文件安全常见问题及解决方法

详细解答可以参考官方帮助文档温馨提示：为保证信息安全，阿里云不提供初始密码。  主机使用方法：首次管理主机，登录云虚拟主机管理控制台 > 更多操作 > 重置管理密码 主机管理和操作： 1. 主机网站不能正常访问请参考 网站无法访问常见问题 。2. 主机管理控制台 使用帮助及常见问题请参考 主机管理控制台使用帮助 和 主机管理控制台常见问题 。 3. 主机到期后15天将释放，届时所有网站数据将被清空。主机续费流程请参考 主机续费流程 。4. 主机升级和更改操作系统方法，请参考 主机升级流程 和 主机更改操作系统流程 。  第一步 第二步 第三步 第四步 第五步 获取主机信息 网站文件上传 网站调试 域名解析 网站创建成功 数据库信息上传 网站域名绑定 网站备案 　  如问题还未解决,请联系售后技术支持。   

详细解答可以参考官方帮助文档温馨提示：为保证信息安全，阿里云不提供初始密码。  主机使用方法：首次管理主机，登录云虚拟主机管理控制台 > 更多操作 > 重置管理密码 主机管理和操作： 1. 主机网站不能正常访问请参考 网站无法访问常见问题 。2. 主机管理控制台 使用帮助及常见问题请参考 主机管理控制台使用帮助 和 主机管理控制台常见问题 。 3. 主机到期后15天将释放，届时所有网站数据将被清空。主机续费流程请参考 主机续费流程 。4. 主机升级和更改操作系统方法，请参考 主机升级流程 和 主机更改操作系统流程 。  第一步 第二步 第三步 第四步 第五步 获取主机信息 网站文件上传 网站调试 域名解析 网站创建成功 数据库信息上传 网站域名绑定 网站备案 　  如问题还未解决,请联系售后技术支持。   

详细解答可以参考官方帮助文档温馨提示：为保证信息安全，阿里云不提供初始密码。  主机使用方法：首次管理主机，登录云虚拟主机管理控制台 > 更多操作 > 重置管理密码 主机管理和操作： 1. 主机网站不能正常访问请参考 网站无法访问常见问题 。2. 主机管理控制台 使用帮助及常见问题请参考 主机管理控制台使用帮助 和 主机管理控制台常见问题 。 3. 主机到期后15天将释放，届时所有网站数据将被清空。主机续费流程请参考 主机续费流程 。4. 主机升级和更改操作系统方法，请参考 主机升级流程 和 主机更改操作系统流程 。  第一步 第二步 第三步 第四步 第五步 获取主机信息 网站文件上传 网站调试 域名解析 网站创建成功 数据库信息上传 网站域名绑定 网站备案 　  如问题还未解决,请联系售后技术支持。   

详细解答可以参考官方帮助文档温馨提示：为保证信息安全，阿里云不提供初始密码。  主机使用方法：首次管理主机，登录云虚拟主机管理控制台 > 更多操作 > 重置管理密码 主机管理和操作： 1. 主机网站不能正常访问请参考 网站无法访问常见问题 。2. 主机管理控制台 使用帮助及常见问题请参考 主机管理控制台使用帮助 和 主机管理控制台常见问题 。 3. 主机到期后15天将释放，届时所有网站数据将被清空。主机续费流程请参考 主机续费流程 。4. 主机升级和更改操作系统方法，请参考 主机升级流程 和 主机更改操作系统流程 。  第一步 第二步 第三步 第四步 第五步 获取主机信息 网站文件上传 网站调试 域名解析 网站创建成功 数据库信息上传 网站域名绑定 网站备案 　  如问题还未解决,请联系售后技术支持。   

详细解答可以参考官方帮助文档温馨提示：为保证信息安全，阿里云不提供初始密码。  主机使用方法：首次管理主机，登录云虚拟主机管理控制台 > 更多操作 > 重置管理密码 主机管理和操作： 1. 主机网站不能正常访问请参考 网站无法访问常见问题 。2. 主机管理控制台 使用帮助及常见问题请参考 主机管理控制台使用帮助 和 主机管理控制台常见问题 。 3. 主机到期后15天将释放，届时所有网站数据将被清空。主机续费流程请参考 主机续费流程 。4. 主机升级和更改操作系统方法，请参考 主机升级流程 和 主机更改操作系统流程 。  第一步 第二步 第三步 第四步 第五步 获取主机信息 网站文件上传 网站调试 域名解析 网站创建成功 数据库信息上传 网站域名绑定 网站备案 　  如问题还未解决,请联系售后技术支持。   

详细解答可以参考官方帮助文档温馨提示：为保证信息安全，阿里云不提供初始密码。  主机使用方法：首次管理主机，登录云虚拟主机管理控制台 > 更多操作 > 重置管理密码 主机管理和操作： 1. 主机网站不能正常访问请参考 网站无法访问常见问题 。2. 主机管理控制台 使用帮助及常见问题请参考 主机管理控制台使用帮助 和 主机管理控制台常见问题 。 3. 主机到期后15天将释放，届时所有网站数据将被清空。主机续费流程请参考 主机续费流程 。4. 主机升级和更改操作系统方法，请参考 主机升级流程 和 主机更改操作系统流程 。  第一步 第二步 第三步 第四步 第五步 获取主机信息 网站文件上传 网站调试 域名解析 网站创建成功 数据库信息上传 网站域名绑定 网站备案 　  如问题还未解决,请联系售后技术支持。   

详细解答可以参考官方帮助文档温馨提示：为保证信息安全，阿里云不提供初始密码。  主机使用方法：首次管理主机，登录云虚拟主机管理控制台 > 更多操作 > 重置管理密码 主机管理和操作： 1. 主机网站不能正常访问请参考 网站无法访问常见问题 。2. 主机管理控制台 使用帮助及常见问题请参考 主机管理控制台使用帮助 和 主机管理控制台常见问题 。 3. 主机到期后15天将释放，届时所有网站数据将被清空。主机续费流程请参考 主机续费流程 。4. 主机升级和更改操作系统方法，请参考 主机升级流程 和 主机更改操作系统流程 。  第一步 第二步 第三步 第四步 第五步 获取主机信息 网站文件上传 网站调试 域名解析 网站创建成功 数据库信息上传 网站域名绑定 网站备案 　  如问题还未解决,请联系售后技术支持。   

详细解答可以参考官方帮助文档温馨提示：为保证信息安全，阿里云不提供初始密码。  主机使用方法：首次管理主机，登录云虚拟主机管理控制台 > 更多操作 > 重置管理密码 主机管理和操作： 1. 主机网站不能正常访问请参考 网站无法访问常见问题 。2. 主机管理控制台 使用帮助及常见问题请参考 主机管理控制台使用帮助 和 主机管理控制台常见问题 。 3. 主机到期后15天将释放，届时所有网站数据将被清空。主机续费流程请参考 主机续费流程 。4. 主机升级和更改操作系统方法，请参考 主机升级流程 和 主机更改操作系统流程 。  第一步 第二步 第三步 第四步 第五步 获取主机信息 网站文件上传 网站调试 域名解析 网站创建成功 数据库信息上传 网站域名绑定 网站备案 　  如问题还未解决,请联系售后技术支持。   

详细解答可以参考官方帮助文档温馨提示：为保证信息安全，阿里云不提供初始密码。  主机使用方法：首次管理主机，登录云虚拟主机管理控制台 > 更多操作 > 重置管理密码 主机管理和操作： 1. 主机网站不能正常访问请参考 网站无法访问常见问题 。2. 主机管理控制台 使用帮助及常见问题请参考 主机管理控制台使用帮助 和 主机管理控制台常见问题 。 3. 主机到期后15天将释放，届时所有网站数据将被清空。主机续费流程请参考 主机续费流程 。4. 主机升级和更改操作系统方法，请参考 主机升级流程 和 主机更改操作系统流程 。  第一步 第二步 第三步 第四步 第五步 获取主机信息 网站文件上传 网站调试 域名解析 网站创建成功 数据库信息上传 网站域名绑定 网站备案 　  如问题还未解决,请联系售后技术支持。   

详细解答可以参考官方帮助文档温馨提示：为保证信息安全，阿里云不提供初始密码。  主机使用方法：首次管理主机，登录云虚拟主机管理控制台 > 更多操作 > 重置管理密码 主机管理和操作： 1. 主机网站不能正常访问请参考 网站无法访问常见问题 。2. 主机管理控制台 使用帮助及常见问题请参考 主机管理控制台使用帮助 和 主机管理控制台常见问题 。 3. 主机到期后15天将释放，届时所有网站数据将被清空。主机续费流程请参考 主机续费流程 。4. 主机升级和更改操作系统方法，请参考 主机升级流程 和 主机更改操作系统流程 。  第一步 第二步 第三步 第四步 第五步 获取主机信息 网站文件上传 网站调试 域名解析 网站创建成功 数据库信息上传 网站域名绑定 网站备案 　  如问题还未解决,请联系售后技术支持。   

详细解答可以参考官方帮助文档温馨提示：为保证信息安全，阿里云不提供初始密码。  主机使用方法：首次管理主机，登录云虚拟主机管理控制台 > 更多操作 > 重置管理密码 主机管理和操作： 1. 主机网站不能正常访问请参考 网站无法访问常见问题 。2. 主机管理控制台 使用帮助及常见问题请参考 主机管理控制台使用帮助 和 主机管理控制台常见问题 。 3. 主机到期后15天将释放，届时所有网站数据将被清空。主机续费流程请参考 主机续费流程 。4. 主机升级和更改操作系统方法，请参考 主机升级流程 和 主机更改操作系统流程 。  第一步 第二步 第三步 第四步 第五步 获取主机信息 网站文件上传 网站调试 域名解析 网站创建成功 数据库信息上传 网站域名绑定 网站备案 　  如问题还未解决,请联系售后技术支持。   

详细解答可以参考官方帮助文档温馨提示：为保证信息安全，阿里云不提供初始密码。  主机使用方法：首次管理主机，登录云虚拟主机管理控制台 > 更多操作 > 重置管理密码 主机管理和操作： 1. 主机网站不能正常访问请参考 网站无法访问常见问题 。2. 主机管理控制台 使用帮助及常见问题请参考 主机管理控制台使用帮助 和 主机管理控制台常见问题 。 3. 主机到期后15天将释放，届时所有网站数据将被清空。主机续费流程请参考 主机续费流程 。4. 主机升级和更改操作系统方法，请参考 主机升级流程 和 主机更改操作系统流程 。  第一步 第二步 第三步 第四步 第五步 获取主机信息 网站文件上传 网站调试 域名解析 网站创建成功 数据库信息上传 网站域名绑定 网站备案 　  如问题还未解决,请联系售后技术支持。   

详细解答可以参考官方帮助文档温馨提示：为保证信息安全，阿里云不提供初始密码。  主机使用方法：首次管理主机，登录云虚拟主机管理控制台 > 更多操作 > 重置管理密码 主机管理和操作： 1. 主机网站不能正常访问请参考 网站无法访问常见问题 。2. 主机管理控制台 使用帮助及常见问题请参考 主机管理控制台使用帮助 和 主机管理控制台常见问题 。 3. 主机到期后15天将释放，届时所有网站数据将被清空。主机续费流程请参考 主机续费流程 。4. 主机升级和更改操作系统方法，请参考 主机升级流程 和 主机更改操作系统流程 。  第一步 第二步 第三步 第四步 第五步 获取主机信息 网站文件上传 网站调试 域名解析 网站创建成功 数据库信息上传 网站域名绑定 网站备案 　  如问题还未解决,请联系售后技术支持。   

详细解答可以参考官方帮助文档温馨提示：为保证信息安全，阿里云不提供初始密码。  主机使用方法：首次管理主机，登录云虚拟主机管理控制台 > 更多操作 > 重置管理密码 主机管理和操作： 1. 主机网站不能正常访问请参考 网站无法访问常见问题 。2. 主机管理控制台 使用帮助及常见问题请参考 主机管理控制台使用帮助 和 主机管理控制台常见问题 。 3. 主机到期后15天将释放，届时所有网站数据将被清空。主机续费流程请参考 主机续费流程 。4. 主机升级和更改操作系统方法，请参考 主机升级流程 和 主机更改操作系统流程 。  第一步 第二步 第三步 第四步 第五步 获取主机信息 网站文件上传 网站调试 域名解析 网站创建成功 数据库信息上传 网站域名绑定 网站备案 　  如问题还未解决,请联系售后技术支持。   

详细解答可以参考官方帮助文档温馨提示：为保证信息安全，阿里云不提供初始密码。  主机使用方法：首次管理主机，登录云虚拟主机管理控制台 > 更多操作 > 重置管理密码 主机管理和操作： 1. 主机网站不能正常访问请参考 网站无法访问常见问题 。2. 主机管理控制台 使用帮助及常见问题请参考 主机管理控制台使用帮助 和 主机管理控制台常见问题 。 3. 主机到期后15天将释放，届时所有网站数据将被清空。主机续费流程请参考 主机续费流程 。4. 主机升级和更改操作系统方法，请参考 主机升级流程 和 主机更改操作系统流程 。  第一步 第二步 第三步 第四步 第五步 获取主机信息 网站文件上传 网站调试 域名解析 网站创建成功 数据库信息上传 网站域名绑定 网站备案 　  如问题还未解决,请联系售后技术支持。   

问题描述 服务器的 Apache 信息如果被探测会带来安全隐患，如下图： 在 http 头部信息也可以看到服务器及 Apache 版本信息 因此作为服务器加固的一个部分，建议禁止网站服务器返回版本信息。 解决方案 禁用 Apache 网站服务器签名可以通过编辑 Apache 配置文件来实现。 注意：这里以常见的配置文件位置为例（用户应以实际的配置文件路径为准）. 在Debian，Ubuntu上： $ vi /etc/apache2/apache2.conf 在CentOS上： $ vi /etc/httpd/conf/httpd.conf 将下面两行添加到 Apache 配置文件底部。 ServerSignature Off ServerTokens Prod 修改保存后，重启网站服务即可生效，常见的重启服务方法如下： $ service apache2 restart (Debian, Ubuntu) $ service httpd restart (CentOS/Aliyun linux) $ systemctl restart httpd.service (Fedora, CentOS 7) 配置解释： ‘ServerSignature Off’ 主要是为了让 Apache 网站服务器在所有错误页面上隐藏 Apache 版本信息。 ‘ServerTokens Prod’ 主要是为了在 HTTP 响应头中将服务器标记压缩到最小，否则Apache 服务器将仍然在 HTTP 回应头部包含详细的服务器标记，这会泄漏 Apache 的版本号。 配置效果如下图：

概述 在Linux系统的ECS实例上自建MySQL服务器，可能会出现无法远程连接异常情况，本文主要介绍该情况下的常见错误及解决办法。 详细信息 阿里云提醒您： 如果您对实例或数据有修改、变更等风险操作，务必注意实例的容灾、容错能力，确保数据安全。 如果您对实例（包括但不限于ECS、RDS）等进行配置与数据修改，建议提前创建快照或开启RDS日志备份等功能。 如果您在阿里云平台授权或者提交过登录账号、密码等安全信息，建议您及时修改。 以下列举一些常见问题及解决办法。 未授权导致无法连接MySQL服务 监听地址错误导致无法连接MySQL服务 连接时报“Lost connection to MySQL server at 'reading initial communication packet' ”错误 版本问题导致无法连接MySQL服务 未授权导致无法连接MySQL服务 问题现象 在ECS实例内部连接MySQL服务正常，远程连接则会出现如下错误 。 EHost 'XX.XX.XX.XX' is not allowed to connect to this MySQL serverConnection closed by foreign host. 系统显示类似如下。 解决方案 确认MySQL服务监听的是0.0.0.0地址。 检查实例是否开启防火墙，建议先关闭防火墙进行测试。 确认MySQL服务是否开启远程登录，可通过如下方法开启。 登录数据库，选择mysql数据库。将user表中的host项，从localhost改为'%'。 登录数据库，创建一个远程连接的用户。 监听地址错误导致无法连接MySQL服务 问题现象 MySQL服务对127.0.0.1地址进行监听，导致外部无法远程连接。 解决方案 在MySQL服务配置文件中，注释掉bind-address参数，然后重启即可。 连接时报“Lost connection to MySQL server at 'reading initial communication packet' ”错误 问题现象 远程连接MySQL服务时，报如下错误。 Lost connection to MySQL server at 'reading initial communication packet' 解决方案 检查是否开启防火墙，限制了连接请求。 检查MySQL数据库是否有访问权限。可通过如下命令进行添加。 use mysql; Grant all privileges on . to 'root'@'%' identified by '[$Password]' with grant option; flush privileges; 注：[$Password]为密码。 检查my.ini配置文件是否设置了bind-address参数，将该条注释掉。 在my.ini配置文件添加skip-name-resolve参数。 修改hosts.allow配置文件，增加如下配置。 mysqld-max : ALL :ALLOW 版本问题导致无法连接MySQL服务 问题现象 自建的MySQL服务器版本为5.6，远程连接时提示如下错误。 ERROR 2049 (HY000): Connection using old (pre-4.1.1) authentication protocol refused (client option 'secure_auth' enabled) 问题原因 由于服务器端的密码管理协议陈旧，使用的是旧有的用户密码格式存储，但客户端升级之后采用了新的密码格式 。MySQL 5.6版本遇到这种不一致的情况就会拒绝连接 。 解决方案 连接时添加--secure-auth参数，连接命令如下所示。详细的表述可以参考 MySQL手册。 mysql -h [$Host] -u [$Username] --secure-auth -p 注：[$Host]为ECS实例域名或IP，[$Username]为数据库用户名。

概述 本文主要介绍无法远程登录Linux实例的案例和排查方法。 详细信息 本文主要通过如下2个方面解决无法远程登录Linux实例的问题。 常见报错案例 排查方法 常见报错案例 SSH无法远程登录Linux实例的常见案例如下所示，可根据实际报错信息选择不同的方案进行排查和处理。 PAM安全框架 Linux系统环境配置 SSH服务及参数配置 SSH服务关联目录或文件配置 SSH服务密钥配置 PAM安全框架 Linux系统的PAM安全框架可以加载相关安全模块，对云服务器的账户策略、登录策略等进行访问控制。如果相关配置存在异常，或触发了相关策略，就可能会导致SSH登录失败。根据不同报错信息，可参见如下常见案例进行解决。 SSH登录时出现如下错误：pam_listfile(sshd:auth): Refused user root for service sshd SSH登录时出现如下错误：requirement “uid >= 1000” not met by user “root” SSH登录时出现如下错误：Maximum amount of failed attempts was reached SSH登录时出现如下错误：login: Module is unknown Linux系统环境配置 Linux内的系统环境，比如中毒、账户配置、环境变量配置等，如果出现异常，也可能会导致SSH登录失败。根据不同报错信息，可参见如下常见案例进行解决。 SSH登录时出现如下错误：ssh_exchange_identification: read: Connection reset by peer 中毒导致SSH服务运行异常，出现如下错误：fatal: mm_request_send: write: Broken pipe SSH启动时出现如下错误：main process exited, code=exited SSH连接时出现如下错误：pam_limits(sshd:session)：could not sent limit for ‘nofile’ SSH连接时出现如下错误：pam_unix(sshdsession) session closed for user SSH连接时出现如下错误：error Could not get shadow infromation for root SSH服务及参数配置 SSH服务的默认配置文件为/etc/ssh/sshd_config。配置文件中的相关参数配置异常，或启用了相关特性或策略，也可能会导致 SSH登录失败。根据不同报错信息，可参见如下常见案例进行解决。 SSH登录时出现如下错误：Disconnected:No supported authentication methods available SSH登录时出现如下错误：User root not allowed because not listed in SSH登录时出现如下错误：Permission denied, please try again SSH登录时出现如下错误：Too many authentication failures for root SSH启动时出现如下错误：error while loading shared libraries SSH启动时出现如下错误：fatal: Cannot bind any address SSH启动时出现如下错误：Bad configuration options 云服务器ECS Linux SSH启用UseDNS导致连接速度变慢 Linux实例中由于SELinux服务开启导致SSH远程连接异常 SSH服务关联目录或文件配置 SSH服务基于安全性考虑，在运行时，会对相关目录或文件的权限配置、属组等进行检查。过高或过低的权限配置，都可能会引发服务运行异常，进而导致客户端登录失败。根据不同报错信息，可参见如下常见案例进行解决。 SSH登录时出现如下错误：No supported key exchange algorithms SSH启动时出现如下错误：must be owned by root and not group or word-writable SSH服务密钥配置 SSH服务采用非对称加密技术，对所传输的数据进行加密。客户端及服务端会交换和校验相关密钥信息的有效性。根据不同报错信息，可参见如下常见案例进行解决。 SSH登录时出现如下错误：Host key verification failed SSH服务的公私钥异常导致无法SSH登录Linux实例 排查方法 若常见报错案例没有解决问题，可以参考如下流程排查问题。 检查CPU负载、带宽及内存使用情况 客户端排查 中间网络 网络检查 端口检查 安全组检查 示例 提示： 以下操作在CentOS 6.5 64位操作系统中进行过测试，在其他Linux发行版中可能存在差异，具体情况请参阅对应Linux发行版的官方文档。 客户端SSH连接Linux实例是运维操作的主要途径。通过管理终端可以用于临时运维操作，或者在客户端SSH登录异常时，用于问题排查和分析。 下图为SSH登录关联因素示意图。由此可见，通过SSH无法远程登录Linux实例时，可能涉及的关联因素较多。 检查CPU负载、带宽及内存使用情况 确认是否存在CPU负载过高的情况，如果存在，则参考本步骤解决问题，如果不存在，则执行下一步步骤。 提示：您无法主动监控系统内部的程序运行状态，但是可以借助云监控进行查看。 登录云监控控制台，依次选择 主机监控 > 进程监控。 查看应用运行情况，排除CPU负载过高的原因，如何查看CPU负载问题，请参见Linux系统ECS实例CPU使用率较高的排查思路。 提示：在某个时间段CPU负载过高可能导致远程连接失败，建议您查询程序或者实例资源是否不满足现有要求。 无法远程连接可能是公网带宽不足导致的，具体排查方法如下。可通过续费ECS实例，然后重启实例解决。详情参见手动续费或者自动续费。 登录ECS管理控制台。 找到该实例， 单击 管理 进入 实例详情 页面，查看网络监控数据。 检查服务器带宽是否为“1k”或“0k”。如果购买实例时没有购买公网带宽，后来升级了公网带宽，续费的时候没有选择续费带宽，带宽就会变成“1k”。 远程连接输入用户密码登录后，不能正常显示桌面直接退出，也没有错误信息。这种情况可能是服务器内存不足导致的，需要查看一下服务器的内存使用情况。具体操作如下。 使用控制台远程连接功能登录到Linux实例。 查看内存使用情况，具体请参考Linux系统的ECS实例中如何查看物理CPU和内存信息，确认内存不足后，请参考Linux服务器内存消耗过高进行处理。 客户端排查 客户端无法正常登录时，先使用不同的SSH客户端基于相同账户信息进行登录测试。如果能正常登录，则判断是客户端配置问题，需要对客户端配置或软件运行情况做排查分析。关于如何使用客户端SSH登录Linux实例，您可以参考远程连接Linux实例。 步骤一：使用管理终端登录实例 无论何种原因导致无法远程连接实例，请先尝试用阿里云提供的远程连接功能进行连接，确认实例还有响应，没有完全宕机，然后再按原因分类进行故障排查。 登录云服务器管理控制台，单击左侧导航栏中的 实例，然后在目标实例右侧单击 远程连接。 在首次连接或忘记连接密码时，单击 修改远程连接密码，修改远程连接的密码。 然后通过远程连接密码连接实例。 步骤二：检查客户端本地网络是否异常 确认是否存在用户本地无法连接外网的故障。 如果存在，则检查网卡驱动，如果存在异常，则重新安装。使用管理终端登录实例，查看/etc/hosts.deny文件，查看是否存在拦截IP，如果存在则删除此IP配置即可。 如果不存在，则执行下一步步骤。 步骤三：重启实例 在确保登录密码正确的情况下，确认之前是否曾重置过密码。检查重置实例密码后是否未重启实例，如果存在实例密码修改记录，但无重启实例记录，则参考以下操作步骤重启实例。 登录ECS管理控制台，单击左侧导航栏中的 实例。 在页面顶部的选择对应的地域，目标实例右侧单击 更多 > 实例状态 > 重启，再单击 确认 即可。 中间网络 中间网络包括网络检查和端口检查。 网络检查 无法正常远程连接Windows实例时，需要先检查网络是否正常。 用其他网络环境中，不同网段或不同运营商)的电脑连接对比测试，判断是本地网络问题还是服务器端的问题。如果是本地网络问题或运营商问题，请联系本地IT人员或运营商解决。如果是网卡驱动存在异常，则重新安装。排除本地网络故障后进行下一步检查。 在客户端使用ping命令测试与实例的网络连通性。 网络异常时，请参考网络异常时如何抓取数据包进行排查。 当出现ping丢包或ping不通时，请参考使用ping命令丢包或不通时的链路测试方法进行排查。 如果出现间歇性丢包，ECS实例的网络一直处于不稳定状态时，请参考使用ping命令测试ECS实例的IP地址间歇性丢包进行解决。 系统内核没有禁ping的情况下，使用ping命令测试ECS服务器，发现网络不通，请参考Linux系统的ECS中没有禁PING却PING不通的解决方法。 端口检查 网络检查正常后，进一步检查端口是否正常。 使用管理终端登录实例，执行如下命令，编辑SSH配置文件。 vi /etc/ssh/sshd_config 找到“#port 22”所在行，检查默认端口22是否被修改，且前面的“#”是否删除，如果没有删除，可以把前面的“#”删除，然后将22改为其它的端口，再保存退出即可。 注：服务监听能使用的端口范围为0到65535，错误配置监听端口会导致远程桌面服务监听失败。 执行如下命令，重启SSH服务。 /etc/init.d/sshd restart 注：也可执行如下命令，重启SSH服务。 service sshd restart 使用Python自带的Web服务器用于临时创建新的监听端口进行测试。 python -m SimpleHTTPServer [$Port] 如果登录方式改变或者ECS安全组规则中未放行修改后的端口号，则参考如下步骤放行修改后的端口。 注：ECS的安全组规则中默认放行22端口。修改了远程桌面的端口后，需要在安全组规则中放行修改后的端口号。 登录ECS管理控制台。 找到该实例，单击 管理 进入 实例详情 页面，切换到 本实例安全组 标签页，单击 配置规则。 在安全组规则页面，单击 添加安全组规则。 在弹出的页面中，端口范围 输入修改后的远程桌面端口号。授权对象 输入客户端的公网IP地址。比如修改后的远程桌面端口号为2222，则 端口范围 应输入“2222/2222”。填写完成后，单击 确定。 通过上一步获取的端口，参考如下命令，进行端口测试，判断端口是否正常。如果端口测试失败，请参考使用ping命令正常但端口不通时的端口可用性探测说明进行排查。 telnet [$IP] [$Port] 注： [$IP]指Linux实例的IP地址。 [$Port]指Linux实例的SSH端口号。 系统显示类似如下，比如执行telnet 192.168.0.1 22命令，正常情况下，系统会返回服务端中SSH的软件版本号。 安全组检查 检查安全组配置，是否允许远程连接的端口。 参考查询安全组规则，查看安全组规则。如果远程连接端口没有进行配置，则参考Linux实例启用SSH服务后设置对应的安全组策略配置。 确认是否存在无法ping通ECS实例，在排除Iptables和网卡IP配置问题且回滚系统后，仍然无法ping通。可能是ECS实例安全组默认的公网规则被删除，则需要重新配置ECS实例的安全组公网规则，具体操作请参见ECS实例安全组默认的公网规则被删除导致无法ping通。如果不存在，则继续下一步骤检查。 示例 如果根据前述问题场景进行排查和处理后，还是无法正常登录。则建议按照如下步骤逐一排查和分析。 使用不同的客户端SSH及管理终端做对比访问测试，判断是否是个别客户端自身配置或软件运行问题所致。 参阅中间网络问题相关说明，测试网络连通性。 参阅管理终端，登录云服务器，在客户端进行访问测试的同时，执行如下命令，查看相关日志。 tailf /var/log/secure 参考如下命令， 比如ssh -v 192.168.0.1 命令，获取Linux环境中详细的SSH登录交互日志。 ssh -v [$IP] 通过管理终端登录Linux实例，参考如下步骤，检查SSH服务运行状态。 执行如下命令，检查服务运行状态。 service sshd status service sshd restart 正常情况下会返回SSH服务的运行状态及进程PID，系统显示类似如下。 [root@centos ~]# service sshd status openssh-daemon (pid 31350) is running... [root@centos ~]# service sshd restart Stopping sshd: [ OK ] Starting sshd: [ OK ] 执行如下命令，检查服务监听状态。 netstat -ano | grep 0.0.0.0:22 正常情况下会返回相应端口监听信息，系统显示类似如下。 tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN off (0.00/0/0) 通过管理终端登录Linux实例，执行如下命令。如果能正常登录，则推断是系统防火墙或外部安全组策略等配置异常，导致客户端登录失败。 ssh 127.0.0.1 若用阿里云提供的远程连接功能仍无法成功连接实例，请尝试重启实例。重启操作会使实例停止工作，从而中断业务，请谨慎执行。 提示：重启实例前，需给实例创建快照，用于数据备份或者制作镜像。创建快照的方法请参见创建快照。 登录ECS管理控制台，单击左侧导航栏中的 实例。 在页面顶部的选择对应的地域，在目标实例右侧单击 更多 > 实例状态 > 重启，再单击 确认 即可。

Tomcat 提示相关错误码 本页目录 403 报错 502 报错 提示：这篇文档是由阿里云售后支持团队针对特定或紧急问题提供的“快速发布”文档。文档的内容以原稿呈现，未进行编辑及审核。因此，阿里云对于文档内容不做任何承诺， 并且，我们有权在未经通知您的情形下对文档内容做出编辑、修改或提供补充信息。 403 报错 403 Forbidden 资源不可用。服务器理解客户的请求，但拒绝处理它。通常由于服务器上文件或目录的权限设置导致。 常见问题解决方法 进入 manager 界面之后，显示 403 Access Denied。 在 conf/tomcat-users.xml 文件中NOTE: By default, no user is included in the “manager-gui” role required to operate the “/manager/html” web application. If you wish to use this app, you must define such a user - the username and password are arbitrary. 也就是说，为了考虑安全，tomcat默认还是没有manager-gui的管理权限的，如果想要使用manager的话，需要自行加入管理权限（角色）。需要加一个这样的权限（角色） 502 报错 Tomcat 报错都是结合前端的环境，比如前端 Apache 或者是 Nginx 等配置。 The proxy server received an invalid response from an upstream server. 一般都是结合前端环境出现的报错。需要具体结合访问问题架构来看，此文简单表述下由于 Apache 将请求拦截导致 502 的问题情况。 如下图，正常 Tomcat 默认填写访问端口都是 8080，但是下图 Apache 转发端口转发文件目录样式文件等都是 8090 等端口，如果是转发正常其他模块调用没有问题就会导致访问超时 502 的报错情况。 您可以参阅 Nginx 502 报错查询详细的问题原因。

概述 本文主要介绍无法远程连接Windows实例的排查方法。 详细信息 阿里云提醒您： 如果您对实例或数据有修改、变更等风险操作，务必注意实例的容灾、容错能力，确保数据安全。 如果您对实例（包括但不限于ECS、RDS）等进行配置与数据修改，建议提前创建快照或开启RDS日志备份等功能。 如果您在阿里云平台授权或者提交过登录账号、密码等安全信息，建议您及时修改。 无法远程连接Windows实例的原因较多，可通过以下排查方法，排查并解决无法远程连接Windows实例的问题。 步骤一：使用管理终端登录实例 步骤二：登录密码检查 步骤三：端口及安全组检查 步骤四：远程桌面服务检查 步骤五：网络检查 步骤六：检查CPU负载、带宽及内存使用情况 步骤七：防火墙配置检查 步骤八：系统的安全策略设置 步骤九：远程终端服务的配置检查 步骤十：杀毒软件检查 步骤十一：尝试重启实例 常见报错案例 步骤一：使用管理终端登录实例 无论何种原因导致无法远程连接实例，请先尝试用阿里云提供的远程连接功能进行连接，确认实例还有响应，没有完全宕机，然后再按原因分类进行故障排查。 登录ECS管理控制台，单击左侧导航栏中的 实例，在目标实例右侧单击 远程连接。 在首次连接或忘记连接密码时，单击 修改远程连接密码，修改远程连接的密码。 然后通过远程连接密码连接实例。 步骤二：登录密码检查 在确保登录密码正确的情况下，确认之前是否曾重置过密码。检查重置实例密码后是否未重启实例，如果存在实例密码修改记录，但无重启实例记录，则参考以下操作步骤重启实例。 登录ECS管理控制台，单击左侧导航栏中的 实例。 在页面顶部的选择对应的地域，目标实例右侧单击 更多 > 实例状态 > 重启，再单击 确认 即可。 步骤三：端口及安全组检查 进一步检查端口是否正常，以及安全组规则是否有限制。 参考如何查看和修改Windows实例远程桌面的默认端口，检查实例远程链接的端口是否被修改。如果登录方式改变或者ECS安全组规则中未放行修改后的端口号，则参考如下步骤放行修改后的端口。 注：ECS的安全组规则中默认放行3389端口。修改了远程桌面的端口后，需要在安全组规则中放行修改后的端口号。 登录ECS 管理控制台。 找到该实例，单击 管理 进入 实例详情 页面，切换到 本实例安全组 标签页，单击 配置规则。 在安全组规则页面，单击 添加安全组规则。 在弹出的页面中，端口范围 输入修改后的远程桌面端口号。授权对象 输入客户端的公网IP地址。比如修改后的远程桌面端口号为4389，则 端口范围 应输入“4389/4389”。填写完成后，单击 确定。 通过“IP:端口”的方式进行远程桌面连接。连接方式类似如下。 通过上一步获取的端口，参考如下命令，进行端口测试，判断端口是否正常。如果端口测试失败，请参考使用ping命令正常但端口不通时的端口可用性探测说明进行排查。 telnet [$IP] [$Port] 注： [$IP]指Windows实例的IP地址。 [$Port]指Windows实例的RDP端口号。 系统显示类似如下，比如执行telnet 192.168.0.1 4389命令，正常情况下返回结果类似如下。 Trying 192.168.0.1 ... Connected to 192.168.0.1 4389. Escape character is '^]' 检查Windows远程端口设置是否超出范围，如果超出范围，您需将端口重新修改为0到65535之间，且没有被占用的其它端口，具体操作请参考如下操作。 登录实例，依次选择 开始 > 运行，输入 regedit，然后单击 确认。 打开注册表编辑器，依次选择 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp。 双击 PortNumber，单击 十进制，将原端口由“113322”修改为0到65535之间且不与当前端口冲突的端口，例如5588等端口。 注：“113322”为PortNumber右侧显示的端口号。 再打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Tenninal Server\WinStations\RDP-Tcp。 双击 PortNumber，单击 十进制，将原端口“113322”修改为与第3步一致的端口号。 然后重启主机，确认远程连接成功。 步骤四：远程桌面服务检查 您可以查看Windows服务器的系统是否开启了远程桌面服务。具体操作如下。 使用控制台远程连接功能登录到Windows实例。 右键单击 我的电脑，选择 属性 > 高级系统设置。 在 系统属性 窗口，选择 远程 选项卡，然后勾选 允许运行任意版本远程桌面的计算机连接 即可。 用户为了提高系统安全性，有时错误的将远程桌面服务所依赖的某些关键服务禁用，导致远程桌面服务异常。可通过以下操作进行检查。 使用控制台远程连接功能登录到Windows实例。 选择 开始 > 运行。 输入msconfig，单击 确定。 在弹出的窗口中，选择 常规 选项卡，选择 正常启动，然后重启服务器即可。 步骤五：网络检查 无法正常远程连接Windows实例时，需要先检查网络是否正常。 用其他网络环境中(不同网段或不同运营商)的电脑连接对比测试，判断是本地网络问题还是服务器端的问题。如果是本地网络问题或运营商问题，请联系本地IT人员或运营商解决。如果是网卡驱动存在异常，则重新安装。排除本地网络故障后进行下一步检查。 在客户端使用ping命令测试与实例的网络连通性。 网络异常时，请参考网络异常时如何抓取数据包进行排查。 当出现ping丢包或ping不通时，请参考使用ping命令丢包或不通时的链路测试方法进行排查。 如果出现间歇性丢包，ECS实例的网络一直处于不稳定状态时，请参考使用ping命令测试ECS实例的IP地址间歇性丢包进行解决。 在实例中使用ping命令测试与客户端的连通性，提示“一般故障”的错误，请参考Windows实例ping外网地址提示“一般故障”进行解决。 步骤六：检查CPU负载、带宽及内存使用情况 确认是否存在CPU负载过高的情况，如果存在，则参考本步骤解决问题，如果不存在，则执行下一步步骤。 检查CPU负载过高时，通过实例详情页面的终端登录实例，检查后台是否正在执行Windows Update操作。 运行Windows Update来安装最新的微软安全补丁。 若应用程序有大量的磁盘访问、网络访问行为、高计算需求，CPU负载过高是正常结果。您可以尝试升配实例规格来解决资源瓶颈问题。 CPU负载过高的解决方法请参见Windows系统ECS实例的CPU使用率较高的解决方法。 无法远程连接可能是公网带宽不足导致的，具体排查方法如下。可通过续费ECS实例，然后重启实例解决。详情参见手动续费或者自动续费。 登录ECS管理控制台。 找到该实例， 单击 管理 进入 实例详情 页面，查看网络监控数据。 检查服务器带宽是否为“1k”或“0k”。如果购买实例时没有购买公网带宽，后来升级了公网带宽，续费的时候没有选择续费带宽，带宽就会变成“1k”。 远程连接输入用户密码登录后，不能正常显示桌面直接退出，也没有错误信息。这种情况可能是服务器内存不足导致的，需要查看一下服务器的内存使用情况。具体操作如下。 使用控制台远程连接功能登录到Windows实例。 选择 开始 > 控制面板 > 管理工具，双击 事件查看器。查看一下是否有内存资源不足的警告日志信息。如有日志信息提示内存不足，具体解决方法参考Windows 虚拟内存不足问题的处理。 步骤七：防火墙配置检查 您只有在已授权可关闭防火墙的情况下，才能进行该项排查。确认防火墙是否已关闭，如果没有关闭，则通过调整防火墙配置策略修复，具体操作请参见如何配置Windows实例远程连接的防火墙。完成操作后，请再进行远程连接，确认连接成功。本文以Windows Server 2012初次登录开启防火墙为例。新购的Windows 2012实例，首次连接服务器是可以的。连接服务器并激活系统后，会提示如下图片中的信息，用户需要单击 是，如果单击 否，服务器会自动开启公网的防火墙，连接会直接断开。此问题可参考以下步骤进行解决。 使用控制台远程连接功能登录到Windows实例。 在菜单栏选择 开始 > 控制面板 。 查看方式 选择 小图标，单击 Windows 防火墙。 在 Windows 防火墙 窗口，单击 高级设置。 在弹出的窗口中，单击 入站规则，在右侧拉至最下方，右键单击 远程桌面-用户模式(TCP-In)，选择 启动规则。 返回上一个页面， 单击 Windows 防火墙属性。 选择 启用（推荐），单击 应用。 注意：建议将 域配置文件、专用配置文件、公用配置文件 选项卡下的防火墙全部启用。 更多关于防火墙的设置，请参考设置Windows实例远程连接防火墙。 步骤八：系统的安全策略设置 您可以查看Windows服务器上是否有阻止远程桌面连接的相关安全策略。具体操作如下。 使用控制台远程连接功能登录到Windows实例。 选择 开始 > 控制面板 > 管理工具，双击 本地安全策略。 在弹出的窗口中，单击 IP 安全策略，查看是否有相关的安全策略。 如果有，右键单击相关策略，选择 删除，或双击该IP的安全策略来重新配置以允许远程桌面连接。然后再使用远程桌面连接。 步骤九：远程终端服务的配置检查 无法连接Windows实例远程桌面可能是由于以下远程终端服务的配置异常而导致。 异常一：服务器侧自签名证书损坏 客户端如果是Windows 7以上版本的系统，会尝试与服务器建立TLS连接。若服务器侧用于TLS连接的自签名证书损坏，则会导致远程连接失败。 使用控制台远程连接功能登录到Windows实例。 选择 开始 > 管理工具 > 远程桌面服务，然后双击 远程桌面会话主机配置。 选择 RDP-Tcp。在RDP-Tcp属性窗口，将 安全层 修改成 RDP安全层。 在操作栏单击 禁用连接，再单击 启用连接 即可。 异常二：远程桌面会话主机配置连接被禁用 使用netstat命令查询，发现端口未正常监听。使用控制台远程连接功能登录到Windows实例后，发现远程桌面RDP连接属性配置文件被禁用。参考服务器侧自签名证书损坏找到RDP连接属性配置文件，如果 RDP-Tcp 被禁用，单击 启用连接 即可。 异常三：终端服务器角色配置 用户在使用远程桌面访问Windows实例时，有时会出现如下提示。这种情况一般是由于在服务器上安装配置了 终端服务器，但是没有配置有效的访问授权导致的。可参见如下两个解决方案处理。 Windows服务器远程桌面提示“没有远程桌面授权服务器可以提供许可证”错误 远程登录Windows实例报“远程桌面用户组没有该权限”错误 步骤十：杀毒软件检查 无法连接远程桌面可能是由于第三方杀毒软件设置导致，可通过以下方法进行解决。此处列举两个安全狗配置导致远程访问失败的解决案例。 如果杀毒软件在后台执行，可通过实例详情页面的终端登录，将杀毒软件升级至最新版本或者直接删除。 请使用商业版杀毒软件，或者使用Microsoft Safety Scanner微软免费安全工具，在安全模式下扫描杀毒，相关信息请访问如下链接。 https://www.microsoft.com/security/scanner/zh-cn/default.aspx 案例一：安全狗黑名单拦截 如果安装了安全狗后，出现如下情况，请确认防护软件中是否做了安全设置或对应的拦截。 客户端本地无法远程桌面连接Windows实例，但其他区域可以远程连接。 无法ping通服务器IP地址，且通过tracert命令跟踪路由，发现无法到达服务器。 云盾未拦截本地公网IP地址。 可打开 服务器安全狗 进行检查，选择 网络防火墙。单击 超级黑名单 的 规则设置，如果黑名单中存在实例公网IP，则将此黑名单规则删除，然后将公网IP添加到 超级白名单。 说明：如果云盾的阈值设置过低，则可能拦截实例公网IP。建议把清洗阈值调高，避免出现拦截实例公网IP的情况发生，具体请参见DDoS基础防护。 案例二：安全狗程序异常 使用控制台远程连接功能登录到Windows实例后，在系统桌面右下角，安全狗弹出错误提示，系统显示类似如下。该问题可能是由于安全狗软件出现异常导致的。可通过Windows系统卸载安全狗软件后，重启服务器，网络即可恢复。 步骤十一：尝试重启实例 若用阿里云提供的远程连接功能仍无法成功连接实例，请尝试重启实例。重启操作会使实例停止工作，从而中断业务，请谨慎执行。 提示：重启实例前，需给实例创建快照，用于数据备份或者制作镜像。创建快照的方法请参见创建快照。 登录ECS 管理控制台，单击左侧导航栏中的 实例。 在页面顶部的选择对应的地域，在目标实例右侧单击 更多 > 实例状态 > 重启，再单击 确认 即可。

详细解答可以参考官方帮助文档 注意：无法打开网站时，应该先搜索排查报错提示的含义，本文列举了一些常见的报错情况。 无法访问 ECS 实例上的网站时的分析思路： 根据报错情况分析网络通信问题 ECS Linux 实例网络通信问题排查ECS Windows 实例网络通信问题排查 端口通信问题 ECS Linux 实例端口通信问题ECS Windows 实例端口通信问题 防火墙配置异常 ECS Windows 实例远程无法连接，关闭防火墙后连接恢复正常ECS Linux 实例 SSH 无法连接，关闭 Iptables 后连接恢复正常 重新配置安全组公网规则 网络通信问题 ECS Linux 实例网络通信问题排查 执行 ifconfig 和 ip addr 网络检测命令查看 IP 地址。 执行命令 route -n 通过实例路由表查看网关。 ECS Windows 实例网络通信问题排查 打开 CMD，执行 ipconfig 网络检测命令查看 IP 地址。 执行命令 route print 通过实例路由表查看网关。 注意: 若网卡驱动未开启或网卡配置有问题，请检查网卡驱动，并重新安装。 关于网络相关问题的测试工具，详见 ping 丢包或不通时链路测试说明。 端口通信问题 ECS Linux 实例端口通信问题 执行命令 netstat –antpu | grep sshd 检测 sshd 服务的运行状态，确认端口是否有正常监听。 执行下列命令查看服务运行状态： CentOS6：service sshd statusCentOS7：systemctl status sshd 如果 sshd 服务没有正常运行，执行下列命令手动启动 sshd 服务： CentOS6：service sshd restartCentOS7：systemctl restart sshd 查看 sshd 程序日志 如果无法正常启动 sshd 服务，CentOS 6 系统一般会直接输出错误信息，而CentOS 7 启动时没有输出信息，需要通过 secure 日志进行查看。sshd 日志：/var/log/secure。 通过 secure 日志的报错信息，一般是可以定位绝大部分 sshd 启动异常的问题。 ECS Windows 实例端口通信问题 执行远程端口检测命令： Tasklist /svc | findstr “Ter”netstat –ano | findstr “$PID” 防火墙配置异常 ECS Windows 实例远程无法连接，关闭防火墙后连接恢复正常 前提条件：您只有在已授权可关闭防火墙的情况下，才能做该项排查。 调整防火墙配置策略，详见：ECS Windows 远程连接之防火墙设置。 调整后，重新进行远程连接。 ECS Linux 实例 SSH 无法连接，关闭 Iptables 后连接恢复正常 前提条件：您只有在已授权可关闭 Iptables 的情况下，才能做调整 Iptables 配置策略排查。 执行命令 iptables -nvL –line-number 查看防火墙规则： n 不对 IP 地址进行反查，加上这个参数显示速度会快很多。 v 输出详细信息，包含通过该规则的数据包数量、总字节数及相应的网络接口。 L 查看当前表的所有规则，默认查看的是 filter 表，如果要查看 NAT 表，可以加上 -t NAT 参数。 修改规则。（若您之前已设置过规则策略，执行命令 cp -a /etc/sysconfig/iptables /etc/sysconfig/iptables.bak 保存一份原有的 Iptables 文件，避免丢失已设置过策略。） 执行命令 iptables -F 清空实例上所有的规则。 执行命令 iptables -P INPUT DROP 拒绝 INPUT 方向所有的请求都。 注意：线上业务请勿直接操作，会导致业务直接中断。 执行下列命令放行端口 22： iptables -A INPUT -p tcp --dport 22 -j ACCEPTiptables -A OUTPUT -p tcp --sport 22 -j ACCEPT执行下列命令指定 IP 访问端口 22： iptables -I INPUT -s 192.168.1.1 -p tcp --dport 22 -j ACCEPT 说明： 192.168.1.1 为请求端 IP 地址。 执行命令 iptables -L 查看添加的规则是否生效。 执行命令 iptables-save > /etc/sysconfig/iptables 保存添加的规则。 执行命令 service iptables restart 或 /etc/init.d/iptables restart 重启 Iptables。 执行命令 systemctl reboot 重启实例验证配置。 重新进行 SSH 连接。 重新配置安全组公网规则 原因分析：安全组默认没有放行网站使用的端口（如 80 端口）。您需要自行放行该接口。 解决方法： 登录 ECS 控制台，找到该实例。单击实例 ID，进入详情页，再单击本实例安全组 > 配置规则 >添加安全组规则。根据网站使用的端口配置新的安全组规则，放行网站使用的端口，最后单击确定。 可参考文档添加安全组规则。 根据报错情况分析 报错情况比较复杂，此处列出比较常见的几种报错内容： 403 报错：403 报错是一个大类，403 的报错基本上是权限问题，出现 403 报错时您需要检测权限配置问题。 403.1 错误是由于“执行”访问被禁止而造成的。若试图从目录中执行 CGI、ISAPI 或其他可执行程序，但该目录不允许执行程序时便会出现此种错误。403.2 错误是由于”读取”访问被禁止而造成的。导致此错误是由于没有可用的默认网页并且没有对目录启用目录浏览，或者要显示的 HTML 网页所驻留的目录仅标记为“可执行”或“脚本”权限。403.3 错误是由于“写入”访问被禁止而造成的。当试图将文件上载到目录或在目录中修改文件，但该目录不允许“写”访问时就会出现此种错误。403.4 错误是由于要求 SSL 而造成的。您必须在要查看的网页的地址中使用 HTTPS。403.5 错误是由于要求使用 128 位加密算法的 Web 浏览器而造成的。如果您的浏览器不支持 128 位加密算法就会出现这个错误，您可以连接微软网站进行浏览器升级。403.6 错误是由于 IP 地址被拒绝而造成的。如果服务器中有不能访问该站点的IP地址列表，并且您使用的 IP 地址在该列表中时您就会返回这条错误信息。403.7 错误是因为要求客户证书。当需要访问的资源要求浏览器拥有服务器能够识别的安全套接字层（SSL）客户证书时会返回此种错误。403.8 错误是由于禁止站点访问而造成的。若服务器中有不能访问该站点的 DNS 名称列表，而您使用的 DNS 名称在列表中时就会返回此种信息。请注意区别 403.6 与 403.8 错误。403.9 错误是由于连接的用户过多而造成的，由于 Web 服务器很忙，因通讯量过多而无法处理请求时便会返回这条错误。403.10 错误是由于无效配置而导致的错误。当您试图从目录中执行 CGI、ISAPI 或其他可执行程序，但该目录不允许执行程序时便会返回这条错误。403.11 错误是由于密码更改而导致无权查看页面。403.12 错误是由于映射器拒绝访问而造成的。若要查看的网页要求使用有效的客户证书，而您的客户证书映射没有权限访问该 Web 站点时就会返回映射器拒绝访问的错误。403.13 错误是由于需要查看的网页要求使用有效的客户证书而使用的客户证书已经被吊销，或者无法确定证书是否已吊销造成的。403.14 错误 Web 服务器被配置为不列出此目录的内容，拒绝目录列表。403.15 错误是由于客户访问许可过多而造成的。当服务器超出其客户访问许可限制时会返回此条错误。403.16 错误是由于客户证书不可信或者无效而造成的。403.17 错误是由于客户证书已经到期或者尚未生效而造成的。 404 报错：404 报错主要是页面显示问题或者页面的链接有问题，意味着链接指向的网页不存在，即原始网页的 URL 失效。当 Web 服务器接到类似请求时，会返回一个 404 状态码，告诉浏览器已请求的资源并不存在。导致这个错误的原因一般有以下几种情况： 无法在所请求的端口上访问 Web 站点。Web 服务扩展锁定策略阻止本请求。MIME 映射策略阻止本请求。网站更新改版，但某些局部板块沿用原来的模块，而原有的模块调用的文件已经被删除或转移了路径。跟踪访问的各类脚码或 CSS 文件无效但调用代码依然存在。某个目录直接删除（导致一段时间该目录的文件在被爬行时全部报 404 Not Found 错误）网页 URL 生成规则改变、网页文件更名或移动位置、导入链接拼写错误等，导致原来的 URL 地址无法访问 502 报错：当测试访问报错为 502 Bad Gateway，这是 Web 程序配置异常导致的。建议结合 Web 访问日志，检测一下 Web 程序配置的参数设置是否有异常。详情请参见 502 bad gateway问题的解决方法。503 报错：503 报错是一种 HTTP 状态码，与 404 同属一种网页状态出错码。两者的区别是：前者是服务器出错的一种返回状态，后者是网页程序没有相关结果后返回的一种状态。503 报错产生的原因有可能是以下几种情况： 网络管理员可能关闭应用程序池以执行维护。当请求到达时应用程序池队列已满。应用程序池标识没有使用预定义账户：网络服务。而自己配置了标识，但是配置的这个用户不属于 IIS_WPG 组。应用程序池启用了 CPU 监视，并且设置了 CPU 利用率超过一定百分比关闭应用程序池，而开发人员写的服务端页面 （.asp、.aspx） 执行效率不高，会引起 CPU 的长时间占用，最终达到设置的百分比，从而引起应用程序池关闭。应用程序池的性能选项卡的请求队列限制所填的数值太小，默认为 1000。某个目录直接删除（导致一段时间该目录的文件在被爬行时全部报 404 Not Found 错误）。网页 URL 生成规则改变、网页文件更名或移动位置、导入链接拼写错误等，导致原来的 URL 地址无法访问。该站点正在被攻击。对于最新型的攻击，其实是 DDoS 的一种派生，原理在于找数千个IP，同时向服务器的 Apache 发出请求，然后 立即断开，让 Apache 处于等待状态，致使 Apache 线程全部被填满，致使服务器死机。因此，为了保证大多数客户的利益，我们给每个空间，作出了每 19 秒 64 个 php 请求的限制。注意，是 php 请求，一般的图片请求和 html 请求不包括在内。该程序占用的 php 线程过多，有的程序没有进行好优化处理，一个点击即可产生数个，甚至数十个 php 线程。这样的话，几个点击就可以把该时段的64个 php 线程全部填满了。因此出现 503 错误。建议优化一下程序，尽量少用 require （请求）等语句。 如问题还未解决，请您记录排查结果、相关日志信息或截图，提交工单联系阿里云。

详细解答可以参考官方帮助文档 注意：无法打开网站时，应该先搜索排查报错提示的含义，本文列举了一些常见的报错情况。 无法访问 ECS 实例上的网站时的分析思路： 根据报错情况分析网络通信问题 ECS Linux 实例网络通信问题排查ECS Windows 实例网络通信问题排查 端口通信问题 ECS Linux 实例端口通信问题ECS Windows 实例端口通信问题 防火墙配置异常 ECS Windows 实例远程无法连接，关闭防火墙后连接恢复正常ECS Linux 实例 SSH 无法连接，关闭 Iptables 后连接恢复正常 重新配置安全组公网规则 网络通信问题 ECS Linux 实例网络通信问题排查 执行 ifconfig 和 ip addr 网络检测命令查看 IP 地址。 执行命令 route -n 通过实例路由表查看网关。 ECS Windows 实例网络通信问题排查 打开 CMD，执行 ipconfig 网络检测命令查看 IP 地址。 执行命令 route print 通过实例路由表查看网关。 注意: 若网卡驱动未开启或网卡配置有问题，请检查网卡驱动，并重新安装。 关于网络相关问题的测试工具，详见 ping 丢包或不通时链路测试说明。 端口通信问题 ECS Linux 实例端口通信问题 执行命令 netstat –antpu | grep sshd 检测 sshd 服务的运行状态，确认端口是否有正常监听。 执行下列命令查看服务运行状态： CentOS6：service sshd statusCentOS7：systemctl status sshd 如果 sshd 服务没有正常运行，执行下列命令手动启动 sshd 服务： CentOS6：service sshd restartCentOS7：systemctl restart sshd 查看 sshd 程序日志 如果无法正常启动 sshd 服务，CentOS 6 系统一般会直接输出错误信息，而CentOS 7 启动时没有输出信息，需要通过 secure 日志进行查看。sshd 日志：/var/log/secure。 通过 secure 日志的报错信息，一般是可以定位绝大部分 sshd 启动异常的问题。 ECS Windows 实例端口通信问题 执行远程端口检测命令： Tasklist /svc | findstr “Ter”netstat –ano | findstr “$PID” 防火墙配置异常 ECS Windows 实例远程无法连接，关闭防火墙后连接恢复正常 前提条件：您只有在已授权可关闭防火墙的情况下，才能做该项排查。 调整防火墙配置策略，详见：ECS Windows 远程连接之防火墙设置。 调整后，重新进行远程连接。 ECS Linux 实例 SSH 无法连接，关闭 Iptables 后连接恢复正常 前提条件：您只有在已授权可关闭 Iptables 的情况下，才能做调整 Iptables 配置策略排查。 执行命令 iptables -nvL –line-number 查看防火墙规则： n 不对 IP 地址进行反查，加上这个参数显示速度会快很多。 v 输出详细信息，包含通过该规则的数据包数量、总字节数及相应的网络接口。 L 查看当前表的所有规则，默认查看的是 filter 表，如果要查看 NAT 表，可以加上 -t NAT 参数。 修改规则。（若您之前已设置过规则策略，执行命令 cp -a /etc/sysconfig/iptables /etc/sysconfig/iptables.bak 保存一份原有的 Iptables 文件，避免丢失已设置过策略。） 执行命令 iptables -F 清空实例上所有的规则。 执行命令 iptables -P INPUT DROP 拒绝 INPUT 方向所有的请求都。 注意：线上业务请勿直接操作，会导致业务直接中断。 执行下列命令放行端口 22： iptables -A INPUT -p tcp --dport 22 -j ACCEPTiptables -A OUTPUT -p tcp --sport 22 -j ACCEPT执行下列命令指定 IP 访问端口 22： iptables -I INPUT -s 192.168.1.1 -p tcp --dport 22 -j ACCEPT 说明： 192.168.1.1 为请求端 IP 地址。 执行命令 iptables -L 查看添加的规则是否生效。 执行命令 iptables-save > /etc/sysconfig/iptables 保存添加的规则。 执行命令 service iptables restart 或 /etc/init.d/iptables restart 重启 Iptables。 执行命令 systemctl reboot 重启实例验证配置。 重新进行 SSH 连接。 重新配置安全组公网规则 原因分析：安全组默认没有放行网站使用的端口（如 80 端口）。您需要自行放行该接口。 解决方法： 登录 ECS 控制台，找到该实例。单击实例 ID，进入详情页，再单击本实例安全组 > 配置规则 >添加安全组规则。根据网站使用的端口配置新的安全组规则，放行网站使用的端口，最后单击确定。 可参考文档添加安全组规则。 根据报错情况分析 报错情况比较复杂，此处列出比较常见的几种报错内容： 403 报错：403 报错是一个大类，403 的报错基本上是权限问题，出现 403 报错时您需要检测权限配置问题。 403.1 错误是由于“执行”访问被禁止而造成的。若试图从目录中执行 CGI、ISAPI 或其他可执行程序，但该目录不允许执行程序时便会出现此种错误。403.2 错误是由于”读取”访问被禁止而造成的。导致此错误是由于没有可用的默认网页并且没有对目录启用目录浏览，或者要显示的 HTML 网页所驻留的目录仅标记为“可执行”或“脚本”权限。403.3 错误是由于“写入”访问被禁止而造成的。当试图将文件上载到目录或在目录中修改文件，但该目录不允许“写”访问时就会出现此种错误。403.4 错误是由于要求 SSL 而造成的。您必须在要查看的网页的地址中使用 HTTPS。403.5 错误是由于要求使用 128 位加密算法的 Web 浏览器而造成的。如果您的浏览器不支持 128 位加密算法就会出现这个错误，您可以连接微软网站进行浏览器升级。403.6 错误是由于 IP 地址被拒绝而造成的。如果服务器中有不能访问该站点的IP地址列表，并且您使用的 IP 地址在该列表中时您就会返回这条错误信息。403.7 错误是因为要求客户证书。当需要访问的资源要求浏览器拥有服务器能够识别的安全套接字层（SSL）客户证书时会返回此种错误。403.8 错误是由于禁止站点访问而造成的。若服务器中有不能访问该站点的 DNS 名称列表，而您使用的 DNS 名称在列表中时就会返回此种信息。请注意区别 403.6 与 403.8 错误。403.9 错误是由于连接的用户过多而造成的，由于 Web 服务器很忙，因通讯量过多而无法处理请求时便会返回这条错误。403.10 错误是由于无效配置而导致的错误。当您试图从目录中执行 CGI、ISAPI 或其他可执行程序，但该目录不允许执行程序时便会返回这条错误。403.11 错误是由于密码更改而导致无权查看页面。403.12 错误是由于映射器拒绝访问而造成的。若要查看的网页要求使用有效的客户证书，而您的客户证书映射没有权限访问该 Web 站点时就会返回映射器拒绝访问的错误。403.13 错误是由于需要查看的网页要求使用有效的客户证书而使用的客户证书已经被吊销，或者无法确定证书是否已吊销造成的。403.14 错误 Web 服务器被配置为不列出此目录的内容，拒绝目录列表。403.15 错误是由于客户访问许可过多而造成的。当服务器超出其客户访问许可限制时会返回此条错误。403.16 错误是由于客户证书不可信或者无效而造成的。403.17 错误是由于客户证书已经到期或者尚未生效而造成的。 404 报错：404 报错主要是页面显示问题或者页面的链接有问题，意味着链接指向的网页不存在，即原始网页的 URL 失效。当 Web 服务器接到类似请求时，会返回一个 404 状态码，告诉浏览器已请求的资源并不存在。导致这个错误的原因一般有以下几种情况： 无法在所请求的端口上访问 Web 站点。Web 服务扩展锁定策略阻止本请求。MIME 映射策略阻止本请求。网站更新改版，但某些局部板块沿用原来的模块，而原有的模块调用的文件已经被删除或转移了路径。跟踪访问的各类脚码或 CSS 文件无效但调用代码依然存在。某个目录直接删除（导致一段时间该目录的文件在被爬行时全部报 404 Not Found 错误）网页 URL 生成规则改变、网页文件更名或移动位置、导入链接拼写错误等，导致原来的 URL 地址无法访问 502 报错：当测试访问报错为 502 Bad Gateway，这是 Web 程序配置异常导致的。建议结合 Web 访问日志，检测一下 Web 程序配置的参数设置是否有异常。详情请参见 502 bad gateway问题的解决方法。503 报错：503 报错是一种 HTTP 状态码，与 404 同属一种网页状态出错码。两者的区别是：前者是服务器出错的一种返回状态，后者是网页程序没有相关结果后返回的一种状态。503 报错产生的原因有可能是以下几种情况： 网络管理员可能关闭应用程序池以执行维护。当请求到达时应用程序池队列已满。应用程序池标识没有使用预定义账户：网络服务。而自己配置了标识，但是配置的这个用户不属于 IIS_WPG 组。应用程序池启用了 CPU 监视，并且设置了 CPU 利用率超过一定百分比关闭应用程序池，而开发人员写的服务端页面 （.asp、.aspx） 执行效率不高，会引起 CPU 的长时间占用，最终达到设置的百分比，从而引起应用程序池关闭。应用程序池的性能选项卡的请求队列限制所填的数值太小，默认为 1000。某个目录直接删除（导致一段时间该目录的文件在被爬行时全部报 404 Not Found 错误）。网页 URL 生成规则改变、网页文件更名或移动位置、导入链接拼写错误等，导致原来的 URL 地址无法访问。该站点正在被攻击。对于最新型的攻击，其实是 DDoS 的一种派生，原理在于找数千个IP，同时向服务器的 Apache 发出请求，然后 立即断开，让 Apache 处于等待状态，致使 Apache 线程全部被填满，致使服务器死机。因此，为了保证大多数客户的利益，我们给每个空间，作出了每 19 秒 64 个 php 请求的限制。注意，是 php 请求，一般的图片请求和 html 请求不包括在内。该程序占用的 php 线程过多，有的程序没有进行好优化处理，一个点击即可产生数个，甚至数十个 php 线程。这样的话，几个点击就可以把该时段的64个 php 线程全部填满了。因此出现 503 错误。建议优化一下程序，尽量少用 require （请求）等语句。 如问题还未解决，请您记录排查结果、相关日志信息或截图，提交工单联系阿里云。

详细解答可以参考官方帮助文档 注意：无法打开网站时，应该先搜索排查报错提示的含义，本文列举了一些常见的报错情况。 无法访问 ECS 实例上的网站时的分析思路： 根据报错情况分析网络通信问题 ECS Linux 实例网络通信问题排查ECS Windows 实例网络通信问题排查 端口通信问题 ECS Linux 实例端口通信问题ECS Windows 实例端口通信问题 防火墙配置异常 ECS Windows 实例远程无法连接，关闭防火墙后连接恢复正常ECS Linux 实例 SSH 无法连接，关闭 Iptables 后连接恢复正常 重新配置安全组公网规则 网络通信问题 ECS Linux 实例网络通信问题排查 执行 ifconfig 和 ip addr 网络检测命令查看 IP 地址。 执行命令 route -n 通过实例路由表查看网关。 ECS Windows 实例网络通信问题排查 打开 CMD，执行 ipconfig 网络检测命令查看 IP 地址。 执行命令 route print 通过实例路由表查看网关。 注意: 若网卡驱动未开启或网卡配置有问题，请检查网卡驱动，并重新安装。 关于网络相关问题的测试工具，详见 ping 丢包或不通时链路测试说明。 端口通信问题 ECS Linux 实例端口通信问题 执行命令 netstat –antpu | grep sshd 检测 sshd 服务的运行状态，确认端口是否有正常监听。 执行下列命令查看服务运行状态： CentOS6：service sshd statusCentOS7：systemctl status sshd 如果 sshd 服务没有正常运行，执行下列命令手动启动 sshd 服务： CentOS6：service sshd restartCentOS7：systemctl restart sshd 查看 sshd 程序日志 如果无法正常启动 sshd 服务，CentOS 6 系统一般会直接输出错误信息，而CentOS 7 启动时没有输出信息，需要通过 secure 日志进行查看。sshd 日志：/var/log/secure。 通过 secure 日志的报错信息，一般是可以定位绝大部分 sshd 启动异常的问题。 ECS Windows 实例端口通信问题 执行远程端口检测命令： Tasklist /svc | findstr “Ter”netstat –ano | findstr “$PID” 防火墙配置异常 ECS Windows 实例远程无法连接，关闭防火墙后连接恢复正常 前提条件：您只有在已授权可关闭防火墙的情况下，才能做该项排查。 调整防火墙配置策略，详见：ECS Windows 远程连接之防火墙设置。 调整后，重新进行远程连接。 ECS Linux 实例 SSH 无法连接，关闭 Iptables 后连接恢复正常 前提条件：您只有在已授权可关闭 Iptables 的情况下，才能做调整 Iptables 配置策略排查。 执行命令 iptables -nvL –line-number 查看防火墙规则： n 不对 IP 地址进行反查，加上这个参数显示速度会快很多。 v 输出详细信息，包含通过该规则的数据包数量、总字节数及相应的网络接口。 L 查看当前表的所有规则，默认查看的是 filter 表，如果要查看 NAT 表，可以加上 -t NAT 参数。 修改规则。（若您之前已设置过规则策略，执行命令 cp -a /etc/sysconfig/iptables /etc/sysconfig/iptables.bak 保存一份原有的 Iptables 文件，避免丢失已设置过策略。） 执行命令 iptables -F 清空实例上所有的规则。 执行命令 iptables -P INPUT DROP 拒绝 INPUT 方向所有的请求都。 注意：线上业务请勿直接操作，会导致业务直接中断。 执行下列命令放行端口 22： iptables -A INPUT -p tcp --dport 22 -j ACCEPTiptables -A OUTPUT -p tcp --sport 22 -j ACCEPT执行下列命令指定 IP 访问端口 22： iptables -I INPUT -s 192.168.1.1 -p tcp --dport 22 -j ACCEPT 说明： 192.168.1.1 为请求端 IP 地址。 执行命令 iptables -L 查看添加的规则是否生效。 执行命令 iptables-save > /etc/sysconfig/iptables 保存添加的规则。 执行命令 service iptables restart 或 /etc/init.d/iptables restart 重启 Iptables。 执行命令 systemctl reboot 重启实例验证配置。 重新进行 SSH 连接。 重新配置安全组公网规则 原因分析：安全组默认没有放行网站使用的端口（如 80 端口）。您需要自行放行该接口。 解决方法： 登录 ECS 控制台，找到该实例。单击实例 ID，进入详情页，再单击本实例安全组 > 配置规则 >添加安全组规则。根据网站使用的端口配置新的安全组规则，放行网站使用的端口，最后单击确定。 可参考文档添加安全组规则。 根据报错情况分析 报错情况比较复杂，此处列出比较常见的几种报错内容： 403 报错：403 报错是一个大类，403 的报错基本上是权限问题，出现 403 报错时您需要检测权限配置问题。 403.1 错误是由于“执行”访问被禁止而造成的。若试图从目录中执行 CGI、ISAPI 或其他可执行程序，但该目录不允许执行程序时便会出现此种错误。403.2 错误是由于”读取”访问被禁止而造成的。导致此错误是由于没有可用的默认网页并且没有对目录启用目录浏览，或者要显示的 HTML 网页所驻留的目录仅标记为“可执行”或“脚本”权限。403.3 错误是由于“写入”访问被禁止而造成的。当试图将文件上载到目录或在目录中修改文件，但该目录不允许“写”访问时就会出现此种错误。403.4 错误是由于要求 SSL 而造成的。您必须在要查看的网页的地址中使用 HTTPS。403.5 错误是由于要求使用 128 位加密算法的 Web 浏览器而造成的。如果您的浏览器不支持 128 位加密算法就会出现这个错误，您可以连接微软网站进行浏览器升级。403.6 错误是由于 IP 地址被拒绝而造成的。如果服务器中有不能访问该站点的IP地址列表，并且您使用的 IP 地址在该列表中时您就会返回这条错误信息。403.7 错误是因为要求客户证书。当需要访问的资源要求浏览器拥有服务器能够识别的安全套接字层（SSL）客户证书时会返回此种错误。403.8 错误是由于禁止站点访问而造成的。若服务器中有不能访问该站点的 DNS 名称列表，而您使用的 DNS 名称在列表中时就会返回此种信息。请注意区别 403.6 与 403.8 错误。403.9 错误是由于连接的用户过多而造成的，由于 Web 服务器很忙，因通讯量过多而无法处理请求时便会返回这条错误。403.10 错误是由于无效配置而导致的错误。当您试图从目录中执行 CGI、ISAPI 或其他可执行程序，但该目录不允许执行程序时便会返回这条错误。403.11 错误是由于密码更改而导致无权查看页面。403.12 错误是由于映射器拒绝访问而造成的。若要查看的网页要求使用有效的客户证书，而您的客户证书映射没有权限访问该 Web 站点时就会返回映射器拒绝访问的错误。403.13 错误是由于需要查看的网页要求使用有效的客户证书而使用的客户证书已经被吊销，或者无法确定证书是否已吊销造成的。403.14 错误 Web 服务器被配置为不列出此目录的内容，拒绝目录列表。403.15 错误是由于客户访问许可过多而造成的。当服务器超出其客户访问许可限制时会返回此条错误。403.16 错误是由于客户证书不可信或者无效而造成的。403.17 错误是由于客户证书已经到期或者尚未生效而造成的。 404 报错：404 报错主要是页面显示问题或者页面的链接有问题，意味着链接指向的网页不存在，即原始网页的 URL 失效。当 Web 服务器接到类似请求时，会返回一个 404 状态码，告诉浏览器已请求的资源并不存在。导致这个错误的原因一般有以下几种情况： 无法在所请求的端口上访问 Web 站点。Web 服务扩展锁定策略阻止本请求。MIME 映射策略阻止本请求。网站更新改版，但某些局部板块沿用原来的模块，而原有的模块调用的文件已经被删除或转移了路径。跟踪访问的各类脚码或 CSS 文件无效但调用代码依然存在。某个目录直接删除（导致一段时间该目录的文件在被爬行时全部报 404 Not Found 错误）网页 URL 生成规则改变、网页文件更名或移动位置、导入链接拼写错误等，导致原来的 URL 地址无法访问 502 报错：当测试访问报错为 502 Bad Gateway，这是 Web 程序配置异常导致的。建议结合 Web 访问日志，检测一下 Web 程序配置的参数设置是否有异常。详情请参见 502 bad gateway问题的解决方法。503 报错：503 报错是一种 HTTP 状态码，与 404 同属一种网页状态出错码。两者的区别是：前者是服务器出错的一种返回状态，后者是网页程序没有相关结果后返回的一种状态。503 报错产生的原因有可能是以下几种情况： 网络管理员可能关闭应用程序池以执行维护。当请求到达时应用程序池队列已满。应用程序池标识没有使用预定义账户：网络服务。而自己配置了标识，但是配置的这个用户不属于 IIS_WPG 组。应用程序池启用了 CPU 监视，并且设置了 CPU 利用率超过一定百分比关闭应用程序池，而开发人员写的服务端页面 （.asp、.aspx） 执行效率不高，会引起 CPU 的长时间占用，最终达到设置的百分比，从而引起应用程序池关闭。应用程序池的性能选项卡的请求队列限制所填的数值太小，默认为 1000。某个目录直接删除（导致一段时间该目录的文件在被爬行时全部报 404 Not Found 错误）。网页 URL 生成规则改变、网页文件更名或移动位置、导入链接拼写错误等，导致原来的 URL 地址无法访问。该站点正在被攻击。对于最新型的攻击，其实是 DDoS 的一种派生，原理在于找数千个IP，同时向服务器的 Apache 发出请求，然后 立即断开，让 Apache 处于等待状态，致使 Apache 线程全部被填满，致使服务器死机。因此，为了保证大多数客户的利益，我们给每个空间，作出了每 19 秒 64 个 php 请求的限制。注意，是 php 请求，一般的图片请求和 html 请求不包括在内。该程序占用的 php 线程过多，有的程序没有进行好优化处理，一个点击即可产生数个，甚至数十个 php 线程。这样的话，几个点击就可以把该时段的64个 php 线程全部填满了。因此出现 503 错误。建议优化一下程序，尽量少用 require （请求）等语句。 如问题还未解决，请您记录排查结果、相关日志信息或截图，提交工单联系阿里云。

详细解答可以参考官方帮助文档 注意：无法打开网站时，应该先搜索排查报错提示的含义，本文列举了一些常见的报错情况。 无法访问 ECS 实例上的网站时的分析思路： 根据报错情况分析网络通信问题 ECS Linux 实例网络通信问题排查ECS Windows 实例网络通信问题排查 端口通信问题 ECS Linux 实例端口通信问题ECS Windows 实例端口通信问题 防火墙配置异常 ECS Windows 实例远程无法连接，关闭防火墙后连接恢复正常ECS Linux 实例 SSH 无法连接，关闭 Iptables 后连接恢复正常 重新配置安全组公网规则 网络通信问题 ECS Linux 实例网络通信问题排查 执行 ifconfig 和 ip addr 网络检测命令查看 IP 地址。 执行命令 route -n 通过实例路由表查看网关。 ECS Windows 实例网络通信问题排查 打开 CMD，执行 ipconfig 网络检测命令查看 IP 地址。 执行命令 route print 通过实例路由表查看网关。 注意: 若网卡驱动未开启或网卡配置有问题，请检查网卡驱动，并重新安装。 关于网络相关问题的测试工具，详见 ping 丢包或不通时链路测试说明。 端口通信问题 ECS Linux 实例端口通信问题 执行命令 netstat –antpu | grep sshd 检测 sshd 服务的运行状态，确认端口是否有正常监听。 执行下列命令查看服务运行状态： CentOS6：service sshd statusCentOS7：systemctl status sshd 如果 sshd 服务没有正常运行，执行下列命令手动启动 sshd 服务： CentOS6：service sshd restartCentOS7：systemctl restart sshd 查看 sshd 程序日志 如果无法正常启动 sshd 服务，CentOS 6 系统一般会直接输出错误信息，而CentOS 7 启动时没有输出信息，需要通过 secure 日志进行查看。sshd 日志：/var/log/secure。 通过 secure 日志的报错信息，一般是可以定位绝大部分 sshd 启动异常的问题。 ECS Windows 实例端口通信问题 执行远程端口检测命令： Tasklist /svc | findstr “Ter”netstat –ano | findstr “$PID” 防火墙配置异常 ECS Windows 实例远程无法连接，关闭防火墙后连接恢复正常 前提条件：您只有在已授权可关闭防火墙的情况下，才能做该项排查。 调整防火墙配置策略，详见：ECS Windows 远程连接之防火墙设置。 调整后，重新进行远程连接。 ECS Linux 实例 SSH 无法连接，关闭 Iptables 后连接恢复正常 前提条件：您只有在已授权可关闭 Iptables 的情况下，才能做调整 Iptables 配置策略排查。 执行命令 iptables -nvL –line-number 查看防火墙规则： n 不对 IP 地址进行反查，加上这个参数显示速度会快很多。 v 输出详细信息，包含通过该规则的数据包数量、总字节数及相应的网络接口。 L 查看当前表的所有规则，默认查看的是 filter 表，如果要查看 NAT 表，可以加上 -t NAT 参数。 修改规则。（若您之前已设置过规则策略，执行命令 cp -a /etc/sysconfig/iptables /etc/sysconfig/iptables.bak 保存一份原有的 Iptables 文件，避免丢失已设置过策略。） 执行命令 iptables -F 清空实例上所有的规则。 执行命令 iptables -P INPUT DROP 拒绝 INPUT 方向所有的请求都。 注意：线上业务请勿直接操作，会导致业务直接中断。 执行下列命令放行端口 22： iptables -A INPUT -p tcp --dport 22 -j ACCEPTiptables -A OUTPUT -p tcp --sport 22 -j ACCEPT执行下列命令指定 IP 访问端口 22： iptables -I INPUT -s 192.168.1.1 -p tcp --dport 22 -j ACCEPT 说明： 192.168.1.1 为请求端 IP 地址。 执行命令 iptables -L 查看添加的规则是否生效。 执行命令 iptables-save > /etc/sysconfig/iptables 保存添加的规则。 执行命令 service iptables restart 或 /etc/init.d/iptables restart 重启 Iptables。 执行命令 systemctl reboot 重启实例验证配置。 重新进行 SSH 连接。 重新配置安全组公网规则 原因分析：安全组默认没有放行网站使用的端口（如 80 端口）。您需要自行放行该接口。 解决方法： 登录 ECS 控制台，找到该实例。单击实例 ID，进入详情页，再单击本实例安全组 > 配置规则 >添加安全组规则。根据网站使用的端口配置新的安全组规则，放行网站使用的端口，最后单击确定。 可参考文档添加安全组规则。 根据报错情况分析 报错情况比较复杂，此处列出比较常见的几种报错内容： 403 报错：403 报错是一个大类，403 的报错基本上是权限问题，出现 403 报错时您需要检测权限配置问题。 403.1 错误是由于“执行”访问被禁止而造成的。若试图从目录中执行 CGI、ISAPI 或其他可执行程序，但该目录不允许执行程序时便会出现此种错误。403.2 错误是由于”读取”访问被禁止而造成的。导致此错误是由于没有可用的默认网页并且没有对目录启用目录浏览，或者要显示的 HTML 网页所驻留的目录仅标记为“可执行”或“脚本”权限。403.3 错误是由于“写入”访问被禁止而造成的。当试图将文件上载到目录或在目录中修改文件，但该目录不允许“写”访问时就会出现此种错误。403.4 错误是由于要求 SSL 而造成的。您必须在要查看的网页的地址中使用 HTTPS。403.5 错误是由于要求使用 128 位加密算法的 Web 浏览器而造成的。如果您的浏览器不支持 128 位加密算法就会出现这个错误，您可以连接微软网站进行浏览器升级。403.6 错误是由于 IP 地址被拒绝而造成的。如果服务器中有不能访问该站点的IP地址列表，并且您使用的 IP 地址在该列表中时您就会返回这条错误信息。403.7 错误是因为要求客户证书。当需要访问的资源要求浏览器拥有服务器能够识别的安全套接字层（SSL）客户证书时会返回此种错误。403.8 错误是由于禁止站点访问而造成的。若服务器中有不能访问该站点的 DNS 名称列表，而您使用的 DNS 名称在列表中时就会返回此种信息。请注意区别 403.6 与 403.8 错误。403.9 错误是由于连接的用户过多而造成的，由于 Web 服务器很忙，因通讯量过多而无法处理请求时便会返回这条错误。403.10 错误是由于无效配置而导致的错误。当您试图从目录中执行 CGI、ISAPI 或其他可执行程序，但该目录不允许执行程序时便会返回这条错误。403.11 错误是由于密码更改而导致无权查看页面。403.12 错误是由于映射器拒绝访问而造成的。若要查看的网页要求使用有效的客户证书，而您的客户证书映射没有权限访问该 Web 站点时就会返回映射器拒绝访问的错误。403.13 错误是由于需要查看的网页要求使用有效的客户证书而使用的客户证书已经被吊销，或者无法确定证书是否已吊销造成的。403.14 错误 Web 服务器被配置为不列出此目录的内容，拒绝目录列表。403.15 错误是由于客户访问许可过多而造成的。当服务器超出其客户访问许可限制时会返回此条错误。403.16 错误是由于客户证书不可信或者无效而造成的。403.17 错误是由于客户证书已经到期或者尚未生效而造成的。 404 报错：404 报错主要是页面显示问题或者页面的链接有问题，意味着链接指向的网页不存在，即原始网页的 URL 失效。当 Web 服务器接到类似请求时，会返回一个 404 状态码，告诉浏览器已请求的资源并不存在。导致这个错误的原因一般有以下几种情况： 无法在所请求的端口上访问 Web 站点。Web 服务扩展锁定策略阻止本请求。MIME 映射策略阻止本请求。网站更新改版，但某些局部板块沿用原来的模块，而原有的模块调用的文件已经被删除或转移了路径。跟踪访问的各类脚码或 CSS 文件无效但调用代码依然存在。某个目录直接删除（导致一段时间该目录的文件在被爬行时全部报 404 Not Found 错误）网页 URL 生成规则改变、网页文件更名或移动位置、导入链接拼写错误等，导致原来的 URL 地址无法访问 502 报错：当测试访问报错为 502 Bad Gateway，这是 Web 程序配置异常导致的。建议结合 Web 访问日志，检测一下 Web 程序配置的参数设置是否有异常。详情请参见 502 bad gateway问题的解决方法。503 报错：503 报错是一种 HTTP 状态码，与 404 同属一种网页状态出错码。两者的区别是：前者是服务器出错的一种返回状态，后者是网页程序没有相关结果后返回的一种状态。503 报错产生的原因有可能是以下几种情况： 网络管理员可能关闭应用程序池以执行维护。当请求到达时应用程序池队列已满。应用程序池标识没有使用预定义账户：网络服务。而自己配置了标识，但是配置的这个用户不属于 IIS_WPG 组。应用程序池启用了 CPU 监视，并且设置了 CPU 利用率超过一定百分比关闭应用程序池，而开发人员写的服务端页面 （.asp、.aspx） 执行效率不高，会引起 CPU 的长时间占用，最终达到设置的百分比，从而引起应用程序池关闭。应用程序池的性能选项卡的请求队列限制所填的数值太小，默认为 1000。某个目录直接删除（导致一段时间该目录的文件在被爬行时全部报 404 Not Found 错误）。网页 URL 生成规则改变、网页文件更名或移动位置、导入链接拼写错误等，导致原来的 URL 地址无法访问。该站点正在被攻击。对于最新型的攻击，其实是 DDoS 的一种派生，原理在于找数千个IP，同时向服务器的 Apache 发出请求，然后 立即断开，让 Apache 处于等待状态，致使 Apache 线程全部被填满，致使服务器死机。因此，为了保证大多数客户的利益，我们给每个空间，作出了每 19 秒 64 个 php 请求的限制。注意，是 php 请求，一般的图片请求和 html 请求不包括在内。该程序占用的 php 线程过多，有的程序没有进行好优化处理，一个点击即可产生数个，甚至数十个 php 线程。这样的话，几个点击就可以把该时段的64个 php 线程全部填满了。因此出现 503 错误。建议优化一下程序，尽量少用 require （请求）等语句。 如问题还未解决，请您记录排查结果、相关日志信息或截图，提交工单联系阿里云。