Troubleshooting und so
So richtig rund läuft das alles irgendwie noch nicht. Der Hiawatha Webserver hat scheinbar in Verbindung mit dem Reverse Proxy Pound die "zarte" Tendenz, den Proxy und damit sich selbst auszusperren, auf Grund der integrierten Ban-Funktionen. Eigen verursachte DOS sind antürlich ein absolutes No-Go. Die Ursachenforschung gestaltet sich aus mehreren Gründen äußerst zäh.
Problem Nr. 1 sind die mangelhaften Error-Logs. Aus einem zur Zeit noch nicht nachvollziehbaren Grund wird praktisch nix in die error.log geschrieben, auch wenn der Server massenhaft 500er Errors produziert. Das ist bei Apache anders, da kann man wenigstens den Auslöser erkennen und sich dann vorantasten. Aber ohne den Auslöser eines Fehlers zu kennen, wird die Suche nach der Ursache praktisch aussichtslos. Ich werde heute nochmal ein wenig mit den Protokollierungseinstellungen experimentieren und ein paar Fehler provozieren, mal sehen ob ich Fortschritte erreiche. Obwohl ich da, nach dem Studium einiger Forenbeiträge im Netz, Zweifel habe, da das Problem bei Hiawatha und PHP mit den fehlenden Logeinträgen nicht nur bei mir aufzutreten scheint.
Problem Nr. 2 besteht in einigen Konfigurationsoptionen. So sollte die Option HideProxy eigentlich dafür sorgen, dass Pound zuverlässig von der Abschussliste genommen wird. Offensichtlich gilt das nicht für alle Ban-Funktionen gleichermaßen. Ein Garbage-Ban wurde nämlich dennoch auf den Proxy gelegt. Weiterhin sollte man annehmen, dass wenn sämtliche Ban-Funktionen auskommentiert sind, diese auch disabled sind. Denkste - das Resultat nach dem Neustart des Webservers - eine magere Error 503 "Service not available" Meldung. WTF?!
Vorläufiges Fazit: Hiawatha in Verbindung mit den Reverse Proxy Pound scheint mir derzeit kein geeignetes Gespann. Die erweiterten Sicherheitsfunktionen des Hiawatha sind aus meiner Sicht nur dann zu gebrauchen, wenn der Webserver in der Front läuft. Das mangelhafte Error-Logging im Zusammenhang mit PHP gefällt mir so gar nicht - dagegen ist ja Apache schon geradezu Luxus.
Hiawatha in der Front ist jedoch für mein Szenario nicht geeignet, weil ich im Backend noch einen Tomcat für ein paar Sachen brauche und Hiawatha dafür keinen Connector bzw. Proxy-Funktionalität mitbring und lt. Entwickler auch nie vorgesehen ist.
Nach dem damit Hiawatha schon weitestgehend verworfen ist, stellt sich die Frage, ob ein Versuch mit Nginx den Aufwand lohnt. Hmm, zumindest ein paar Untersuchungen werde ich wohl noch anstellen müssen.
