Server - Sicherheit

Beschreibung

Gibt die Standardeinstellung auf Serverebene für das Folgen symbolischer Links beim Bereitstellen statischer Dateien an.

Die Auswahlmöglichkeiten sind Yes, If Owner Match und No.

Yes lässt den Server symbolischen Links immer folgen. If Owner Match lässt den Server einem symbolischen Link nur folgen, wenn der Eigentümer des Links und des Ziels identisch ist. No bedeutet, dass der Server niemals einem symbolischen Link folgt. Diese Einstellung kann in Virtual-Host-Konfigurationen überschrieben werden, aber nicht aus einer .htaccess-Datei.

Syntax

Aus Dropdown-Liste auswählen

Tipps

PerformanceSecurity Wählen Sie für beste Sicherheit No oder If Owner Match. Für beste Leistung wählen Sie Yes.

Siehe auch

Symbolische Links prüfen.

Beschreibung

Gibt an, ob symbolische Links gegen Verzeichnisse mit verweigertem Zugriff geprüft werden, wenn Symbolischen Links folgen eingeschaltet ist. Wenn aktiviert, wird der kanonische reale Pfad der durch eine URL referenzierten Ressource gegen die konfigurierbaren Verzeichnisse mit verweigertem Zugriff geprüft. Der Zugriff wird verweigert, wenn er innerhalb eines verweigerten Verzeichnisses liegt.

Syntax

Aus Optionsfeldern auswählen

Tipps

PerformanceSecurity Aktivieren Sie diese Option für beste Sicherheit. Deaktivieren Sie sie für beste Leistung.

Siehe auch

Symbolischen Links folgen, Verzeichnisse mit verweigertem Zugriff

Beschreibung

Gibt an, ob eine strikte Datei-Eigentümerprüfung erzwungen wird. Wenn aktiviert, prüft der Webserver, ob der Eigentümer der bereitgestellten Datei mit dem Eigentümer des virtuellen Hosts übereinstimmt. Wenn er abweicht, wird ein 403 Access Denied Error zurückgegeben. Standardmäßig ist dies ausgeschaltet.

Syntax

Aus Optionsfeldern auswählen

Tipps

Security Aktivieren Sie diese Prüfung bei Shared Hosting für bessere Sicherheit.

Beschreibung

Gibt die erforderliche Berechtigungsmaske für statische Dateien an, die der Server bereitstellt. Wenn zum Beispiel nur Dateien bereitgestellt werden sollen, die für alle lesbar sind, setzen Sie den Wert auf 0004. Siehe man 2 stat für alle Werte.

Syntax

Oktalzahlen

Siehe auch

Eingeschränkte Berechtigungsmaske.

Beschreibung

Gibt die eingeschränkte Berechtigungsmaske für statische Dateien an, die der Server nicht bereitstellt. Um zum Beispiel das Bereitstellen ausführbarer Dateien zu verbieten, setzen Sie die Maske auf 0111.

Siehe man 2 stat für alle Werte.

Syntax

Oktalzahlen

Siehe auch

Erforderliche Berechtigungsmaske.

Beschreibung

Gibt die eingeschränkte Berechtigungsmaske für Skriptdateien an, die der Server nicht bereitstellt. Um zum Beispiel das Bereitstellen von PHP-Skripten zu verbieten, die für Gruppe und Welt schreibbar sind, setzen Sie die Maske auf 022. Standardwert ist 000.

Siehe man 2 stat für alle Werte.

Syntax

Oktalzahlen

Siehe auch

Eingeschränkte Berechtigungsmaske für Skriptverzeichnisse.

Beschreibung

Gibt die eingeschränkte Berechtigungsmaske der übergeordneten Verzeichnisse von Skriptdateien an, die der Server nicht bereitstellt. Um zum Beispiel das Bereitstellen von PHP-Skripten in einem Verzeichnis zu verbieten, das für Gruppe und Welt schreibbar ist, setzen Sie die Maske auf 022. Standardwert ist 000. Diese Option kann verwendet werden, um das Bereitstellen von Skripten unter einem Upload-Verzeichnis zu verhindern.

Siehe man 2 stat für alle Werte.

Syntax

Oktalzahlen

Siehe auch

Eingeschränkte Berechtigungsmaske für Skripte.

Beschreibung

Diese Einstellungen zur Verbindungskontrolle basieren auf der Client-IP. Sie helfen, DoS- (Denial of Service) und DDoS-Angriffe (Distributed Denial of Service) zu mindern.

Beschreibung

Gibt die maximale Anzahl von Anfragen an statische Inhalte an, die von einer einzelnen IP-Adresse in einer Sekunde verarbeitet werden können, unabhängig von der Anzahl der bestehenden Verbindungen.

Wenn dieses Limit erreicht wird, werden alle weiteren Anfragen bis zur nächsten Sekunde zurückgehalten. Anfragelimits für dynamisch erzeugte Inhalte sind unabhängig von diesem Limit. Clientbezogene Anfragelimits können auf Server- oder Virtual-Host-Ebene festgelegt werden. Einstellungen auf Virtual-Host-Ebene überschreiben Einstellungen auf Serverebene.

Syntax

Ganzzahl

Tipps

Security Vertrauenswürdige IPs oder Subnetze sind nicht betroffen.

Siehe auch

Dynamische Anfragen/Sekunde

Beschreibung

Gibt die maximale Anzahl von Anfragen an dynamisch erzeugte Inhalte an, die von einer einzelnen IP-Adresse pro Sekunde verarbeitet werden können, unabhängig von der Anzahl der bestehenden Verbindungen. Wenn dieses Limit erreicht wird, werden alle weiteren Anfragen an dynamische Inhalte bis zur nächsten Sekunde zurückgehalten.

Das Anfragelimit für statische Inhalte ist unabhängig von diesem Limit. Dieses clientbezogene Anfragelimit kann auf Server- oder Virtual-Host-Ebene festgelegt werden. Einstellungen auf Virtual-Host-Ebene überschreiben Einstellungen auf Serverebene.

Syntax

Ganzzahl

Tipps

Security Vertrauenswürdige IPs oder Subnetze werden durch dieses Limit nicht eingeschränkt.

Siehe auch

Statische Anfragen/Sekunde

Beschreibung

Der maximal zulässige ausgehende Durchsatz zu einer einzelnen IP-Adresse, unabhängig von der Anzahl der bestehenden Verbindungen. Die tatsächliche Bandbreite kann aus Effizienzgründen etwas höher ausfallen als diese Einstellung. Bandbreite wird in 4KB-Einheiten zugewiesen. Setzen Sie den Wert auf 0, um Throttling zu deaktivieren. Clientbezogene Bandbreitenlimits (Byte/s) können auf Server- oder Virtual-Host-Ebene festgelegt werden; Einstellungen auf Virtual-Host-Ebene überschreiben Einstellungen auf Serverebene.

Syntax

Ganzzahl

Tipps

Performance Setzen Sie die Bandbreite für bessere Leistung in 8KB-Einheiten.

Security Vertrauenswürdige IPs oder Subnetze sind nicht betroffen.

Siehe auch

Eingehende Bandbreite (Byte/s)

Beschreibung

Der maximal zulässige eingehende Durchsatz von einer einzelnen IP-Adresse, unabhängig von der Anzahl der bestehenden Verbindungen. Die tatsächliche Bandbreite kann aus Effizienzgründen etwas höher ausfallen als diese Einstellung. Bandbreite wird in 1KB-Einheiten zugewiesen. Setzen Sie den Wert auf 0, um Throttling zu deaktivieren. Clientbezogene Bandbreitenlimits (Byte/s) können auf Server- oder Virtual-Host-Ebene festgelegt werden; Einstellungen auf Virtual-Host-Ebene überschreiben Einstellungen auf Serverebene.

Syntax

Ganzzahl

Tipps

Security Vertrauenswürdige IPs oder Subnetze sind nicht betroffen.

Siehe auch

Ausgehende Bandbreite (Byte/s)

Beschreibung

Gibt das weiche Limit gleichzeitig zulässiger Verbindungen von einer IP an. Dieses weiche Limit kann während Grace Period (Sek.) vorübergehend überschritten werden, solange die Anzahl unter Hartes Verbindungslimit liegt. Keep-Alive-Verbindungen werden jedoch so bald wie möglich geschlossen, bis die Anzahl der Verbindungen unter dem Limit liegt. Wenn die Anzahl der Verbindungen nach Grace Period (Sek.) weiterhin über dem Limit liegt, wird diese IP für Sperrperiode (Sek.) blockiert.

Wenn eine Seite zum Beispiel viele kleine Grafiken enthält, kann der Browser versuchen, viele Verbindungen gleichzeitig aufzubauen, insbesondere bei HTTP/1.0-Clients. Solche Verbindungen sollten für kurze Zeit erlaubt werden.

HTTP/1.1-Clients können ebenfalls mehrere Verbindungen öffnen, um Downloads zu beschleunigen, und SSL benötigt separate Verbindungen von Nicht-SSL-Verbindungen. Stellen Sie sicher, dass das Limit passend gesetzt ist, damit der normale Dienst nicht beeinträchtigt wird. Das empfohlene Limit liegt zwischen 5 und 10.

Syntax

Ganzzahl

Tipps

Security Eine niedrigere Zahl ermöglicht es, mehr unterschiedliche Clients zu bedienen.
Security Vertrauenswürdige IPs oder Subnetze sind nicht betroffen.
Performance Setzen Sie einen hohen Wert, wenn Sie Benchmark-Tests mit einer großen Anzahl gleichzeitiger Client-Maschinen durchführen.

Beschreibung

Gibt die maximale Anzahl zulässiger gleichzeitiger Verbindungen von einer einzelnen IP-Adresse an. Dieses Limit wird immer erzwungen, und ein Client kann es nie überschreiten. HTTP/1.0-Clients versuchen normalerweise, so viele Verbindungen aufzubauen, wie sie zum gleichzeitigen Herunterladen eingebetteter Inhalte benötigen. Dieses Limit sollte hoch genug sein, damit HTTP/1.0-Clients die Site weiterhin erreichen können. Verwenden Sie Weiches Verbindungslimit, um das gewünschte Verbindungslimit festzulegen.

Das empfohlene Limit liegt je nach Inhalt Ihrer Webseite und Traffic-Last zwischen 20 und 50.

Syntax

Ganzzahl

Tipps

Security Eine niedrigere Zahl ermöglicht es, mehr unterschiedliche Clients zu bedienen.
Security Vertrauenswürdige IPs oder Subnetze sind nicht betroffen.
Performance Setzen Sie einen hohen Wert, wenn Sie Benchmark-Tests mit einer großen Anzahl gleichzeitiger Client-Maschinen durchführen.

Beschreibung

Blockiert IPs, die wiederholt fehlerhaft formatierte HTTP-Anfragen senden, für Sperrperiode (Sek.). Der Standardwert ist Yes. Dies hilft, Botnet-Angriffe zu blockieren, die wiederholt Junk-Anfragen senden.

Syntax

Aus Optionsfeldern auswählen

Beschreibung

Gibt an, wie lange neue Verbindungen akzeptiert werden können, nachdem die Anzahl der bestehenden Verbindungen von einer IP über Weiches Verbindungslimit liegt. Innerhalb dieses Zeitraums werden neue Verbindungen akzeptiert, wenn die Gesamtzahl weiterhin unter Hartes Verbindungslimit liegt. Nach Ablauf dieses Zeitraums wird die betreffende IP für Sperrperiode (Sek.) blockiert, wenn die Anzahl der Verbindungen weiterhin höher als Weiches Verbindungslimit ist.

Syntax

Ganzzahl

Tipps

PerformanceSecurity Setzen Sie einen geeigneten Wert, groß genug zum Herunterladen einer vollständigen Seite, aber niedrig genug, um absichtliche Angriffe zu verhindern.

Beschreibung

Gibt an, wie lange neue Verbindungen von einer IP abgewiesen werden, wenn nach Ablauf von Grace Period (Sek.) die Anzahl der Verbindungen weiterhin größer als Weiches Verbindungslimit ist. Wenn IPs wiederholt gesperrt werden, empfehlen wir, die Sperrperiode zu erhöhen, um die Strafe für Missbrauch zu verschärfen.

Syntax

Ganzzahl

Beschreibung

Die folgenden Einstellungen steuern CGI-Prozesse. Speicher- und Prozesslimits dienen auch als Standardwerte fuer andere externe Anwendungen, wenn fuer diese Anwendungen keine Limits explizit gesetzt wurden.

Beschreibung

Eine eindeutige Socket-Adresse zur Kommunikation mit dem CGI-Daemon. LiteSpeed Server verwendet einen eigenständigen CGI-Daemon, um CGI-Skripte mit bester Leistung und Sicherheit zu starten. Wenn Sie diesen Speicherort ändern müssen, geben Sie hier einen Unix-Domain-Socket an.

Standardwert: uds://$SERVER_ROOT/admin/lscgid/.cgid.sock

Syntax

UDS://Pfad

Beispiel

Beschreibung

Gibt die maximale Anzahl gleichzeitiger CGI-Prozesse an, die der Server starten kann. Für jede Anfrage an ein CGI-Skript muss der Server einen eigenständigen CGI-Prozess starten. Auf einem Unix-System ist die Anzahl gleichzeitiger Prozesse begrenzt. Übermäßig viele gleichzeitige Prozesse verschlechtern die Leistung des gesamten Systems und sind eine Möglichkeit, einen DoS-Angriff durchzuführen. LiteSpeed Server leitet Anfragen an CGI-Skripte per Pipeline weiter und begrenzt gleichzeitige CGI-Prozesse, um optimale Leistung und Zuverlässigkeit sicherzustellen. Das harte Limit ist 2000.

Syntax

Ganzzahl

Tipps

SecurityPerformance Ein höheres Limit führt nicht zwangsläufig zu besserer Leistung. In den meisten Fällen bietet ein niedrigeres Limit bessere Leistung und Sicherheit. Ein höheres Limit hilft nur, wenn die I/O-Latenz während der CGI-Verarbeitung übermäßig hoch ist.

Beschreibung

Gibt die minimale Benutzer-ID an, die zum Ausführen externer Anwendungen erlaubt ist, wenn diese als bestimmter Benutzer ausgeführt werden. Die Ausführung eines externen Skripts mit einer niedrigeren Benutzer-ID als dem hier angegebenen Wert wird verweigert.

Syntax

Ganzzahl

Tipps

Security Setzen Sie den Wert hoch genug, um alle System-/privilegierten Benutzer auszuschließen.

Beschreibung

Gibt die minimale Gruppen-ID an, die zum Ausführen externer Anwendungen erlaubt ist, wenn diese als bestimmte Gruppe ausgeführt werden. Die Ausführung eines externen Skripts mit einer niedrigeren Gruppen-ID als dem hier angegebenen Wert wird verweigert.

Syntax

Ganzzahl

Tipps

Security Setzen Sie den Wert hoch genug, um alle von Systembenutzern verwendeten Gruppen auszuschließen.

Beschreibung

Gibt eine Gruppen-ID an, die für alle im suEXEC-Modus gestarteten externen Anwendungen verwendet wird. Wenn ein Wert ungleich null gesetzt ist, verwenden alle suEXEC-externen Anwendungen (CGI/FastCGI/LSAPI) diese Gruppen-ID. Dies kann verwendet werden, um zu verhindern, dass eine externe Anwendung auf Dateien anderer Benutzer zugreift.

In einer Shared-Hosting-Umgebung läuft LiteSpeed zum Beispiel als Benutzer "www-data", Gruppe "www-data". Jeder docroot gehört einem Benutzerkonto, mit Gruppe "www-data" und Berechtigungsmodus 0750. Wenn Force GID auf "nogroup" gesetzt ist (oder eine andere Gruppe als 'www-data'), laufen alle suEXEC-externen Anwendungen als bestimmter Benutzer, aber in der Gruppe "nogroup". Diese externen Anwendungsprozesse können weiterhin auf Dateien zugreifen, die diesem bestimmten Benutzer gehören (wegen ihrer Benutzer-ID), haben aber keine Gruppenberechtigung für Dateien anderer Benutzer. Der Server hingegen kann weiterhin Dateien unter jedem Benutzer-docroot bereitstellen (wegen seiner Gruppen-ID).

Syntax

Ganzzahl

Tipps

Security Setzen Sie den Wert hoch genug, um alle von Systembenutzern verwendeten Gruppen auszuschließen.

Beschreibung

Legt die Standard-umask für CGI-Prozesse fest. Siehe man 2 umask für Details. Dies dient auch als Standardwert für umask externer Anwendungen.

Syntax

Wert im gültigen Bereich [000]-[777].

Siehe auch

ExtApp umask

Beschreibung

Gibt die Priorität des externen Anwendungsprozesses an. Der Wertebereich reicht von -20 bis 20. Eine niedrigere Zahl bedeutet eine höhere Priorität.

Ein CGI-Prozess kann keine höhere Priorität als der Webserver haben. Wenn diese Priorität auf eine niedrigere Zahl als die des Servers gesetzt ist, wird für diesen Wert die Priorität des Servers verwendet.

Syntax

Ganzzahl

Siehe auch

Server Prioritaet

Beschreibung

Gibt das CPU-Verbrauchszeitlimit in Sekunden für einen CGI-Prozess an. Wenn der Prozess das weiche Limit erreicht, wird er durch ein Signal benachrichtigt. Die Standardeinstellung des Betriebssystems wird verwendet, wenn der Wert fehlt oder auf 0 gesetzt ist.

Syntax

Ganzzahl

Beschreibung

Gibt das maximale CPU-Verbrauchszeitlimit in Sekunden für einen CGI-Prozess an. Wenn der Prozess weiter CPU-Zeit verbraucht und das harte Limit erreicht, wird er zwangsweise beendet. Die Standardeinstellung des Betriebssystems wird verwendet, wenn der Wert fehlt oder auf 0 gesetzt ist.

Syntax

Ganzzahl

Beschreibung

Gibt das Speicherverbrauchslimit in Byte für einen externen Anwendungsprozess oder eine vom Server gestartete externe Anwendung an.

Der Hauptzweck dieses Limits ist es, übermäßige Speichernutzung durch Softwarefehler oder absichtliche Angriffe zu verhindern, nicht normalen Gebrauch zu begrenzen. Lassen Sie genug Spielraum, andernfalls kann Ihre Anwendung fehlschlagen und ein 503-Fehler zurückgegeben werden. Es kann auf Serverebene oder auf Ebene einer einzelnen externen Anwendung gesetzt werden. Das Limit auf Serverebene wird verwendet, wenn es auf Anwendungsebene nicht gesetzt ist.

Die Standardeinstellung des Betriebssystems wird verwendet, wenn der Wert auf beiden Ebenen fehlt oder auf 0 gesetzt ist.

Syntax

Ganzzahl

Tipps

Attention Passen Sie dieses Limit nicht übermäßig an. Dies kann zu 503-Fehlern führen, wenn Ihre Anwendung mehr Speicher benötigt.

Beschreibung

Ähnlich wie Weiches Speicherlimit (Byte), außer dass das weiche Limit innerhalb eines Benutzerprozesses bis zum harten Limit angehoben werden kann. Das harte Limit kann auf Serverebene oder auf Ebene einer einzelnen externen Anwendung gesetzt werden. Das Limit auf Serverebene wird verwendet, wenn es auf Anwendungsebene nicht gesetzt ist.

Der Standardwert des Betriebssystems wird verwendet, wenn der Wert auf beiden Ebenen fehlt oder auf 0 gesetzt ist.

Syntax

Ganzzahl

Tipps

Attention Passen Sie dieses Limit nicht übermäßig an. Dies kann zu 503-Fehlern führen, wenn Ihre Anwendung mehr Speicher benötigt.

Beschreibung

Begrenzt die Gesamtzahl der Prozesse, die im Namen eines Benutzers erstellt werden koennen. Alle vorhandenen Prozesse werden gegen dieses Limit gezaehlt, nicht nur neu zu startende Prozesse.

Das Limit kann auf Serverebene oder auf Ebene einer einzelnen externen Anwendung gesetzt werden. Das Server-Level-Limit wird verwendet, wenn es auf Anwendungsebene nicht gesetzt ist. Der Standardwert des Betriebssystems wird verwendet, wenn dieser Wert auf beiden Ebenen 0 ist oder fehlt.

Syntax

Ganzzahl

Tipps

Information PHP-Skripte koennen Prozesse forken. Der Hauptzweck dieses Limits ist eine letzte Verteidigungslinie gegen Fork-Bombs und andere Angriffe, bei denen PHP-Prozesse weitere Prozesse erstellen.

Ein zu niedriger Wert kann die Funktionalitaet stark beeintraechtigen. Daher wird die Einstellung unterhalb bestimmter Schwellen ignoriert.

Wenn Run On Start Up auf "Yes (Daemon mode)" gesetzt ist, liegt das tatsaechliche Prozesslimit hoeher als diese Einstellung, damit Elternprozesse nicht begrenzt werden.

Beschreibung

Ähnlich wie Weiches Prozesslimit, außer dass das weiche Limit innerhalb eines Benutzerprozesses bis zum harten Limit angehoben werden kann. Das harte Limit kann auf Serverebene oder auf Ebene einer einzelnen externen Anwendung gesetzt werden. Das Limit auf Serverebene wird verwendet, wenn es auf Anwendungsebene nicht gesetzt ist. Der Standardwert des Betriebssystems wird verwendet, wenn der Wert auf beiden Ebenen fehlt oder auf 0 gesetzt ist.

Syntax

Ganzzahl

Beschreibung

Eine Linux-Kernel-Funktion, die die Ressourcennutzung (CPU, Speicher, Festplatten-I/O, Netzwerk usw.) einer Sammlung von Prozessen begrenzt, abrechnet und isoliert. Sie müssen cgroups v2 verwenden, was durch das Vorhandensein der Datei /sys/fs/cgroup/cgroup.controllers bestimmt wird.

Wenn dies auf Serverebene auf Disabled gesetzt wird, wird diese Einstellung serverweit deaktiviert. In allen anderen Fällen kann die Einstellung auf Serverebene auf Virtual-Host-Ebene überschrieben werden.

Standardwerte:
Serverebene: Off
VH-Ebene: Einstellung der Serverebene übernehmen

Syntax

Aus Dropdown-Liste auswählen

Beschreibung

CAPTCHA Protection ist ein Dienst zur Minderung hoher Serverlast. CAPTCHA Protection wird aktiviert, sobald eine der folgenden Situationen eintritt. Sobald aktiv, werden alle Anfragen von NON TRUSTED(wie konfiguriert) Clients auf eine CAPTCHA-Validierungsseite umgeleitet. Nach der Validierung wird der Client auf die gewuenschte Seite weitergeleitet.

Die folgenden Situationen aktivieren CAPTCHA Protection:
1. Die Anzahl gleichzeitiger Anfragen des Servers oder vhost ueberschreitet das konfigurierte Verbindungslimit.
2. Anti-DDoS ist aktiviert und ein Client greift in verdaechtiger Weise auf eine url zu. Der Client wird zuerst zu CAPTCHA umgeleitet, statt bei Ausloesung abgelehnt zu werden.
3. Eine neue rewrite rule-Umgebung wird bereitgestellt, um CAPTCHA ueber RewriteRules zu aktivieren. 'verifycaptcha' kann gesetzt werden, um Clients zu CAPTCHA umzuleiten. Ein Spezialwert ': deny' kann gesetzt werden, um den Client abzulehnen, wenn er zu oft fehlgeschlagen ist. Beispiel: [E=verifycaptcha] leitet immer zu CAPTCHA um, bis die Verifizierung erfolgt. [E=verifycaptcha: deny] leitet zu CAPTCHA um, bis Max Tries erreicht ist; danach wird der Client abgelehnt.

Beschreibung

Aktiviert die Funktion CAPTCHA Protection auf der aktuellen Ebene. Diese Einstellung muss auf Serverebene auf Yes gesetzt sein, bevor CAPTCHA Protection verwendet werden kann.

Standardwerte:
Serverebene: Yes
VH-Ebene: Einstellung der Serverebene übernehmen

Syntax

Aus Optionsfeldern auswählen

Beschreibung

Der öffentliche Schlüssel, der von reCAPTCHA- oder hCaptcha-Diensten zugewiesen wird.

Bei Verwendung von reCAPTCHA wird ein Standard-Site-Key verwendet, wenn keiner gesetzt ist (nicht empfohlen).

Beschreibung

Der private Schlüssel, der von reCAPTCHA- oder hCaptcha-Diensten zugewiesen wird.

Bei Verwendung von reCAPTCHA wird ein Standard-Secret-Key verwendet, wenn keiner gesetzt ist (nicht empfohlen).

Beschreibung

Gibt den CAPTCHA-Typ an, der mit den Schlüsselpaaren verwendet wird.
Wenn kein Schlüsselpaar bereitgestellt wurde und diese Einstellung auf Not Set gesetzt ist, wird ein Standard-Schlüsselpaar des CAPTCHA-Typs reCAPTCHA Invisible verwendet.

reCAPTCHA Checkbox zeigt dem Besucher ein Checkbox-CAPTCHA zur Validierung an. (erfordert Site Key, Secret Key)

reCAPTCHA Invisible versucht, das CAPTCHA automatisch zu validieren, und leitet bei Erfolg zur gewünschten Seite weiter. (erfordert Site Key, Secret Key)

hCaptcha kann verwendet werden, um den CAPTCHA-Anbieter hCaptcha zu unterstützen. (erfordert Site Key, Secret Key)

Standardwert ist reCAPTCHA Invisible.

Syntax

Aus Dropdown-Liste auswählen

Beschreibung

Max Tries gibt die maximale Anzahl zulässiger CAPTCHA-Versuche an, bevor der Besucher abgewiesen wird.

Standardwert ist 3.

Syntax

Ganzzahl

Beschreibung

Anzahl der Hits pro 10 Sekunden, die ‘good bots’ passieren dürfen. Bots werden weiterhin gedrosselt, wenn der Server unter Last steht.

Standardwert ist 3.

Syntax

Ganzzahl

Beschreibung

Liste benutzerdefinierter User Agents, denen Zugriff erlaubt wird. Sie unterliegen den Einschränkungen für ‘good bots’, einschließlich allowedRobotHits.

Syntax

Liste von User Agents, einer pro Zeile. Regex wird unterstützt.

Beschreibung

Die Anzahl gleichzeitiger Verbindungen (SSL und Nicht-SSL), die zum Aktivieren von CAPTCHA erforderlich ist. CAPTCHA wird weiter verwendet, bis die Anzahl gleichzeitiger Verbindungen unter diesen Wert fällt.

Standardwert ist 15000.

Syntax

Ganzzahl

Beschreibung

Die Anzahl gleichzeitiger SSL-Verbindungen, die zum Aktivieren von CAPTCHA erforderlich ist. CAPTCHA wird weiter verwendet, bis die Anzahl gleichzeitiger Verbindungen unter diesen Wert fällt.

Standardwert ist 10000.

Syntax

Ganzzahl

Beschreibung

Setzen Sie dies auf Enabled, wenn Sie CGI-Prozesse (einschließlich PHP-Programme) in einer bubblewrap-Sandbox starten möchten. Siehe https://wiki.archlinux.org/title/Bubblewrap für Details zur Verwendung von bubblewrap. Bubblewrap muss auf Ihrem System installiert sein, bevor Sie diese Einstellung verwenden.

Diese Einstellung kann auf Virtual-Host-Ebene nicht eingeschaltet werden, wenn sie auf Serverebene auf "Disabled" gesetzt ist.

Standardwerte:
Serverebene: Disabled
VH-Ebene: Einstellung der Serverebene übernehmen

Syntax

Aus Dropdown-Liste auswählen

Beschreibung

Der vollständige bubblewrap-Ausführungsbefehl, einschließlich des bubblewrap-Programms selbst. Weitere Informationen zur Konfiguration dieses Befehls finden Sie hier: https://openlitespeed.org/kb/bubblewrap-in-openlitespeed/ . Wenn nicht angegeben, wird der unten aufgeführte Standardbefehl verwendet.

Standardwert: /bin/bwrap --ro-bind /usr /usr --ro-bind /lib /lib --ro-bind-try /lib64 /lib64 --ro-bind /bin /bin --ro-bind /sbin /sbin --dir /var --dir /tmp --proc /proc --symlink ../tmp var/tmp --dev /dev --ro-bind-try /etc/localtime /etc/localtime --ro-bind-try /etc/ld.so.cache /etc/ld.so.cache --ro-bind-try /etc/resolv.conf /etc/resolv.conf --ro-bind-try /etc/ssl /etc/ssl --ro-bind-try /etc/pki /etc/pki --ro-bind-try /etc/man_db.conf /etc/man_db.conf --ro-bind-try /home/$USER /home/$USER --bind-try /var/lib/mysql/mysql.sock /var/lib/mysql/mysql.sock --bind-try /home/mysql/mysql.sock /home/mysql/mysql.sock --bind-try /tmp/mysql.sock /tmp/mysql.sock --unshare-all --share-net --die-with-parent --dir /run/user/$UID ‘$PASSWD 65534’ ‘$GROUP 65534’

Beschreibung

Setzen Sie dies auf Enabled, wenn Sie CGI-Prozesse (einschließlich PHP-Programme) in einer Namespace-Container-Sandbox starten möchten. Wird nur verwendet, wenn Bubblewrap-Container auf Disabled gesetzt ist.

Wenn diese Einstellung auf Serverebene nicht Disabled ist, kann ihr Wert auf Virtual-Host-Ebene überschrieben werden.

Standardwerte:
Serverebene: Disabled
Virtual-Host-Ebene: Einstellung der Serverebene übernehmen

Syntax

Aus Dropdown-Liste auswählen

Beschreibung

Pfad zu einer vorhandenen Konfigurationsdatei mit einer Liste von Verzeichnissen, die gemountet werden sollen, sowie den dazu verwendeten Methoden. Wenn Namespace-Container auf Enabled gesetzt ist und dieser Wert nicht gesetzt ist, werden die folgenden sicheren Standardkonfigurationseinstellungen verwendet:

$HOMEDIR/.lsns/tmp /tmp,tmp
/usr,ro-bind
/lib,ro-bind
/lib64,ro-bind-try
/bin,ro-bind
/sbin,ro-bind
/var,dir
/var/www,ro-bind-try
/proc,proc
../tmp var/tmp,symlink
/dev,dev
/etc/localtime,ro-bind-try
/etc/ld.so.cache,ro-bind-try
/etc/resolv.conf,ro-bind-try
/etc/ssl,ro-bind-try
/etc/pki,ro-bind-try
/etc/man_db.conf,ro-bind-try
/usr/local/bin/msmtp /etc/alternatives/mta,ro-bind-try
/usr/local/bin/msmtp /usr/sbin/exim,ro-bind-try
$HOMEDIR,bind-try
/var/lib/mysql/mysql.sock,bind-try
/home/mysql/mysql.sock,bind-try
/tmp/mysql.sock,bind-try
/run/mysqld/mysqld.sock,bind-try
/var/run/mysqld.sock,bind-try
/run/user/$UID,bind-try
$PASSWD
$GROUP
/etc/exim.jail/$USER.conf $HOMEDIR/.msmtprc,copy-try
/etc/php.ini,ro-bind-try
/etc/php-fpm.conf,ro-bind-try
/etc/php-fpm.d,ro-bind-try
/var/run,ro-bind-try
/var/lib,ro-bind-try
/etc/imunify360/user_config/,ro-bind-try
/etc/sysconfig/imunify360,ro-bind-try
/opt/plesk/php,ro-bind-try
/opt/alt,bind-try
/opt/cpanel,bind-try
/opt/psa,bind-try
/var/lib/php/sessions,bind-try

Syntax

Ein absoluter Pfad oder ein Pfad relativ zu $SERVER_ROOT.

Beschreibung

Gibt Verzeichnisse an, deren Zugriff blockiert werden soll. Fügen Sie dieser Liste Verzeichnisse mit sensiblen Daten hinzu, um eine versehentliche Offenlegung sensibler Dateien gegenüber Clients zu verhindern. Hängen Sie ein "*" an den Pfad an, um alle Unterverzeichnisse einzuschließen. Wenn sowohl Symbolischen Links folgen als auch Symbolische Links prüfen aktiviert sind, werden symbolische Links gegen die verweigerten Verzeichnisse geprüft.

Syntax

Kommagetrennte Liste von Verzeichnissen

Tipps

Security Von kritischer Bedeutung: Diese Einstellung verhindert nur das Bereitstellen statischer Dateien aus diesen Verzeichnissen. Sie verhindert keine Offenlegung durch externe Skripte wie PHP/Ruby/CGI.

Beschreibung

Gibt an, welche Subnetze und/oder IP-Adressen auf den Server zugreifen koennen. Auf Serverebene wirkt sich diese Einstellung auf alle virtuellen Hosts aus. Sie koennen auch eine eigene Zugriffskontrolle fuer jeden virtuellen Host auf Virtual-Host-Ebene einrichten. Einstellungen auf Virtual-Host-Ebene ueberschreiben Server-Level-Einstellungen NICHT.

Das Blockieren/Erlauben einer IP wird durch die Kombination aus erlaubter Liste und verweigerter Liste bestimmt. Wenn Sie nur bestimmte IPs oder Subnetze blockieren moechten, setzen Sie * oder ALL in Erlaubte Liste und listen die blockierten IPs oder Subnetze in Verweigerte Liste. Wenn Sie nur bestimmte IPs oder Subnetze erlauben moechten, setzen Sie * oder ALL in Verweigerte Liste und listen die erlaubten IPs oder Subnetze in Erlaubte Liste. Die Einstellung des kleinsten passenden Geltungsbereichs wird verwendet, um den Zugriff zu bestimmen.

Serverebene: Vertrauenswuerdige IPs oder Subnetze muessen in Erlaubte Liste durch Anhaengen eines abschliessenden "T" angegeben werden. Vertrauenswuerdige IPs oder Subnetze sind nicht von Verbindungs-/Throttling-Limits betroffen. Nur die Zugriffskontrolle auf Serverebene kann vertrauenswuerdige IPs/Subnetze einrichten.

Tipps

Security Verwenden Sie dies auf Serverebene fuer allgemeine Einschraenkungen, die fuer alle virtuellen Hosts gelten.

Beschreibung

Gibt die Liste erlaubter IPs oder Subnetze an. * oder ALL werden akzeptiert.

Syntax

Kommagetrennte Liste von IP-Adressen oder Subnetzen. Ein abschließendes "T" kann verwendet werden, um eine vertrauenswürdige IP oder ein vertrauenswürdiges Subnetz anzugeben, zum Beispiel 192.168.1.*T.

Beispiel

Tipps

Security Vertrauenswürdige IPs oder Subnetze, die in der Zugriffskontrolle auf Serverebene gesetzt sind, werden von Verbindungs-/Throttling-Limits ausgenommen.

Beschreibung

Gibt die Liste nicht erlaubter IPs oder Subnetze an.

Syntax

Kommagetrennte Liste von IP-Adressen oder Subnetzen. * oder ALL werden akzeptiert.

Beispiel