando até o fim como o Apache esperaria .. nada com que se preocupar ..
Talvez você possa alterar o mecanismo de investigação no LB para buscar algum URL real?