24. helmikuuta

Aloin tutkia sitä kun useampi ihminen on raportoinut että tää serveri tarjoilee heille sisältöä vaihtelevalla menestyksellä. Itsekin olin havainnut jotain tällaista ongelmaa, että serveri kieltäytyy usein hyväksymästä yhteyksiä, mutta koska ylläpidän tätä "kun jaksan", ajattelin soveltaa ongelmaan mun lempiratkaisumenetelmääni "ehkä se ongelma poistuu jos en ajattele sitä"

Lopulta kuitenkin aloin tutkia ongelmaa.

Kun pystytin tätä uudempaa serveriä, en jaksanut tunkata käsin possua ja nginxää paikoilleen, letsencryptin sertistä puhumattakaan. Käytin sitten laiskuuksissani valmista reverseproxykonttia, joka handlaa sertin uusimiset ja proxyttää /blogin java-konttiin sekä palauttelee staattisia resursseja. Kunnollista, varmasti vähentää eikä lisää töitä.

Tutkittuani ongelmaa, hiffasin että tässä kontissahan pörisee myös rogue, konffaamaton fail2ban-instanssi. Oletuksena, tai ainakin kontin oletuksena tarjoamien asetusten mukaisten oletusten mukaan, fail2ban blokkaa palomuurin tasolta clientit jotka saa liikaa HTTP 401 vastauksia.

Punchline?

Kattokaas mitä http-koodia tämä sovellus odottaa saavansa validina vastauksena kysymykseen "onko käyttäjällä sessiota voimassa?"

Juuh piti hetki hakea että mitenkäs fail2banista konffataan tää tarkastus pois, mitenkäs tälle kontille edes välitetään fail2ban-konffit, ja sitten tuhottuani ja luotuani kontin viiteen kertaan uudelleen opin että letsencryptin prodipuolella on liikenne rajoitettu, ja viiden peräkkäisen sertinluonnin jälkeen clientti pääsee viikoksi banniin

Että jos mietitte miksi tää saitti on ollut poissa pelistä viikon, niin siellä on oltu. En jaksanut alkaa askarrella mitään http-vainluku-viritystä, jossa javakontti olisi ollut auki suoraan internetiin, vaan annoin tän olla poissa pelistä. Sitä saa sellaista sysadminointia mistä maksan :D