Initial_commit_SecMPS_v2

owl_zlmediakit/排查手册-访问超时.md

@@ -0,0 +1,420 @@
+# GoWVP + ZLMediaKit 访问超时排查手册
+
+> **适用场景**: 浏览器访问 `http://192.168.3.108` 超时 / 无法打开
+> **排查原则**: 从"服务层→端口层→防火墙层→网络层"逐层验证
+
+---
+
+## 第一步：确认容器是否正常运行
+
+```bash
+# 1. 查看容器状态
+docker-compose -f /opt/owl-zlmediakit/docker-compose.yml ps
+
+# 预期输出：两个容器都显示 Up
+# NAME         IMAGE                           COMMAND                  SERVICE      CREATED         STATUS         PORTS
+# gowvp        gospace/gowvp:latest            "/opt/owl/owl-server"   gowvp        10 minutes ago  Up 10 minutes
+# zlmediakit   zlmediakit/zlmediakit:master   "/bin/sh -c 'cd /op…'"   zlmediakit   10 minutes ago  Up 10 minutes
+```
+
+**如果状态不是 `Up`，说明容器启动失败：**
+
+```bash
+# 查看容器退出原因
+docker logs zlmediakit --tail 50
+docker logs gowvp --tail 50
+
+# 常见错误：
+# - "port is already allocated" → 端口被占用（见第二步）
+# - "Permission denied" → SELinux限制（见第四步）
+# - "exec format error" → 镜像架构不对（x86_64镜像跑在ARM64上）
+```
+
+---
+
+## 第二步：确认端口是否在监听
+
+```bash
+# 方法1: 使用 ss 命令（推荐）
+ss -tlnp | grep -E ':80|:15123'
+
+# 方法2: 使用 netstat
+netstat -tlnp | grep -E ':80|:15123'
+
+# 方法3: 直接测试端口连通性
+curl -I http://127.0.0.1:80
+curl -I http://127.0.0.1:15123
+
+# 方法4: 查看ZLMediaKit实际监听的端口
+docker exec zlmediakit netstat -tlnp
+```
+
+**预期输出示例：**
+```
+State    Recv-Q   Send-Q     Local Address:Port      Peer Address:Port  Process
+LISTEN   0        128              0.0.0.0:80             0.0.0.0:*      users:(("MediaServer",pid=1,fd=25))
+LISTEN   0        128              0.0.0.0:15123          0.0.0.0:*      users:(("owl-server",pid=1,fd=18))
+```
+
+> **关键点**: `Local Address` 必须显示 `0.0.0.0:80` 或 `:::80`，如果显示 `127.0.0.1:80`，说明服务只监听了本地回环，外部无法访问。
+> 但在 `network_mode: host` 模式下，服务通常会自动监听 `0.0.0.0`，除非程序自身配置限制了。
+
+**如果端口未监听：**
+
+```bash
+# 检查端口是否被其他程序占用
+ss -tlnp | grep :80
+lsof -i :80
+
+# 如果有其他程序占用了80端口（如nginx、apache）
+# 方案A: 停止占用程序
+sudo systemctl stop nginx
+
+# 方案B: 修改ZLMediaKit端口（不推荐，很多配置依赖80端口）
+# 编辑 data/zlm-config.ini 将 [http] 下的 port=80 改为 port=8080
+```
+
+---
+
+## 第三步：测试服务器本机访问
+
+```bash
+# 在服务器上测试，确认服务本身是否正常
+curl -I http://127.0.0.1
+curl -I http://192.168.3.108
+curl http://192.168.3.108/index/api/getApiList
+
+# 测试GoWVP
+curl -I http://127.0.0.1:15123
+curl -I http://192.168.3.108:15123
+```
+
+**如果 `127.0.0.1` 能访问但 `192.168.3.108` 不能：**
+- 说明服务正常，但绑定在了 `127.0.0.1` 而不是 `0.0.0.0`
+- 需要检查程序启动参数或配置
+
+**如果两者都不能访问：**
+- 服务本身有问题，查看容器日志
+
+---
+
+## 第四步：检查防火墙
+
+统信UOS 1070军事版默认可能开启防火墙，这是超时最常见的原因！
+
+```bash
+# ===== 检查 firewalld =====
+sudo firewall-cmd --state
+sudo firewall-cmd --list-all
+sudo firewall-cmd --list-ports
+
+# 如果 firewalld 运行中，放行端口
+sudo firewall-cmd --permanent --add-port=80/tcp
+sudo firewall-cmd --permanent --add-port=15123/tcp
+sudo firewall-cmd --permanent --add-port=15060/tcp
+sudo firewall-cmd --permanent --add-port=15060/udp
+sudo firewall-cmd --reload
+
+# ===== 检查 iptables =====
+sudo iptables -L -n | grep -E '80|15123'
+
+# 如果 iptables 有DROP规则，添加ACCEPT
+sudo iptables -I INPUT -p tcp --dport 80 -j ACCEPT
+sudo iptables -I INPUT -p tcp --dport 15123 -j ACCEPT
+sudo iptables -I INPUT -p tcp --dport 15060 -j ACCEPT
+sudo iptables -I INPUT -p udp --dport 15060 -j ACCEPT
+
+# ===== 检查 ufw (Debian/Ubuntu系列) =====
+sudo ufw status
+sudo ufw allow 80/tcp
+sudo ufw allow 15123/tcp
+
+# ===== 统信UOS特有: 安全中心/安全加固 =====
+# 1070军事版可能启用了额外的安全策略
+# 检查是否有应用层防火墙或白名单机制
+sudo cat /etc/security/limits.conf
+cat /etc/hosts.allow
+cat /etc/hosts.deny
+```
+
+> ⚠️ **统信UOS 1070军事版特殊提示**：
+> 军事版通常有更严格的默认安全策略，可能：
+> 1. 默认拒绝所有入站连接
+> 2. 开启了额外的安全审计/访问控制
+> 3. SELinux 处于 Enforcing 模式
+>
+> 如果上述防火墙命令执行后仍无法访问，请联系系统管理员确认是否有额外的网络安全策略。
+
+---
+
+## 第五步：检查 SELinux
+
+```bash
+# 查看SELinux状态
+getenforce
+# 可能输出: Enforcing / Permissive / Disabled
+
+# 如果为 Enforcing，尝试临时设置为 Permissive（仅用于测试）
+sudo setenforce 0
+
+# 测试访问是否恢复
+# 如果恢复，说明是SELinux限制，需要添加策略而不是永久关闭
+
+# 查看SELinux审计日志（确认是否是SELinux拦截）
+sudo cat /var/log/audit/audit.log | grep -i denied | tail -20
+sudo ausearch -m avc -ts recent
+
+# 如果是SELinux问题，为Docker添加权限
+sudo setsebool -P container_manage_cgroup on
+```
+
+> **注意**: 军事环境可能不允许关闭 SELinux，请先确认安全策略要求。
+
+---
+
+## 第六步：检查网络连通性
+
+```bash
+# 1. 确认IP地址正确
+ip addr show | grep 192.168.3.108
+
+# 2. 从服务器ping网关，确认网络正常
+ping 192.168.3.1
+
+# 3. 从其他机器ping服务器
+# 在另一台电脑上执行:
+ping 192.168.3.108
+
+# 如果ping不通，说明网络层有问题（网线、交换机、路由）
+# 如果ping通但HTTP超时，说明传输层/应用层有问题（防火墙、服务未启动）
+
+# 4. 从其他机器测试端口连通性
+telnet 192.168.3.108 80
+# 或
+nc -vz 192.168.3.108 80
+```
+
+---
+
+## 第七步：查看详细日志
+
+```bash
+# ZLMediaKit 实时日志
+docker logs -f zlmediakit
+
+# GoWVP 实时日志
+docker logs -f gowvp
+
+# 系统日志（查看Docker、网络相关错误）
+sudo journalctl -u docker -n 100 --no-pager
+sudo journalctl -n 50 --no-pager | grep -i -E 'firewall|denied|reject'
+
+# 查看ZLMediaKit配置文件是否被正确加载
+docker exec zlmediakit cat /opt/media/conf/config.ini | grep -E 'port|externIP'
+```
+
+**重点关注的日志关键词：**
+- `bind failed` / `Address already in use` → 端口占用
+- `Permission denied` → 权限/SELinux问题
+- `listen failed` → 监听失败
+- `accept failed` → 连接被拒绝
+
+---
+
+## 第八步：一键排查脚本
+
+在服务器上执行以下脚本，自动检测常见问题：
+
+```bash
+cd /opt/owl-zlmediakit
+sudo tee scripts/diagnose.sh > /dev/null << 'EOF'
+#!/bin/bash
+# GoWVP + ZLMediaKit 访问超时一键排查脚本
+
+SERVER_IP="192.168.3.108"
+
+echo "=========================================="
+echo "  访问超时诊断脚本"
+echo "  服务器IP: ${SERVER_IP}"
+echo "=========================================="
+
+# 1. 检查容器状态
+echo -e "\n[1/8] 检查容器状态..."
+if docker ps | grep -q zlmediakit; then
+    echo "  ✓ ZLMediaKit 容器运行中"
+else
+    echo "  ✗ ZLMediaKit 容器未运行"
+    docker ps -a | grep zlmediakit
+fi
+
+if docker ps | grep -q gowvp; then
+    echo "  ✓ GoWVP 容器运行中"
+else
+    echo "  ✗ GoWVP 容器未运行"
+    docker ps -a | grep gowvp
+fi
+
+# 2. 检查端口监听
+echo -e "\n[2/8] 检查端口监听..."
+for port in 80 15123; do
+    if ss -tlnp 2>/dev/null | grep -q ":${port} "; then
+        echo "  ✓ 端口 ${port} 正在监听"
+        ss -tlnp | grep ":${port} " | head -1
+    else
+        echo "  ✗ 端口 ${port} 未监听"
+    fi
+done
+
+# 3. 本机访问测试
+echo -e "\n[3/8] 本机访问测试..."
+if curl -s -o /dev/null -w "%{http_code}" http://127.0.0.1 | grep -q "200\|302\|404"; then
+    echo "  ✓ 127.0.0.1:80 可访问"
+else
+    echo "  ✗ 127.0.0.1:80 无法访问"
+fi
+
+if curl -s -o /dev/null -w "%{http_code}" http://${SERVER_IP} | grep -q "200\|302\|404"; then
+    echo "  ✓ ${SERVER_IP}:80 可访问"
+else
+    echo "  ✗ ${SERVER_IP}:80 无法访问"
+fi
+
+# 4. 防火墙检查
+echo -e "\n[4/8] 检查防火墙..."
+if command -v firewall-cmd &> /dev/null; then
+    if firewall-cmd --state 2>/dev/null | grep -q "running"; then
+        echo "  firewalld 运行中，已开放端口:"
+        firewall-cmd --list-ports | tr ' ' '\n' | grep -E '80|15123' | sed 's/^/    /'
+    else
+        echo "  firewalld 未运行"
+    fi
+fi
+
+if command -v iptables &> /dev/null; then
+    IPTABLES_COUNT=$(iptables -L INPUT -n --line-numbers 2>/dev/null | grep -c -E 'dpt:80|dpt:15123' || true)
+    if [ "$IPTABLES_COUNT" -gt 0 ]; then
+        echo "  iptables 相关规则:"
+        iptables -L INPUT -n --line-numbers | grep -E 'dpt:80|dpt:15123' | sed 's/^/    /'
+    else
+        echo "  iptables 无80/15123相关规则"
+    fi
+fi
+
+# 5. SELinux检查
+echo -e "\n[5/8] 检查SELinux..."
+if command -v getenforce &> /dev/null; then
+    SELINUX_STATUS=$(getenforce)
+    echo "  SELinux 状态: ${SELINUX_STATUS}"
+    if [ "${SELINUX_STATUS}" = "Enforcing" ]; then
+        echo "  ⚠ SELinux 处于强制模式，可能拦截访问"
+    fi
+else
+    echo "  SELinux 未安装"
+fi
+
+# 6. 网络接口检查
+echo -e "\n[6/8] 检查网络接口..."
+ip addr show | grep "${SERVER_IP}" > /dev/null 2>&1
+if [ $? -eq 0 ]; then
+    echo "  ✓ IP ${SERVER_IP} 已绑定到网卡"
+    ip addr show | grep "${SERVER_IP}" | sed 's/^/    /'
+else
+    echo "  ✗ IP ${SERVER_IP} 未绑定到任何网卡"
+    echo "  可用IP地址:"
+    ip addr show | grep "inet " | sed 's/^/    /'
+fi
+
+# 7. 端口占用检查
+echo -e "\n[7/8] 检查80端口占用..."
+PORT_80_PID=$(ss -tlnp 2>/dev/null | grep ':80 ' | head -1)
+if [ -n "$PORT_80_PID" ]; then
+    echo "  端口80被占用:"
+    echo "    ${PORT_80_PID}"
+else
+    echo "  端口80未被监听"
+fi
+
+# 8. Docker网络检查
+echo -e "\n[8/8] 检查Docker网络配置..."
+docker network ls | grep -q host
+if [ $? -eq 0 ]; then
+    echo "  ✓ host 网络模式可用"
+else
+    echo "  ✗ host 网络模式不可用"
+fi
+
+echo -e "\n=========================================="
+echo "  诊断完成"
+echo "=========================================="
+EOF
+
+sudo chmod +x scripts/diagnose.sh
+sudo ./scripts/diagnose.sh
+```
+
+---
+
+## 常见原因速查表
+
+| 现象 | 最可能原因 | 解决方案 |
+|------|-----------|----------|
+| 浏览器超时，但服务器上`curl 127.0.0.1`正常 | **防火墙拦截** | 执行`firewall-cmd --add-port=80/tcp`或`iptables -I INPUT -p tcp --dport 80 -j ACCEPT` |
+| 浏览器超时，`curl 127.0.0.1`也失败 | **服务未启动/端口未监听** | `docker logs zlmediakit`查看错误，可能是端口被占用 |
+| `docker-compose ps`显示Exit | **容器启动失败** | 查看`docker logs`，可能是SELinux或镜像架构问题 |
+| 能ping通但HTTP超时 | **防火墙或SELinux** | 检查防火墙规则 + `getenforce` |
+| 连ping都ping不通 | **网络层问题** | 检查网线、交换机、IP配置 |
+| `ss`显示端口监听在`127.0.0.1:80` | **服务绑定错误** | 检查程序配置，确保绑定到`0.0.0.0` |
+
+---
+
+## 统信UOS 1070军事版特有问题
+
+### 1. 默认安全策略
+
+1070军事版通常有严格的安全加固：
+
+```bash
+# 检查是否有额外的安全模块
+lsmod | grep -E 'security|apparmor|selinux'
+cat /proc/1/attr/current
+
+# 检查TCP Wrappers
+cat /etc/hosts.allow
+cat /etc/hosts.deny
+```
+
+### 2. Docker在军事版上的特殊问题
+
+```bash
+# 检查Docker是否被安全策略限制
+sudo auditctl -l | grep docker
+sudo cat /var/log/audit/audit.log | grep -i docker | tail -20
+
+# 检查cgroup配置（统信UOS可能有特殊配置）
+cat /proc/self/cgroup
+mount | grep cgroup
+```
+
+### 3. 如果所有排查都没问题
+
+可能是军事版定制的内核或安全模块拦截了。尝试：
+
+```bash
+# 临时关闭所有防火墙（仅测试用，测试后恢复）
+sudo systemctl stop firewalld
+sudo iptables -F
+sudo setenforce 0
+
+# 测试访问
+# 如果此时可以访问，说明确实是防火墙/安全策略问题
+# 逐条恢复策略，定位具体是哪条规则导致的拦截
+```
+
+---
+
+> 如果以上排查都未能解决问题，请提供以下信息以便进一步分析：
+> 1. `docker-compose ps` 的输出
+> 2. `ss -tlnp | grep -E ':80|:15123'` 的输出
+> 3. `sudo firewall-cmd --list-all` 或 `sudo iptables -L -n` 的输出
+> 4. `getenforce` 的输出
+> 5. `docker logs zlmediakit --tail 30` 的输出