Настройка Open Litespeed server в webadmin console

Server Configuration > Security

Настройки этого раздела требуют глубоких знаний и опыта. Вы можете легко купировать угрозы безопасности и предотвратить DDOS атаки без ущерба (или свести его к минимуму) для производительности и стабильности сервера. Оставьте значения “по умолчанию” если нет необходимости в защите сервера от атак.

Структура вкладки Server Configuration > Security:

• File Access
• Per Client Throttling – настройки управления подключением, основанные на IP-адресе клиента. Эти настройки помогают нивелировать DoS-атаки (отказ в обслуживании) и DDoS-атаки (распределенный отказ в обслуживании).
• CGI Settings – настройки процессов CGI. Ограничения памяти и процессов по умолчанию для внешних приложений, если ограничения не были установлены явно.
• LS reCAPTCHA – reCAPTCHA Protection – сервис для снижения большой нагрузки на сервер. Защита reCAPTCHA активируется при необходимости автоматически. После активации все запросы от недоверенных(настроенных) клиентов будут перенаправлены на страницу проверки reCAPTCHA. После проверки клиент будет перенаправлен на нужную ему страницу или запрос будет отклонен и блокирован.

• Bubblewrap Container – создает новое, полностью пустое пространство для монтирования, где корень находится на tmpfs, который невидим с хоста и будет автоматически очищен при завершении процесса. Bubblewrap запускает приложение в изолированной среде, где оно имеет ограниченный доступ к операционной системе или пользовательским данным, таким как домашний каталог.
• Access Denied Directories – каталоги, доступ к которым должен быть заблокирован. Добавьте каталоги, содержащие конфиденциальные данные, в этот список, чтобы предотвратить случайное раскрытие конфиденциальных файлов клиентам. Добавьте “*” к пути, чтобы включить все подкаталоги. Этот параметр запрещает только обнаружение статических файлов из этих каталогов, но не блокирует выполнение внешних скриптов, таких как PHP/Ruby/CGI.
• Access Control – определяет, какие подсети и / или IP – адреса могут получить доступ к серверу. На уровне сервера этот параметр влияет на все виртуальные хосты. Настройте управление доступом, уникальное для каждого виртуального хоста на уровне виртуального хоста. Параметры уровня виртуального хоста не будут переопределять параметры уровня сервера.

Раздел File Access

• Follow Symbolic Link – значение по умолчанию для символьных ссылок на уровне сервера при обслуживании статических файлов. Для лучшей безопасности выберите Нет. Для достижения наилучшей производительности выберите Да.
• Check Symbolic Link – проверяет символические ссылки из “Access Denied Directories”, когда включена функция “Follow Symbolic Link”. Если этот параметр включен, то канонический путь ресурса, на который ссылается URL – адрес. Доступ будет запрещен, если ссылается на закрытый каталог. Для обеспечения максимальной безопасности включите эту опцию. Для лучшей производительности отключите.
• Force Strict Ownership – строгая проверка прав владения файлами. Если включено, веб-сервер проверит, совпадает ли владелец обслуживаемого файла с владельцем виртуального хоста. Если отличается, то будет возвращена ошибка 403 Access Denied. По умолчанию эта функция отключена. Если вы передоставляете услуги хостинга, включите эту проверку для повышения безопасности.

Раздел Per Client Throttling

• Static Requests/second – максимальное количество запросов к статическому контенту, поступающих с одного IP-адреса, которые могут быть обработаны за одну секунду независимо от количества установленных подключений. Когда этот предел достигнут, все поступающие запросы откладываются до следующей секунды. Ограничения запросов для динамически генерируемого контента не зависят от этого ограничения. Ограничения на запросы для каждого клиента могут быть установлены на уровне сервера или виртуального хоста. Параметры уровня виртуального хоста переопределяют параметры уровня сервера. На доверенные IP – адреса или подсети ограничение не распространяется.
• Dynamic Requests/second – максимальное количество запросов к динамически генерируемому контенту, поступающих с одного IP-адреса, которое может быть обработано в каждую секунду независимо от количества установленных подключений. Когда этот предел достигнут, все запросы к динамическому контенту откладываются до следующей секунды. Это ограничение может быть установлено на уровне сервера или виртуального хоста. Параметры уровня виртуального хоста переопределяют параметры уровня сервера. На доверенные IP – адреса или подсети ограничение не распространяется.
• Outbound Bandwidth (bytes/sec) – максимально допустимая исходящая пропускная способность на один IP – адрес, независимо от количества установленных соединений. Реальная пропускная способность может оказаться немного выше этого значения по соображениям эффективности. Полоса пропускания выделяется блоками по 4 КБ. Ограничения пропускной способности для каждого клиента (байт / сек) могут быть установлены на уровне сервера или виртуального хоста, где параметры уровня виртуального хоста переопределяют параметры уровня сервера. Установите пропускную способность кратной 8 КБ для повышения производительности.
• Inbound Bandwidth (bytes/sec) – максимально допустимая входящая пропускная способность с одного IP-адреса, независимо от количества установленных соединений. Реальная пропускная способность может оказаться немного выше этого значения по соображениям эффективности. Полоса пропускания выделяется от 1 единицы. Установите значение 0, чтобы отключить. Ограничения пропускной способности для каждого клиента (байт / сек) могут быть установлены на уровне сервера или виртуального хоста, где параметры уровня виртуального хоста переопределяют параметры уровня сервера.
• Connection Soft Limit – “мягкое” ограничение одновременных подключений, разрешенных с одного IP-адреса. Этот предел может быть временно превышен в течение “Grace Period (sec)”до тех пор, пока число соединений не будет ниже” Connection Hard Limit”. Например, если страница содержит много небольших графиков, браузер может попытаться настроить несколько соединений одновременно, особенно для клиентов HTTP / 1.0. Вы хотели бы разрешить эти соединения на короткий период. Клиенты HTTP / 1.1 также могут настроить несколько подключений для ускорения загрузки, а SSL требует отдельных подключений от не-SSL-подключений. Убедитесь, что лимит установлен правильно, чтобы не оказывать негативного влияния на нормальное обслуживание. Рекомендуемый предел составляет от 5 до 10. Меньшее число позволит обслуживать более разных клиентов. Установите высокое значение, когда вы выполняете тестовые запросы.

• Connection Hard Limit – задает максимальное количество разрешенных одновременных подключений с одного IP-адреса. Этот лимит всегда соблюдается, и клиент никогда не сможет превысить его. Клиенты HTTP / 1.0 обычно пытаются установить столько соединений, сколько им нужно для загрузки встроенного контента одновременно. Этот предел должен быть установлен достаточно высоко, чтобы клиенты HTTP / 1.0 все еще могли получить доступ к сайту. Рекомендуемый лимит составляет от 20 до 50 в зависимости от содержания вашей веб-страницы и загруженности трафика. Меньшее число позволит обслуживать более разных клиентов.

• Block Bad Request – блокировка IP – адресов, с которых поступают “плохие” HTTP-запросы в течение ” Banned Period (sec)”. По умолчанию – да. Это помогает блокировать атаки ботнетов, которые неоднократно посылают нежелательные запросы.
• Grace Period (sec) – установите как долго могут приниматься новые соединения после того, как количество соединений, установленных с одного IP – адреса, превысит “Connection Soft Limit”. В течение этого периода новые соединения будут приниматься, если общее количество соединений все еще ниже “Connection Hard Limit”. По истечении этого периода, если количество подключений все еще превышает “Connection Soft Limit”, то нарушающий IP – адрес будет заблокирован на “Banned Period (sec)”. Подберите параметр правильно – достаточно большой для загрузки полной страницы, но достаточно низкий, чтобы предотвратить преднамеренные атаки.
• Banned Period (sec) – указывает, как долго новые соединения будут отклоняться с IP – адреса, если по истечении “Grace Period (sec)”количество подключений все еще превышает”Connection Soft Limit”. Если IP – адреса забанены повторно, увеличте срок запрета.

Раздел CGI Settings

• CGI Daemon Socket – уникальный адрес сокета, используемый для связи с демоном CGI. LiteSpeed server использует автономный демон CGI для создания сценариев CGI для обеспечения наилучшей производительности и безопасности. Сокет по умолчанию – “uds:/ / $SERVER_ROOT/admin/conf/. cgid.sock”. Если вам нужно поместить его в другое место, укажите доменный сокет Unix. Пример: UDS:/ / tmp/lshttpd/cgid.sock.
• Max CGI Instances – максимальное количество одновременных процессов CGI, которые может запустить сервер. Для каждого запроса к CGI – скрипту сервер должен запустить автономный процесс CGI. В системе Unix количество параллельных процессов ограничено. Параллельные процессы ухудшают производительность всей системы и являются одним из способов выполнения DoS-атаки. Сервер LiteSpeed направляет запросы к CGI – скриптам и ограничивает параллельные CGI – процессы для обеспечения оптимальной производительности и надежности. Жесткий предел – 2000. Большое значение редко дает более высокую производительность. В большинстве случаев нижний предел обеспечивает лучшую производительность и безопасность. Более высокий предел поможет только тогда, когда задержка ввода – вывода чрезмерна во время обработки CGI.
• Minimum UID – минимальный идентификатор пользователя, разрешенный для запуска внешних приложений при запуске от имени указанного пользователя. Выполнение внешнего скрипта с идентификатором пользователя ниже указанного здесь значения будет отклонено. Установите значение достаточно большим, чтобы исключить всех системных / привилегированных пользователей.
• Minimum GID – минимальный идентификатор группы, разрешенный для запуска внешних приложений при запуске в качестве указанной группы. Выполнение внешнего скрипта с идентификатором группы ниже указанного здесь значения будет отклонено.
• Force GID – идентификатор группы, который будет использоваться для всех внешних приложений, запущенных в режиме suEXEC. Если установлено ненулевое значение, все внешние приложения suEXEC (CGI/FastCGI/LSAPI) будут использовать этот идентификатор группы. Это может быть использовано для предотвращения доступа внешнего приложения к файлам, принадлежащим другим пользователям.

• umask – umask по умолчанию для процессов CGI. Подробнее см. man 2 umask. Это также служит значением по умолчанию для внешних приложений “umask”. Допустимый диапазон значений [000] – [777].
• CGI Priority – приоритет внешнего процесса. Значение колеблется от -20 до 20. Меньшее число означает более высокий приоритет. Процесс CGI не может иметь более высокого приоритета, чем веб-сервер. Если этот приоритет установлен на меньшее число, чем у сервера, то для этого значения будет использоваться приоритет сервера.
• CPU Soft Limit (sec) – ограничение по времени потребления процессора в секундах для процесса CGI. Когда процесс достигнет “soft limit”, он будет уведомлен сигналом. Если это значение отсутствует или равно 0, будет использоваться значение по умолчанию операционной системы.
• CPU Hard Limit (sec) – максимальный лимит времени потребления процессора в секундах для процесса CGI. Если процесс продолжает потреблять процессорное время и достигает заданного предела, процесс будет принудительно завершен. Если это значение отсутствует или равно 0, будет использоваться значение по умолчанию операционной системы.
• Memory Soft Limit (bytes) – ограничение потребления памяти в байтах для внешнего приложения запущенного сервером. Основная цель этого ограничения – предотвратить чрезмерное использование памяти из-за программных ошибок или преднамеренных атак, а не вводить ограничение на нормальное использование. Параметр может быть установлен на уровне сервера или на уровне отдельного внешнего приложения. Ограничение на уровне сервера будет использоваться, если оно не установлено на уровне отдельного приложения. Настройка операционной системы по умолчанию будет использоваться, если значение отсутствует на обоих уровнях или установлено в 0.
• Memory Hard Limit (bytes) – почти то же самое, что и “Memory Soft Limit“, за исключением того, что мягкий предел может быть поднят до жесткого предела из пользовательского процесса. Жесткий предел может быть установлен на уровне сервера или на уровне отдельного внешнего приложения. Ограничение на уровне сервера будет использоваться, если оно не установлено на уровне отдельного приложения. Значение по умолчанию операционной системы будет использоваться, если оно отсутствует на обоих уровнях или установлено в 0.
• Process Soft Limit – ограничивает общее количество процессов, которые могут быть созданы от имени пользователя. Все существующие процессы будут учитываться с учетом этого предела, а не только новые процессы, которые будут запущены. Ограничение может быть установлено на уровне сервера или на уровне отдельного внешнего приложения. Ограничение на уровне сервера будет использоваться, если оно не установлено на уровне отдельного приложения. Настройка операционной системы по умолчанию будет использоваться, если это значение равно 0 или отсутствует на обоих уровнях.

• Process Hard Limit – почти то же самое, что и “Process Soft Limit”, за исключением того, что мягкий предел может быть поднят до жесткого предела из пользовательского процесса. Process Hard Limit может быть установлен на уровне сервера или на уровне отдельного внешнего приложения. Ограничение на уровне сервера будет использоваться, если оно не установлено на уровне отдельного приложения. Значение по умолчанию операционной системы будет использоваться, если оно отсутствует на обоих уровнях или установлено в 0.
• cgroups – групповые настройки процессов CGI, если они поддерживаются текущей ОС. В настоящее время поддерживаются Red Hat/Centos Linux v7.5+ и Ubuntu 18.04+. Текущий исполняющий пользователь будет использоваться для определения того, какую конфигурацию группы применить. Установка этого параметра в значение отключено на уровне сервера приведет к отключению этого параметра на всем сервере. Во всех остальных случаях параметр уровня сервера может быть переопределен на уровне виртуального хоста.

Раздел LS reCAPTCHA

• Enable reCAPTCHA – параметр должен быть установлен в значение “Yes” на уровне сервера, прежде чем можно будет использовать функцию защиты reCAPTCHA.
• Site Key – открытый ключ, предоставляемый Google через свой сервис reCAPTCHA. Если он не установлен, будет использоваться ключ сайта по умолчанию.
• Secret Key – закрытый ключ, предоставляемый Google через свой сервис reCAPTCHA. Секретный ключ по умолчанию будет использоваться, если он не установлен.
• reCAPTCHA Type – тип reCAPTCHA для использования с парами ключей. Если пара ключей не была предоставлена и этот параметр установлен в значение Not Set, то будет использоваться пара ключей по умолчанию типа Invisible. Будет отображаться флажок рекапчи для посетителей. Осуществляется автоматическая проверка рекапчи, в случае успеха перенаправит на нужную страницу.
• Max Tries – максимальное количество попыток рекапчи, разрешенных до отказа посетителю. Значение по умолчанию – 3.
• Allowed Robot Hits – количество попыток в 10 секунд, чтобы позволить “хорошим ботам” пройти. Боты все равно будут отклонены, когда сервер находится под нагрузкой. Значение по умолчанию – 3.
• Bot White List – список user agents имеющих доступ. Синтаксис: список пользовательских агентов, по одному на строку. Поддерживается регулярное выражение.
• Connection Limit – количество одновременных подключений (SSL и не SSL) для активации reCAPTCHA. reCAPTCHA будет использоваться до тех пор, пока параллельные соединения не упадут ниже этого числа. Значение по умолчанию – 15000.
• SSL Connection Limit – количество одновременных SSL – соединений, необходимых для активации reCAPTCHA. reCAPTCHA будет использоваться до тех пор, пока параллельные соединения не упадут ниже этого числа. Значение по умолчанию – 10000.

Раздел Bubblewrap Container

• Bubblewrap Container – Установите значение ON, если вы хотите запускать процессы CGI (включая PHP-программы) в песочнице Bubblewrap. Bubblewrap Container должен быть установлен и сконфигурирован в системе перед использованием этой настройки.
• Bubblewrap Command – Значение по умолчанию: /bin/bwrap –ro-bind /usr /usr –ro-bind /lib /lib –ro-bind-try /lib64 /lib64 –ro-bind /bin /bin –ro-bind /sbin /sbin –dir /var –dir /tmp –proc /proc –symlink../tmp var/tmp –dev /dev –ro-bind-try /etc/localtime /etc/localtime –ro-bind-try /etc/ld.so.cache /etc/ld.so.cache –ro-bind-try /etc/resolv.conf /etc/resolv.conf –ro-bind-try /etc/ssl /etc/ssl –ro-bind-try /etc/pki /etc/pki –ro-bind-try /etc/man_db.conf /etc/man_db.conf –ro-bind-try /home/$USER /home/$USER –bind-try /var/lib/mysql/mysql.sock /var/lib/mysql/mysql.sock –bind-try /home/mysql/mysql.sock /home/mysql/mysql.sock –bind-try /tmp/mysql.sock /tmp/mysql.sock –unshare-all –share-net –die-with-parent –dir /run/user/$UID ‘$PASSWD 65534’ ‘$GROUP 65534’

Раздел Access Denied Directories

Каталоги к которым запрещен прямой доступ через http / https для защиты конфиденциальных и служебных данных сервера (например, конфигураций, приватной информации или чего-то еще). Более гибко можно настраивать разрешения / запреты для файлов и каталогов через context или Rewrite Rules в .htaccess.

Раздел Access Control

Настройте управление доступом на уровне сервера, виртуального хоста и контекста. Если есть контроль доступа на уровне сервера, то правила виртуального хоста будут применены после того, как правила сервера будут удовлетворены. Чтобы запретить доступ с определенного адреса, поместите в “Allowd list” список разрешенных, а подсеть или IP – адрес в список запрещенных (Denied list).

Server Configuration > External App

External Applications – веб-сервер LiteSpeed может пересылать запросы внешним приложениям для обработки и генерации динамического контента. LiteSpeed поддерживает семь типов внешних приложений (роли сервера): FastCGI App, FastCGI Authorizer, web server, servlet engine, LiteSpeed SAPI application, load balancer, and piped logger.

• LiteSpeed SAPI (LiteSpeed Server Application Programming Interface) – приложение взаимодействующее с веб-сервером LiteSpeed через LSAPI, быстрый, масштабируемый серверный интерфейс, специально разработанный для веб-сервера LiteSpeed для достижения максимальной эффективности.

Механизм действия Isapi аналогичен FastCGI, но приложения ISAPI минимум на 30% быстрее, чем аналогичные приложения FastCGI. LSAPI настоятельно рекомендуется использовать по умолчанию для поддерживаемых приложений. (В настоящее время LSAPI поддерживает приложения, написанные на PHP, Ruby и Python.)

• Name – уникальное имя для внешнего приложения. Вы будете использовать его его в других настройках конфигурации.
• Address – уникальный адрес сокета для внешнего приложения. Поддерживаются сокеты IPv4 / IPv6 и доменные сокеты Unix (UDS). Сокеты IPv4 / IPv6 могут использоваться для связи по сети. UDS можно использовать только в том случае, если внешнее приложение находится на той же машине, что и сервер. Доменные сокеты Unix обычно обеспечивают более высокую производительность, чем сокеты IPv4.
• Max Connections – максимальное количество одновременных подключений, которые могут быть установлены между сервером и внешним приложением. Этот параметр определяет, сколько запросов может быть обработано одновременно внешним приложением, однако реальный предел зависит от самого внешнего приложения. Установка этого значения на максимум не поможет, если внешнее приложение недостаточно быстро или не может масштабироваться до большого количества одновременных запросов. Установка настройки на значение, которое не будет перегружать внешнее приложение, обеспечит наилучшую производительность / пропускную способность.
• Environment – дополнительные переменные среды для внешнего приложения. Синтаксис: ключ=значение. Несколько переменных могут быть разделены символом ” ENTER”

• Initial Request Timeout (secs) – максимальное время в секундах, в течение которого сервер будет ждать ответа внешнего приложения на первый запрос по новому установленному соединению. Если сервер не получает никаких данных от внешнего приложения в течение этого времени, он отметит это соединение как плохое. Это помогает как можно быстрее выявить проблемы связи с внешними приложениями. Если обработка некоторых запросов занимает много времени, увеличьте это значение чтобы избежать ошибки 503.
• Retry Timeout (secs) – период времени, в течение которого сервер ожидает повторной попытки подключения внешнего приложения, у которого ранее были проблемы со связью. Установите в 0 для начала.
• Persistent Connection – указывает, следует ли сохранять соединение открытым после обработки запроса. Постоянные соединения повышают производительность, но некоторые внешние приложения FastCGI не полностью поддерживают постоянные соединения. Значение по умолчанию – “YES”.
• Connection Keep-Alive Timeout – максимальное время в секундах для поддержания постоянного соединения в режиме ожидания открытым. При установке значения ” -1 ” соединение никогда не будет сброшено. Если установлено значение 0 или больше, соединение будет закрыто по истечении этого времени.
• Response Buffering – указывает, следует ли буферизировать ответы, полученные от внешних приложений.
• Start By Server – запуск приложения автоматически. Только приложения FastCGI и LSAPI, работающие на одной машине, могут быть запущены сервером автоматически.
• Command – полная командная строка, включая параметры для выполнения внешнего приложения. Обязательное значение, если включен параметр “Start by Server”. Параметр должен быть заключен в двойную или одинарную кавычку, если он содержит символы пробела или табуляции.
• Back Log – очередь задач слушающего сокета. Требуется, если включена функция “Start by Server“.
• Instances – максимальное количество экземпляров внешнего приложения, которое будет создано сервером. Это необходимо, если включена функция “Start by Server“. Большинство приложений FastCGI / LSAPI могут обрабатывать только один запрос на экземпляр процесса, и для этих типов приложений экземпляры должны быть установлены в соответствии со значением “Max Connections”. Некоторые приложения FastCGI / LSAPI могут порождать несколько дочерних процессов для одновременной обработки нескольких запросов. Для этих типов приложений экземпляры должны быть установлены в “1”, а переменные среды используются для управления количеством дочерних процессов, которые может породить приложение.
• Run As User – внешнее приложение будет работать под указанным именем пользователя. Если этот параметр не задан, то будут использованы параметры уровня виртуального хоста.
• Run As Group – внешнее приложение будет работать под указанным именем группы. Если этот параметр не задан, то будут использованы параметры уровня виртуального хоста.
• umask – значение umask по умолчанию для процессов CGI. Подробнее см. man 2 umask.
• Run On Start Up – определяет, следует ли запускать внешнее приложение при запуске сервера. Применимо только к внешним приложениям, которые могут управлять своими собственными дочерними процессами и где значение “Instances” равно “1”. Если этот параметр включен, то внешние процессы будут создаваться при запуске сервера, а не во время выполнения. При выборе “Yes (Detached mode)” все процессы могут быть перезапущены на уровне сервера или виртуального хоста с помощью файла ‘.lsphp_restart.txt ‘ в каталоге $SERVER_ROOT/admin/tmp/ или $VH_ROOT/ соответственно.
• Max Idle Time – максимальное время простоя перед остановкой внешнего приложения сервером чтобы освободить ресурсы. При установке значения ” -1 ” внешнее приложение не будет остановлено сервером, если оно не работает в режиме группы процессов, где простаивающие внешние приложения будут остановлены через 30 секунд. Значение по умолчанию – “-1”.
• Priority – приоритет внешнего процесса. Значение колеблется от -20 до 20. Меньшее число означает более высокий приоритет. Внешний процесс приложения не может иметь более высокого приоритета, чем веб-сервер. Если этот приоритет установлен на меньшее число, чем у сервера, то для этого значения будет использоваться приоритет сервера.
• Memory Soft Limit (bytes) – ограничение потребления памяти в байтах для процесса внешнего приложения . Основная цель этого ограничения – предотвратить чрезмерное использование памяти из-за программных ошибок или преднамеренных атак, а не вводить ограничение на нормальное использование. Убедитесь что вы выделили достаточно свободного места, иначе ваше приложение будет завершено и может быть возвращена ошибка 503. Параметр может быть установлен на уровне сервера или на уровне отдельного внешнего приложения. Ограничение на уровне сервера будет использоваться если оно не установлено на уровне отдельного приложения. Настройка операционной системы по умолчанию будет использоваться если значение отсутствует на обоих уровнях или установлено в 0.
• Memory Hard Limit (bytes) – почти то же самое, что и “Memory Soft Limit“, за исключением того, что Memory Soft Limit может быть поднят до Memory Hard Limit из пользовательского процесса. Memory Hard Limit может быть установлен на уровне сервера или на уровне отдельного внешнего приложения. Ограничение на уровне сервера будет использоваться, если оно не установлено на уровне отдельного приложения. Значение по умолчанию операционной системы будет использоваться, если оно отсутствует на обоих уровнях или установлено в 0.
• Process Soft Limit – ограничивает общее количество процессов, которые могут быть созданы от имени пользователя. Все существующие процессы будут учитываться с учетом этого предела, а не только новые процессы, которые будут запущены. Ограничение может быть установлено на уровне сервера или на уровне отдельного внешнего приложения. Ограничение на уровне сервера будет использоваться, если оно не установлено на уровне отдельного приложения. Настройка операционной системы по умолчанию будет использоваться, если это значение равно 0 или отсутствует на обоих уровнях.

• Process Hard Limit – почти то же самое, что и “Process Soft Limit“, за исключением того, что Process Soft Limit может быть поднят до Process Hard Limit из пользовательского процесса. Process Hard Limit может быть установлен на уровне сервера или на уровне отдельного внешнего приложения. Ограничение на уровне сервера будет использоваться, если оно не установлено на уровне отдельного приложения. Значение по умолчанию операционной системы будет использоваться, если оно отсутствует на обоих уровнях или установлено в 0.

Server Configuration > Script Handler

External App“.

• Suffixes – суффиксы файлов скриптов, которые будут обрабатываться обработчиком скриптов. Суффиксы должны быть уникальными. Сервер автоматически добавит специальный тип MIME (“application/x-httpd – [suffix]”) для первого суффикса в списке. Например, для суффикса “php53” будет добавлен MIME-тип “application/x-httpd-php53”. Суффиксы кроме первого нужно настроить в настройках “MIME Settings”. Хотя вы определяете суффиксы в этом поле, обработчики сценариев используют типы MIME, а не суффиксы, чтобы решить, какие сценарии обрабатывать. Укажите только те суффиксы, которые вам действительно нужны.
• Handler Type – тип внешнего приложения, которое обрабатывает файлы сценариев. Доступные типы: CGI, FastCGI, веб-сервер, LSAPI, балансировщик нагрузки, или сервлет. Для FastCGI, веб-сервера и движка сервлетов необходимо указать “Handler Name”. Это имя внешнего приложения, заданное в разделе “External Apps“.
• Handler Name – имя внешнего приложения, которое обрабатывает файлы сценариев, если тип обработчика FastCGI, Web Server, LSAPI, Load Balancer или Servlet Engine.

Не трогайте настройки в данном разделее без необходимости. Если вы не изменяете / добавляете роли сервера, то все оставьте по умолчанию.

Server Configuration > App Server

Server Configuration > Modules

установить в систему до настройки.

Настройка модулей Open LiteSpeed в WebAdmin Console

• Module – имя внешнего или внутреннего модуля, загружаемого при запуске сервера. Значение, используемое для внешних модулей, должно совпадать с именем файла модуля”. so “ в разделе $SERVER_ROOT/modules/module name.so для того, чтобы быть загруженным серверным приложением. Это требует, чтобы сервер был перезапущен после регистрации нового модуля. Значение, используемое для внутренних модулей, должно соответствовать имени модуля, использованному при построении модуля. Например, для внутреннего модуля кэша, входящего в состав сервера, необходимо установить значение “cache“.
• Notes – ваши примечания
• Is Internal – укажите, является ли модуль внутренним модулем, а не внешней библиотекой .so.
• Module Parameters – параметры модуля. Параметры модуля определяются разработчиком модуля. Установите значение в конфигурации сервера, чтобы глобально присвоить значение по умолчанию. Пользователь может переопределить этот параметр на уровне listeners, виртуального хоста или контекста.

Пример:

Для модуля cache на уровне сервера должны быть установлены следующие параметры:

checkPrivateCache 1

checkPublicCache 1

maxCacheObjSize 10000000

maxStaleAge 200

qsCache 1

reqCookieCache 1

respCookieCache 1

ignoreReqCacheCtrl 1

ignoreRespCacheCtrl 0

enableCache 0

expireInSeconds 3600

enablePrivateCache 0

privateExpireInSeconds 3600

Синтаксис: задается интерфейсом модуля.

• Enable Module – включает модуль на уровне сервера. Этот параметр можно переопределить на уровне listeners и виртуального хоста.
• Hook L4_BEGINSESSION Priority – приоритет для вызова модуля в сеансе L4 Begin. L4 Begin Session срабатывает при начале соединения TCP/IP.

Теория: L4 – балансировщик обычно оперирует только на уровне L4 TCP/UDP – подключений/сессий. Следовательно, балансировщик перемещает байты так, чтобы байты из одной сессии приходили на один бэкенд. Такому балансировщику неважны особенности приложений, чьими байтами он манипулирует. Это могут быть байты HTTP, Redis, MongoDB или любого иного протокола приложения.

• Hook L4_ENDSESSION Priority – приоритет для вызова модуля в конце сеанса L4. L4 End Session срабатывает, когда соединение TCP / IP заканчивается.
• Hook L4_RECVING Priority – приоритет для вызова модуля L4. Настройка L4 срабатывает, когда соединение TCP / IP получает данные. Он вступит в силу только в том случае, если модуль имеет явно определеную точку входа. Если он не установлен, приоритет будет установлен по умолчанию.
• Hook L4_SENDING Priority – приоритет вызова модуля для передачи данных. Срабатывает, когда соединение TCP / IP отправляет данные.
• Hook HTTP_BEGIN Priority – приоритет модуля для протокола HTTP. Выполняется когда соединение TCP / IP начинает сеанс HTTP.
• Hook RECV_REQ_HEADER Priority – приоритет вызова модуля при получении заголовка HTTP Receive Request. Запускается, когда веб-сервер получает заголовок запроса.
• Hook URI_MAP Priority – приоритет для вызова модуля для обработки http URI Map. Запускается, когда веб-сервер сопоставляет запрос URI с контекстом.
• Hook HTTP_AUTH Priority – приоритет для вызова модуля при HTTP – аутентификации. Запускается после сопоставления ресурсов и перед выполнением обработчика. Это происходит после встроенной аутентификации HTTP и может быть использовано для выполнения дополнительной проверки подлинности.
• Hook RECV_REQ_BODY Priority – приоритет для вызова модуля при обработке тела запроса. Срабатывает, когда веб-сервер получает данные тела запроса.
• Hook RCVD_REQ_BODY Priority – срабатывает, когда веб-сервер заканчивает получать данные тела запроса.
• Hook RECV_RESP_HEADER Priority – срабатывает, когда веб-сервер создает заголовок ответа.
• Hook RECV_RESP_BODY Priority – срабатывает, когда бэкенд веб-сервера получает тело ответа.
• Hook RCVD_RESP_BODY Priority – срабатывает, когда сервер заканчивает получать тело ответа.
• Hook HANDLER_RESTART Priority – перезапуск обработчика срабатывает когда веб-серверу необходимо прервать работу и начать обработку с самого начала, например, когда запрошен внутренний редирект.
• Hook SEND_RESP_HEADER Priority – срабатывает, когда веб-сервер готов отправить заголовок ответа.
• Hook SEND_RESP_BODY Priority – срабатывает, когда веб-сервер отправляет тело ответа.
• Hook HTTP_END Priority – срабатывает, когда HTTP-соединение завершилось.
• Hook MAIN_INITED Priority – основной инициализирующий хук стартует один раз при запуске, после завершения настройки и инициализации сервера контроллером процесса и до обслуживания любых запросов.
• Hook MAIN_PREFORK Priority – запускается основным процессом непосредственно перед запуском нового рабочего процесса при его дублировании (fork(ed)). Он вызывается для каждого worker и может произойти во время запуска системы или при перезапуске worker.
• Hook MAIN_POSTFORK Priority – запускается основным процессом сразу же после запуска нового рабочего процесса (раздвоения).
• Hook WORKER_POSTFORK Priority – срабатывает после создания основным (контроллерным) процессом. Обратите внимание, что соответствующий хук может быть вызван основным процессом либо до, либо после этого вызова.
• Hook WORKER_ATEXIT Priority – запускается рабочим процессом непосредственно перед выходом из обработчика.
• Hook MAIN_ATEXIT Priority – запускается основным процессом (контроллером) непосредственно перед завершением работы модуля.

 

5 10 голоса

Рейтинг статьи