Настройка Open Litespeed server в webadmin console

Server Configuration > Security

Настройки этого раздела требуют глубоких знаний и опыта. Вы можете легко купировать угрозы безопасности и предотвратить DDOS атаки без ущерба (или свести его к минимуму) для производительности и стабильности сервера. Оставьте значения “по умолчанию” если нет необходимости в защите сервера от атак.

Структура вкладки Server Configuration > Security:

• File Access
• Per Client Throttling – настройки управления подключением, основанные на IP-адресе клиента. Эти настройки помогают нивелировать DoS-атаки (отказ в обслуживании) и DDoS-атаки (распределенный отказ в обслуживании).
• CGI Settings – настройки процессов CGI. Ограничения памяти и процессов по умолчанию для внешних приложений, если ограничения не были установлены явно.
• LS reCAPTCHA – reCAPTCHA Protection – сервис для снижения большой нагрузки на сервер. Защита reCAPTCHA активируется при необходимости автоматически. После активации все запросы от недоверенных(настроенных) клиентов будут перенаправлены на страницу проверки reCAPTCHA. После проверки клиент будет перенаправлен на нужную ему страницу или запрос будет отклонен и блокирован.

• Bubblewrap Container – создает новое, полностью пустое пространство для монтирования, где корень находится на tmpfs, который невидим с хоста и будет автоматически очищен при завершении процесса. Bubblewrap запускает приложение в изолированной среде, где оно имеет ограниченный доступ к операционной системе или пользовательским данным, таким как домашний каталог.
• Access Denied Directories – каталоги, доступ к которым должен быть заблокирован. Добавьте каталоги, содержащие конфиденциальные данные, в этот список, чтобы предотвратить случайное раскрытие конфиденциальных файлов клиентам. Добавьте “*” к пути, чтобы включить все подкаталоги. Этот параметр запрещает только обнаружение статических файлов из этих каталогов, но не блокирует выполнение внешних скриптов, таких как PHP/Ruby/CGI.
• Access Control – определяет, какие подсети и / или IP – адреса могут получить доступ к серверу. На уровне сервера этот параметр влияет на все виртуальные хосты. Настройте управление доступом, уникальное для каждого виртуального хоста на уровне виртуального хоста. Параметры уровня виртуального хоста не будут переопределять параметры уровня сервера.

Раздел File Access

• Follow Symbolic Link – значение по умолчанию для символьных ссылок на уровне сервера при обслуживании статических файлов. Для лучшей безопасности выберите Нет. Для достижения наилучшей производительности выберите Да.
• Check Symbolic Link – проверяет символические ссылки из “Access Denied Directories”, когда включена функция “Follow Symbolic Link”. Если этот параметр включен, то канонический путь ресурса, на который ссылается URL – адрес. Доступ будет запрещен, если ссылается на закрытый каталог. Для обеспечения максимальной безопасности включите эту опцию. Для лучшей производительности отключите.
• Force Strict Ownership – строгая проверка прав владения файлами. Если включено, веб-сервер проверит, совпадает ли владелец обслуживаемого файла с владельцем виртуального хоста. Если отличается, то будет возвращена ошибка 403 Access Denied. По умолчанию эта функция отключена. Если вы передоставляете услуги хостинга, включите эту проверку для повышения безопасности.

Раздел Per Client Throttling

• Static Requests/second – максимальное количество запросов к статическому контенту, поступающих с одного IP-адреса, которые могут быть обработаны за одну секунду независимо от количества установленных подключений. Когда этот предел достигнут, все поступающие запросы откладываются до следующей секунды. Ограничения запросов для динамически генерируемого контента не зависят от этого ограничения. Ограничения на запросы для каждого клиента могут быть установлены на уровне сервера или виртуального хоста. Параметры уровня виртуального хоста переопределяют параметры уровня сервера. На доверенные IP – адреса или подсети ограничение не распространяется.
• Dynamic Requests/second – максимальное количество запросов к динамически генерируемому контенту, поступающих с одного IP-адреса, которое может быть обработано в каждую секунду независимо от количества установленных подключений. Когда этот предел достигнут, все запросы к динамическому контенту откладываются до следующей секунды. Это ограничение может быть установлено на уровне сервера или виртуального хоста. Параметры уровня виртуального хоста переопределяют параметры уровня сервера. На доверенные IP – адреса или подсети ограничение не распространяется.
• Outbound Bandwidth (bytes/sec) – максимально допустимая исходящая пропускная способность на один IP – адрес, независимо от количества установленных соединений. Реальная пропускная способность может оказаться немного выше этого значения по соображениям эффективности. Полоса пропускания выделяется блоками по 4 КБ. Ограничения пропускной способности для каждого клиента (байт / сек) могут быть установлены на уровне сервера или виртуального хоста, где параметры уровня виртуального хоста переопределяют параметры уровня сервера. Установите пропускную способность кратной 8 КБ для повышения производительности.
• Inbound Bandwidth (bytes/sec) – максимально допустимая входящая пропускная способность с одного IP-адреса, независимо от количества установленных соединений. Реальная пропускная способность может оказаться немного выше этого значения по соображениям эффективности. Полоса пропускания выделяется от 1 единицы. Установите значение 0, чтобы отключить. Ограничения пропускной способности для каждого клиента (байт / сек) могут быть установлены на уровне сервера или виртуального хоста, где параметры уровня виртуального хоста переопределяют параметры уровня сервера.
• Connection Soft Limit – “мягкое” ограничение одновременных подключений, разрешенных с одного IP-адреса. Этот предел может быть временно превышен в течение “Grace Period (sec)”до тех пор, пока число соединений не будет ниже” Connection Hard Limit”. Например, если страница содержит много небольших графиков, браузер может попытаться настроить несколько соединений одновременно, особенно для клиентов HTTP / 1.0. Вы хотели бы разрешить эти соединения на короткий период. Клиенты HTTP / 1.1 также могут настроить несколько подключений для ускорения загрузки, а SSL требует отдельных подключений от не-SSL-подключений. Убедитесь, что лимит установлен правильно, чтобы не оказывать негативного влияния на нормальное обслуживание. Рекомендуемый предел составляет от 5 до 10. Меньшее число позволит обслуживать более разных клиентов. Установите высокое значение, когда вы выполняете тестовые запросы.

• Connection Hard Limit – задает максимальное количество разрешенных одновременных подключений с одного IP-адреса. Этот лимит всегда соблюдается, и клиент никогда не сможет превысить его. Клиенты HTTP / 1.0 обычно пытаются установить столько соединений, сколько им нужно для загрузки встроенного контента одновременно. Этот предел должен быть установлен достаточно высоко, чтобы клиенты HTTP / 1.0 все еще могли получить доступ к сайту. Рекомендуемый лимит составляет от 20 до 50 в зависимости от содержания вашей веб-страницы и загруженности трафика. Меньшее число позволит обслуживать более разных клиентов.

• Block Bad Request – блокировка IP – адресов, с которых поступают “плохие” HTTP-запросы в течение ” Banned Period (sec)”. По умолчанию – да. Это помогает блокировать атаки ботнетов, которые неоднократно посылают нежелательные запросы.
• Grace Period (sec) – установите как долго могут приниматься новые соединения после того, как количество соединений, установленных с одного IP – адреса, превысит “Connection Soft Limit”. В течение этого периода новые соединения будут приниматься, если общее количество соединений все еще ниже “Connection Hard Limit”. По истечении этого периода, если количество подключений все еще превышает “Connection Soft Limit”, то нарушающий IP – адрес будет заблокирован на “Banned Period (sec)”. Подберите параметр правильно – достаточно большой для загрузки полной страницы, но достаточно низкий, чтобы предотвратить преднамеренные атаки.
• Banned Period (sec) – указывает, как долго новые соединения будут отклоняться с IP – адреса, если по истечении “Grace Period (sec)”количество подключений все еще превышает”Connection Soft Limit”. Если IP – адреса забанены повторно, увеличте срок запрета.

Раздел CGI Settings

• CGI Daemon Socket – уникальный адрес сокета, используемый для связи с демоном CGI. LiteSpeed server использует автономный демон CGI для создания сценариев CGI для обеспечения наилучшей производительности и безопасности. Сокет по умолчанию – “uds:/ / $SERVER_ROOT/admin/conf/. cgid.sock”. Если вам нужно поместить его в другое место, укажите доменный сокет Unix. Пример: UDS:/ / tmp/lshttpd/cgid.sock.
• Max CGI Instances – максимальное количество одновременных процессов CGI, которые может запустить сервер. Для каждого запроса к CGI – скрипту сервер должен запустить автономный процесс CGI. В системе Unix количество параллельных процессов ограничено. Параллельные процессы ухудшают производительность всей системы и являются одним из способов выполнения DoS-атаки. Сервер LiteSpeed направляет запросы к CGI – скриптам и ограничивает параллельные CGI – процессы для обеспечения оптимальной производительности и надежности. Жесткий предел – 2000. Большое значение редко дает более высокую производительность. В большинстве случаев нижний предел обеспечивает лучшую производительность и безопасность. Более высокий предел поможет только тогда, когда задержка ввода – вывода чрезмерна во время обработки CGI.
• Minimum UID – минимальный идентификатор пользователя, разрешенный для запуска внешних приложений при запуске от имени указанного пользователя. Выполнение внешнего скрипта с идентификатором пользователя ниже указанного здесь значения будет отклонено. Установите значение достаточно большим, чтобы исключить всех системных / привилегированных пользователей.
• Minimum GID – минимальный идентификатор группы, разрешенный для запуска внешних приложений при запуске в качестве указанной группы. Выполнение внешнего скрипта с идентификатором группы ниже указанного здесь значения будет отклонено.
• Force GID – идентификатор группы, который будет использоваться для всех внешних приложений, запущенных в режиме suEXEC. Если установлено ненулевое значение, все внешние приложения suEXEC (CGI/FastCGI/LSAPI) будут использовать этот идентификатор группы. Это может быть использовано для предотвращения доступа внешнего приложения к файлам, принадлежащим другим пользователям.

• umask – umask по умолчанию для процессов CGI. Подробнее см. man 2 umask. Это также служит значением по умолчанию для внешних приложений “umask”. Допустимый диапазон значений [000] – [777].
• CGI Priority – приоритет внешнего процесса. Значение колеблется от -20 до 20. Меньшее число означает более высокий приоритет. Процесс CGI не может иметь более высокого приоритета, чем веб-сервер. Если этот приоритет установлен на меньшее число, чем у сервера, то для этого значения будет использоваться приоритет сервера.
• CPU Soft Limit (sec) – ограничение по времени потребления процессора в секундах для процесса CGI. Когда процесс достигнет “soft limit”, он будет уведомлен сигналом. Если это значение отсутствует или равно 0, будет использоваться значение по умолчанию операционной системы.
• CPU Hard Limit (sec) – максимальный лимит времени потребления процессора в секундах для процесса CGI. Если процесс продолжает потреблять процессорное время и достигает заданного предела, процесс будет принудительно завершен. Если это значение отсутствует или равно 0, будет использоваться значение по умолчанию операционной системы.
• Memory Soft Limit (bytes) – ограничение потребления памяти в байтах для внешнего приложения запущенного сервером. Основная цель этого ограничения – предотвратить чрезмерное использование памяти из-за программных ошибок или преднамеренных атак, а не вводить ограничение на нормальное использование. Параметр может быть установлен на уровне сервера или на уровне отдельного внешнего приложения. Ограничение на уровне сервера будет использоваться, если оно не установлено на уровне отдельного приложения. Настройка операционной системы по умолчанию будет использоваться, если значение отсутствует на обоих уровнях или установлено в 0.
• Memory Hard Limit (bytes) – почти то же самое, что и “Memory Soft Limit“, за исключением того, что мягкий предел может быть поднят до жесткого предела из пользовательского процесса. Жесткий предел может быть установлен на уровне сервера или на уровне отдельного внешнего приложения. Ограничение на уровне сервера будет использоваться, если оно не установлено на уровне отдельного приложения. Значение по умолчанию операционной системы будет использоваться, если оно отсутствует на обоих уровнях или установлено в 0.
• Process Soft Limit – ограничивает общее количество процессов, которые могут быть созданы от имени пользователя. Все существующие процессы будут учитываться с учетом этого предела, а не только новые процессы, которые будут запущены. Ограничение может быть установлено на уровне сервера или на уровне отдельного внешнего приложения. Ограничение на уровне сервера будет использоваться, если оно не установлено на уровне отдельного приложения. Настройка операционной системы по умолчанию будет использоваться, если это значение равно 0 или отсутствует на обоих уровнях.

• Process Hard Limit – почти то же самое, что и “Process Soft Limit”, за исключением того, что мягкий предел может быть поднят до жесткого предела из пользовательского процесса. Process Hard Limit может быть установлен на уровне сервера или на уровне отдельного внешнего приложения. Ограничение на уровне сервера будет использоваться, если оно не установлено на уровне отдельного приложения. Значение по умолчанию операционной системы будет использоваться, если оно отсутствует на обоих уровнях или установлено в 0.
• cgroups – групповые настройки процессов CGI, если они поддерживаются текущей ОС. В настоящее время поддерживаются Red Hat/Centos Linux v7.5+ и Ubuntu 18.04+. Текущий исполняющий пользователь будет использоваться для определения того, какую конфигурацию группы применить. Установка этого параметра в значение отключено на уровне сервера приведет к отключению этого параметра на всем сервере. Во всех остальных случаях параметр уровня сервера может быть переопределен на уровне виртуального хоста.

Раздел LS reCAPTCHA

• Enable reCAPTCHA – параметр должен быть установлен в значение “Yes” на уровне сервера, прежде чем можно будет использовать функцию защиты reCAPTCHA.
• Site Key – открытый ключ, предоставляемый Google через свой сервис reCAPTCHA. Если он не установлен, будет использоваться ключ сайта по умолчанию.
• Secret Key – закрытый ключ, предоставляемый Google через свой сервис reCAPTCHA. Секретный ключ по умолчанию будет использоваться, если он не установлен.
• reCAPTCHA Type – тип reCAPTCHA для использования с парами ключей. Если пара ключей не была предоставлена и этот параметр установлен в значение Not Set, то будет использоваться пара ключей по умолчанию типа Invisible. Будет отображаться флажок рекапчи для посетителей. Осуществляется автоматическая проверка рекапчи, в случае успеха перенаправит на нужную страницу.
• Max Tries – максимальное количество попыток рекапчи, разрешенных до отказа посетителю. Значение по умолчанию – 3.
• Allowed Robot Hits – количество попыток в 10 секунд, чтобы позволить “хорошим ботам” пройти. Боты все равно будут отклонены, когда сервер находится под нагрузкой. Значение по умолчанию – 3.
• Bot White List – список user agents имеющих доступ. Синтаксис: список пользовательских агентов, по одному на строку. Поддерживается регулярное выражение.
• Connection Limit – количество одновременных подключений (SSL и не SSL) для активации reCAPTCHA. reCAPTCHA будет использоваться до тех пор, пока параллельные соединения не упадут ниже этого числа. Значение по умолчанию – 15000.
• SSL Connection Limit – количество одновременных SSL – соединений, необходимых для активации reCAPTCHA. reCAPTCHA будет использоваться до тех пор, пока параллельные соединения не упадут ниже этого числа. Значение по умолчанию – 10000.

Раздел Bubblewrap Container

• Bubblewrap Container – Установите значение ON, если вы хотите запускать процессы CGI (включая PHP-программы) в песочнице Bubblewrap. Bubblewrap Container должен быть установлен и сконфигурирован в системе перед использованием этой настройки.
• Bubblewrap Command – Значение по умолчанию: /bin/bwrap –ro-bind /usr /usr –ro-bind /lib /lib –ro-bind-try /lib64 /lib64 –ro-bind /bin /bin –ro-bind /sbin /sbin –dir /var –dir /tmp –proc /proc –symlink../tmp var/tmp –dev /dev –ro-bind-try /etc/localtime /etc/localtime –ro-bind-try /etc/ld.so.cache /etc/ld.so.cache –ro-bind-try /etc/resolv.conf /etc/resolv.conf –ro-bind-try /etc/ssl /etc/ssl –ro-bind-try /etc/pki /etc/pki –ro-bind-try /etc/man_db.conf /etc/man_db.conf –ro-bind-try /home/$USER /home/$USER –bind-try /var/lib/mysql/mysql.sock /var/lib/mysql/mysql.sock –bind-try /home/mysql/mysql.sock /home/mysql/mysql.sock –bind-try /tmp/mysql.sock /tmp/mysql.sock –unshare-all –share-net –die-with-parent –dir /run/user/$UID ‘$PASSWD 65534’ ‘$GROUP 65534’

Раздел Access Denied Directories

Каталоги к которым запрещен прямой доступ через http / https для защиты конфиденциальных и служебных данных сервера (например, конфигураций, приватной информации или чего-то еще). Более гибко можно настраивать разрешения / запреты для файлов и каталогов через context или Rewrite Rules в .htaccess.

Раздел Access Control

Настройте управление доступом на уровне сервера, виртуального хоста и контекста. Если есть контроль доступа на уровне сервера, то правила виртуального хоста будут применены после того, как правила сервера будут удовлетворены. Чтобы запретить доступ с определенного адреса, поместите в “Allowd list” список разрешенных, а подсеть или IP – адрес в список запрещенных (Denied list).