Apache Probleme nach gestopptem ISPC Update (nix geht mehr)

[DarkTrinity]

Hallo liebe Community,

ich war so dämlich und habe im falschen Terminal (also auf dem falschen Server) ein ISP-Config Update (enforce) gemacht und dieses mit STGR+C abgebrochen. Eigentlich lief da aber noch alles...

Gegen 1:00 nachst kamen ohne Ende Emails:

ERROR - httpd is down! Rescue will not help!

Seit dem geht nichts mehr, weil Apache nicht mehr startet... Folgende wenige Erkenntnisse habe ich gewonnen:


systemctl status apache2

Nov 05 09:10:15 SERVERHOSTNAME systemd[1]: Starting The Apache HTTP Server...
Nov 05 09:10:15 SERVERHOSTNAME systemd[1]: apache2.service: Control process exited, code=exited, status=1/FAILURE
Nov 05 09:10:15 SERVERHOSTNAME systemd[1]: apache2.service: Failed with result 'exit-code'.
Nov 05 09:10:15 SERVERHOSTNAME systemd[1]: Failed to start The Apache HTTP Server.

journalctl -xeu apache2.service

Nov 05 09:06:38 SERVERHOSTNAME systemd[1]: Starting The Apache HTTP Server...
░░ Subject: A start job for unit apache2.service has begun execution
░░ Defined-By: systemd
░░ Support: http://www.ubuntu.com/support
░░
░░ A start job for unit apache2.service has begun execution.
░░
░░ The job identifier is 1631027.
Nov 05 09:06:38 SERVERHOSTNAME systemd[1]: apache2.service: Control process exited, code=exited, status=1/FAILURE
░░ Subject: Unit process exited
░░ Defined-By: systemd
░░ Support: http://www.ubuntu.com/support
░░
░░ An ExecStart= process belonging to unit apache2.service has exited.
░░
░░ The process' exit code is 'exited' and its exit status is 1.
Nov 05 09:06:38 SERVERHOSTNAME systemd[1]: apache2.service: Failed with result 'exit-code'.
░░ Subject: Unit failed
░░ Defined-By: systemd
░░ Support: http://www.ubuntu.com/support
░░
░░ The unit apache2.service has entered the 'failed' state with result 'exit-code'.
Nov 05 09:06:38 SERVERHOSTNAME systemd[1]: Failed to start The Apache HTTP Server.
░░ Subject: A start job for unit apache2.service has failed
░░ Defined-By: systemd
░░ Support: http://www.ubuntu.com/support
░░
░░ A start job for unit apache2.service has finished with a failure.
░░
░░ The job identifier is 1631027 and the job result is failed.

Dann den Apache-Loglevel auf Debug gestellt und folgendes in er error log gefunden:

[Mon Nov 04 20:45:14.736230 2024] [ssl:info] [pid 40701:tid 40701] AH01883: Init: Initialized OpenSSL library
[Mon Nov 04 20:45:14.737528 2024] [ssl:debug] [pid 40701:tid 40701] ssl_engine_init.c(364): AH01886: OpenSSL has FIPS mode disabled
[Mon Nov 04 20:45:14.737568 2024] [ssl:info] [pid 40701:tid 40701] AH01887: Init: Initializing (virtual) servers for SSL
[Mon Nov 04 20:45:14.748561 2024] [ssl:info] [pid 40701:tid 40701] AH01914: Configuring server 127.0.0.1:8080 for SSL protocol
[Mon Nov 04 20:45:14.748782 2024] [ssl:debug] [pid 40701:tid 40701] ssl_engine_init.c(536): AH01893: Configuring TLS extension handling
[Mon Nov 04 20:45:14.748789 2024] [ssl:debug] [pid 40701:tid 40701] ssl_util_stapling.c(966): AH01960: OCSP stapling initialized
[Mon Nov 04 20:45:14.749514 2024] [ssl:emerg] [pid 40701:tid 40701] AH02565: Certificate and private key 127.0.0.1:8080:0 from /usr/local/ispconfig/interface/ssl/ispserver.crt and /usr/local/ispconfig/interface/ssl/ispserver.key do not match
AH00016: Configuration Failed

Die crt- & Keydateien scheinen also nicht zusammenb zu passen, was diesen Fehler wahrscheinlich verursacht....
Wenn ich mit certbot ein renewal vornehme (certbot renew), bekomme ich solche Ausgaben:

certbot renew

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/subdom.sld.tld.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Renewing an existing certificate for subdom.sld.tld

Certbot failed to authenticate some domains (authenticator: webroot). The Certificate Authority reported these problems:
Domain: subdom.sld.tld
Type: connection
Detail: <IPV4>: Fetching http://subdom.sld.tld/.well-known/acme-challenge/9t-gpQEQ7eQ50BXNpLU57qLVrfEIu_0KrmxSLAprB1o: Connection refused

Hint: The Certificate Authority failed to download the temporary challenge files created by Certbot. Ensure that the listed domains serve their content from the provided --webroot-path/-w and that files created there can be downloaded from the internet.

Failed to renew certificate subdom.sld.tld with error: Some challenges have failed.

Wenn ich ein ISPConfig Update Enforce vornehmen möchte und sage "erstelle die Zertifikate neu" - dann fällt er darauf zurück, selbstsignierte Zertifikate zu erzeugen....

Ich bin für jeden Tip Dankbar, mit dem sich dieses Riesenproblem lösen lässt

 

[Till]

Wenn ich ein ISPConfig Update Enforce vornehmen möchte und sage "erstelle die Zertifikate neu" - dann fällt er darauf zurück, selbstsignierte Zertifikate zu erzeugen....

Ja, weil er dafür Apache benötigt, und der läuft ja nicht mehr. Lass ihn ein selbstsigniertes cert erstellen, danach läuft Apache wieder, und dann nochmal ein forced update um ein LE cert zu bekommen.

 

[DarkTrinity]

Vielen lieben Dank, lieber Till Probiere ich heute nachmittag gleich aus

 

[DarkTrinity]

Ja, weil er dafür Apache benötigt, und der läuft ja nicht mehr. Lass ihn ein selbstsigniertes cert erstellen, danach läuft Apache wieder, und dann nochmal ein forced update um ein LE cert zu bekommen.

Das klappt leider nicht - nach dem Update bekomme ich ein - hier die Meldung wenn er auf self-signed zurück fällt:
Checking / creating certificate for <hostname> Using certificate path /etc/letsencrypt/live/<hostname> Server's public ip(s) (<IPV4>, <IPV6>) not found in A/AAAA records for <hostname>: 127.0.1.1 Ignore DNS check and continue to request certificate? (y,n) [n]: y Using apache for certificate validation Saving debug log to /var/log/letsencrypt/letsencrypt.log An unexpected error occurred: The server will not issue certificates for the identifier :: Invalid identifiers requested :: Cannot issue for "<hostname>": Domain name needs at least one dot Ask for help or search for solutions at https://community.letsencrypt.org. See the logfile /var/log/letsencrypt/letsencrypt.log or re-run Certbot with -v for more details. Issuing certificate via certbot failed. Please check log files and make sure that your hostname can be verified by letsencrypt Could not issue letsencrypt certificate, falling back to self-signed.

Nach dem Update läuft Apache immer noch nicht:

Job for apache2.service failed because the control process exited with error code.
See "systemctl status apache2.service" and "journalctl -xeu apache2.service" for details.
Update finished.

journalctl -xeu apache2.service
Support: http://www.ubuntu.com/support ░░ ░░ A start job for unit apache2.service has begun execution. ░░ ░░ The job identifier is 2778629. Nov 05 18:18:17 <hostname> apachectl[1109539]: AH00548: NameVirtualHost has no effect and will be removed in the next release /etc/apache2/sites-enabled/000-ispconfig.vhost:7 Nov 05 18:18:17 <hostname> apachectl[1109539]: AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.1.1. Set the 'ServerName' directive globally to suppress this message Nov 05 18:18:17 <hostname> systemd[1]: apache2.service: Control process exited, code=exited, status=1/FAILURE ░░ Subject: Unit process exited ░░ Defined-By: systemd ░░ Support: http://www.ubuntu.com/support ░░ ░░ An ExecStart= process belonging to unit apache2.service has exited. ░░ ░░ The process' exit code is 'exited' and its exit status is 1. Nov 05 18:18:17 <hostname> systemd[1]: apache2.service: Failed with result 'exit-code'. ░░ Subject: Unit failed ░░ Defined-By: systemd ░░ Support: http://www.ubuntu.com/support ░░ ░░ The unit apache2.service has entered the 'failed' state with result 'exit-code'. Nov 05 18:18:17 <hostname> systemd[1]: Failed to start The Apache HTTP Server. ░░ Subject: A start job for unit apache2.service has failed ░░ Defined-By: systemd ░░ Support: http://www.ubuntu.com/support ░░ ░░ A start job for unit apache2.service has finished with a failure. ░░ ░░ The job identifier is 2778629 and the job result is failed. Nov 05 18:25:17 <hostname> systemd[1]: Starting The Apache HTTP Server... ░░ Subject: A start job for unit apache2.service has begun execution ░░ Defined-By: systemd ░░ Support: http://www.ubuntu.com/support ░░ ░░ A start job for unit apache2.service has begun execution. ░░ ░░ The job identifier is 2794093. Nov 05 18:25:17 <hostname> apachectl[1116512]: AH00548: NameVirtualHost has no effect and will be removed in the next release /etc/apache2/sites-enabled/000-ispconfig.vhost:7 Nov 05 18:25:17 <hostname> apachectl[1116512]: AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.1.1. Set the 'ServerName' directive globally to suppress this message Nov 05 18:25:17 <hostname> systemd[1]: apache2.service: Control process exited, code=exited, status=1/FAILURE ░░ Subject: Unit process exited ░░ Defined-By: systemd ░░ Support: http://www.ubuntu.com/support ░░ ░░ An ExecStart= process belonging to unit apache2.service has exited. ░░ ░░ The process' exit code is 'exited' and its exit status is 1. Nov 05 18:25:17 <hostname> systemd[1]: apache2.service: Failed with result 'exit-code'. ░░ Subject: Unit failed ░░ Defined-By: systemd ░░ Support: http://www.ubuntu.com/support ░░ ░░ The unit apache2.service has entered the 'failed' state with result 'exit-code'. Nov 05 18:25:17 <hostname> systemd[1]: Failed to start The Apache HTTP Server. ░░ Subject: A start job for unit apache2.service has failed ░░ Defined-By: systemd ░░ Support: http://www.ubuntu.com/support ░░ ░░ A start job for unit apache2.service has finished with a failure. ░░ ░░ The job identifier is 2794093 and the job result is failed.

 

[Till]

Dann ist vermutlich der Hostname Deines Systems falsch konfiguriert. Wenn Du den folgenden Befehl eingibst:

hostname -f

dann muss da ein vollständiger Domainname mit subdomain raus kommen, sowas wie "server1.meinedomain.tld". Kommt da was falsches raus, kannst Du kein SSL cert bekommen. Du musst dann den Hostname eichtig konfigureiern in /etc/hostname und /etc/hosts

 

[DarkTrinity]

ein "hostname -f" ergab host (also ohne fqdn)

ich habe jetzt in den Backups geguckt und in der hosts Datei stand die FQDN eigentlich nie drinne...

Egal - wie folgt geändert:

1. in der /etc/hostname stand der hostname - also richtig
2. in der /etc/hosts habe ich die FQDN nun ergänzt (siehe codesnip unten)
3. Reboot

Datei hosts:

127.0.0.1 localhost
127.0.1.1 hostname.domain.tld hostname

# The following lines are desirable for IPv6 capable hosts
::1 ip6-localhost ip6-loopback hostname.domain.tld hostname
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

Apache + das ISPC Update verhalten sich nach wie vor gleich + fehlerhaft.

Beim Serverreboot sind mir einige "Fails" aufgefallen - aber das geht ja so schnell, daß Du das kaum mit bekommst. Wo der Bootvorgang per Log fest gehalten wird, weiß ich leider nicht....

So langsam befürchte ich, ich muss den Server "platt machen"

Ach ja - in den Logs fand ich jetzt Folgendes:
cat error.log

AH00016: Configuration Failed
AH00016: Configuration Failed
AH00016: Configuration Failed
AH00016: Configuration Failed
AH00016: Configuration Failed
AH00016: Configuration Failed
AH00016: Configuration Failed
AH00016: Configuration Failed
AH00016: Configuration Failed

cat error.log.1

AH00016: Configuration Failed
AH00016: Configuration Failed
AH00016: Configuration Failed
SIGTERM handler "exitall" not defined.
AH00016: Configuration Failed
AH00016: Configuration Failed
SIGTERM handler "exitall" not defined.
AH00016: Configuration Failed
AH00016: Configuration Failed
AH00016: Configuration Failed
AH00016: Configuration Failed
SIGTERM handler "exitall" not defined.

 

[Strontium]

Wo der Bootvorgang per Log fest gehalten wird, weiß ich leider nicht....

dmesg