Serveur - Sécurité

Description

Spécifie le réglage par défaut au niveau serveur pour suivre les liens symboliques lors du service de fichiers statiques.

Les choix sont Yes, If Owner Match et No.

Yes configure le serveur pour toujours suivre les liens symboliques. If Owner Match configure le serveur pour suivre un lien symbolique uniquement si le propriétaire du lien et celui de la cible sont identiques. No signifie que le serveur ne suivra jamais un lien symbolique. Ce réglage peut être remplacé dans les configurations de virtual host, mais ne peut pas être remplacé depuis un fichier .htaccess.

Syntaxe

Sélectionner dans la liste déroulante

Conseils

PerformanceSecurity Pour une meilleure sécurité, sélectionnez No ou If Owner Match. Pour de meilleures performances, sélectionnez Yes.

Voir aussi

Vérifier les liens symboliques.

Description

Spécifie si les liens symboliques doivent être vérifiés par rapport à Répertoires avec accès refusé lorsque Suivre les liens symboliques est activé. Si activé, le chemin réel canonique de la ressource référencée par une URL sera vérifié par rapport aux répertoires d’accès refusé configurables. L’accès sera refusé s’il se trouve dans un répertoire d’accès refusé.

Syntaxe

Sélectionner avec les boutons radio

Conseils

PerformanceSecurity Pour une meilleure sécurité, activez cette option. Pour de meilleures performances, désactivez-la.

Voir aussi

Suivre les liens symboliques, Répertoires avec accès refusé

Description

Spécifie s’il faut appliquer une vérification stricte de propriété des fichiers. Si activé, le serveur web vérifiera si le propriétaire du fichier servi est le même que celui du virtual host. S’il est différent, une erreur 403 Access Denied sera renvoyée. Cette option est désactivée par défaut.

Syntaxe

Sélectionner avec les boutons radio

Conseils

Security Pour l’hébergement mutualisé, activez cette vérification pour une meilleure sécurité.

Description

Spécifie le masque de permissions requis pour les fichiers statiques que le serveur servira. Par exemple, si seuls les fichiers lisibles par tout le monde doivent être servis, définissez la valeur sur 0004. Voir man 2 stat pour toutes les valeurs.

Syntaxe

nombres octaux

Voir aussi

Masque de permissions restreint.

Description

Spécifie le masque de permissions restreint pour les fichiers statiques que le serveur ne servira pas. Par exemple, pour interdire le service des fichiers exécutables, définissez le masque sur 0111.

Voir man 2 stat pour toutes les valeurs.

Syntaxe

nombres octaux

Voir aussi

Masque de permissions requis.

Description

Spécifie le masque de permissions restreint pour les fichiers de script que le serveur ne servira pas. Par exemple, pour interdire le service des scripts PHP accessibles en écriture au groupe et à tout le monde, définissez le masque sur 022. La valeur par défaut est 000.

Voir man 2 stat pour toutes les valeurs.

Syntaxe

nombres octaux

Voir aussi

Masque de permissions restreint pour répertoires de scripts.

Description

Spécifie le masque de permissions restreint des répertoires parents des fichiers de script que le serveur ne servira pas. Par exemple, pour interdire le service de scripts PHP dans un répertoire accessible en écriture au groupe et à tout le monde, définissez le masque sur 022. La valeur par défaut est 000. Cette option peut être utilisée pour empêcher le service de scripts sous un répertoire de fichiers téléversés.

Voir man 2 stat pour toutes les valeurs.

Syntaxe

nombres octaux

Voir aussi

Masque de permissions restreint pour scripts.

Description

Ces reglages de controle de connexion sont bases sur l'IP du client. Ils aident a attenuer les attaques DoS (Denial of Service) et DDoS (Distributed Denial of Service).

Description

Spécifie le nombre maximal de requêtes vers du contenu statique provenant d’une seule adresse IP qui peuvent être traitées en une seconde, quel que soit le nombre de connexions établies.

Lorsque cette limite est atteinte, toutes les requêtes suivantes sont retenues jusqu’à la seconde suivante. Les limites de requêtes pour le contenu généré dynamiquement sont indépendantes de cette limite. Les limites de requêtes par client peuvent être définies au niveau serveur ou virtual host. Les réglages de niveau virtual host remplacent les réglages de niveau serveur.

Syntaxe

Nombre entier

Conseils

Security Les IP ou sous-réseaux de confiance ne sont pas affectés.

Voir aussi

Requêtes dynamiques/seconde

Description

Spécifie le nombre maximal de requêtes vers du contenu généré dynamiquement provenant d’une seule adresse IP qui peuvent être traitées chaque seconde, quel que soit le nombre de connexions établies. Lorsque cette limite est atteinte, toutes les requêtes suivantes vers du contenu dynamique sont retenues jusqu’à la seconde suivante.

La limite de requêtes pour le contenu statique est indépendante de cette limite. Cette limite de requêtes par client peut être définie au niveau serveur ou virtual host. Les réglages de niveau virtual host remplacent les réglages de niveau serveur.

Syntaxe

Nombre entier

Conseils

Security Les IP ou sous-réseaux de confiance ne sont pas limités par cette limite.

Voir aussi

Requêtes statiques/seconde

Description

Le débit sortant maximal autorisé vers une seule adresse IP, quel que soit le nombre de connexions établies. La bande passante réelle peut être légèrement supérieure à ce réglage pour des raisons d’efficacité. La bande passante est allouée par unités de 4KB. Définissez 0 pour désactiver le throttling. Les limites de bande passante par client (octets/s) peuvent être définies au niveau serveur ou virtual host, où les réglages de niveau virtual host remplacent les réglages de niveau serveur.

Syntaxe

Nombre entier

Conseils

Performance Définissez la bande passante par unités de 8KB pour de meilleures performances.

Security Les IP ou sous-réseaux de confiance ne sont pas affectés.

Voir aussi

Bande passante entrante (octets/s)

Description

Le débit entrant maximal autorisé depuis une seule adresse IP, quel que soit le nombre de connexions établies. La bande passante réelle peut être légèrement supérieure à ce réglage pour des raisons d’efficacité. La bande passante est allouée par unités de 1KB. Définissez 0 pour désactiver le throttling. Les limites de bande passante par client (octets/s) peuvent être définies au niveau serveur ou virtual host, où les réglages de niveau virtual host remplacent les réglages de niveau serveur.

Syntaxe

Nombre entier

Conseils

Security Les IP ou sous-réseaux de confiance ne sont pas affectés.

Voir aussi

Bande passante sortante (octets/s)

Description

Spécifie la limite souple de connexions simultanées autorisées depuis une IP. Cette limite souple peut être dépassée temporairement pendant Période de grâce (secs) tant que le nombre reste inférieur à Limite stricte de connexions, mais les connexions Keep-Alive seront fermées dès que possible jusqu’à ce que le nombre de connexions soit inférieur à la limite. Si le nombre de connexions reste au-dessus de la limite après Période de grâce (secs), cette IP sera bloquée pendant Période de blocage (secs).

Par exemple, si une page contient de nombreux petits graphiques, le navigateur peut essayer d’établir de nombreuses connexions en même temps, surtout avec les clients HTTP/1.0. Il faut permettre ces connexions pendant une courte période.

Les clients HTTP/1.1 peuvent aussi établir plusieurs connexions pour accélérer les téléchargements, et SSL nécessite des connexions séparées des connexions non SSL. Assurez-vous que la limite est correctement définie afin de ne pas affecter négativement le service normal. La limite recommandée se situe entre 5 et 10.

Syntaxe

Nombre entier

Conseils

Security Un nombre plus bas permettra de servir davantage de clients distincts.
Security Les IP ou sous-réseaux de confiance ne sont pas affectés.
Performance Définissez une valeur élevée lorsque vous effectuez des tests de benchmark avec un grand nombre de machines clientes simultanées.

Description

Spécifie le nombre maximal de connexions simultanées autorisées depuis une seule adresse IP. Cette limite est toujours appliquée et un client ne pourra jamais la dépasser. Les clients HTTP/1.0 essaient généralement d’établir autant de connexions que nécessaire pour télécharger simultanément le contenu intégré. Cette limite doit être assez élevée pour que les clients HTTP/1.0 puissent toujours accéder au site. Utilisez Limite souple de connexions pour définir la limite de connexions souhaitée.

La limite recommandée se situe entre 20 et 50, selon le contenu de votre page web et votre charge de trafic.

Syntaxe

Nombre entier

Conseils

Security Un nombre plus bas permettra de servir davantage de clients distincts.
Security Les IP ou sous-réseaux de confiance ne sont pas affectés.
Performance Définissez une valeur élevée lorsque vous effectuez des tests de benchmark avec un grand nombre de machines clientes simultanées.

Description

Bloque pendant Période de blocage (secs) les IP qui continuent à envoyer des requêtes HTTP mal formées. La valeur par défaut est Yes. Cela aide à bloquer les attaques de botnet qui envoient répétitivement des requêtes inutiles.

Syntaxe

Sélectionner avec les boutons radio

Description

Spécifie pendant combien de temps de nouvelles connexions peuvent être acceptées après que le nombre de connexions établies depuis une IP dépasse Limite souple de connexions. Pendant cette période, de nouvelles connexions seront acceptées si le total reste inférieur à Limite stricte de connexions. Une fois cette période écoulée, si le nombre de connexions est toujours supérieur à Limite souple de connexions, l’IP fautive sera bloquée pendant Période de blocage (secs).

Syntaxe

Nombre entier

Conseils

PerformanceSecurity Définissez un nombre approprié, assez grand pour télécharger une page complète mais assez bas pour prévenir les attaques délibérées.

Description

Spécifie pendant combien de temps les nouvelles connexions seront rejetées depuis une IP si, après l’expiration de Période de grâce (secs), le nombre de connexions est toujours supérieur à Limite souple de connexions. Si des IP sont bloquées de façon répétée, nous suggérons d’augmenter la période de blocage afin de durcir la pénalité en cas d’abus.

Syntaxe

Nombre entier

Description

Les reglages suivants controlent les processus CGI. Les limites de memoire et de processus servent aussi de valeurs par defaut pour les autres applications externes si aucune limite n'a ete definie explicitement pour ces applications.

Description

Adresse de socket unique utilisée pour communiquer avec le démon CGI. LiteSpeed Server utilise un démon CGI autonome pour lancer les scripts CGI avec les meilleures performances et sécurité. Si vous devez changer cet emplacement, spécifiez ici un socket de domaine Unix.

Valeur par défaut: uds://$SERVER_ROOT/admin/lscgid/.cgid.sock

Syntaxe

UDS://chemin

Exemple

Description

Spécifie le nombre maximal de processus CGI simultanés que le serveur peut lancer. Pour chaque requête vers un script CGI, le serveur doit lancer un processus CGI autonome. Sur un système Unix, le nombre de processus simultanés est limité. Un excès de processus simultanés dégradera les performances de tout le système et constitue une façon de mener une attaque DoS. LiteSpeed Server met en pipeline les requêtes vers les scripts CGI et limite les processus CGI simultanés afin d’assurer des performances et une fiabilité optimales. La limite stricte est 2000.

Syntaxe

Nombre entier

Conseils

SecurityPerformance Une limite plus élevée ne se traduit pas nécessairement par de meilleures performances. Dans la plupart des cas, une limite plus basse donne de meilleures performances et une meilleure sécurité. Une limite plus élevée n’aide que lorsque la latence I/O est excessive pendant le traitement CGI.

Description

Spécifie l’ID utilisateur minimum autorisé pour exécuter des applications externes lorsqu’elles s’exécutent comme un utilisateur spécifié. L’exécution d’un script externe avec un ID utilisateur inférieur à la valeur spécifiée ici sera refusée.

Syntaxe

Nombre entier

Conseils

Security Définissez-le assez haut pour exclure tous les utilisateurs système/privilégiés.

Description

Spécifie l’ID de groupe minimum autorisé pour exécuter des applications externes lorsqu’elles s’exécutent comme un groupe spécifié. L’exécution d’un script externe avec un ID de groupe inférieur à la valeur spécifiée ici sera refusée.

Syntaxe

Nombre entier

Conseils

Security Définissez-le assez haut pour exclure tous les groupes utilisés par les utilisateurs système.

Description

Spécifie un ID de groupe à utiliser pour toutes les applications externes lancées en mode suEXEC. Lorsqu’il est défini sur une valeur non nulle, toutes les applications externes suEXEC (CGI/FastCGI/LSAPI) utiliseront cet ID de groupe. Cela peut être utilisé pour empêcher une application externe d’accéder à des fichiers appartenant à d’autres utilisateurs.

Par exemple, dans un environnement d’hébergement mutualisé, LiteSpeed s’exécute comme utilisateur "www-data", groupe "www-data". Chaque docroot appartient à un compte utilisateur, avec le groupe "www-data" et le mode de permissions 0750. Si Force GID est défini sur "nogroup" (ou tout groupe autre que 'www-data'), toutes les applications externes suEXEC s’exécuteront comme un utilisateur particulier mais dans le groupe "nogroup". Ces processus d’application externe pourront toujours accéder aux fichiers appartenant à cet utilisateur particulier (en raison de leur ID utilisateur), mais n’auront pas la permission de groupe pour accéder aux fichiers des autres. Le serveur, de son côté, pourra toujours servir des fichiers sous le docroot de n’importe quel utilisateur (en raison de son ID de groupe).

Syntaxe

Nombre entier

Conseils

Security Définissez-le assez haut pour exclure tous les groupes utilisés par les utilisateurs système.

Description

Définit l’umask par défaut pour les processus CGI. Voir man 2 umask pour plus de détails. Cela sert aussi de valeur par défaut pour umask des applications externes.

Syntaxe

valeur dans la plage valide [000]-[777].

Voir aussi

ExtApp umask

Description

Spécifie la priorité du processus d’application externe. La valeur va de -20 à 20. Un nombre plus bas signifie une priorité plus élevée.

Un processus CGI ne peut pas avoir une priorité supérieure à celle du serveur web. Si cette priorité est définie sur un nombre inférieur à celle du serveur, la priorité du serveur sera utilisée pour cette valeur.

Syntaxe

entier

Voir aussi

Server Priorite

Description

Spécifie la limite de temps de consommation CPU en secondes pour un processus CGI. Lorsque le processus atteint la limite souple, il sera notifié par un signal. Le réglage par défaut du système d’exploitation sera utilisé si la valeur est absente ou définie sur 0.

Syntaxe

Nombre entier

Description

Spécifie la limite maximale de temps de consommation CPU en secondes pour un processus CGI. Si le processus continue à consommer du temps CPU et atteint la limite stricte, il sera tué de force. Le réglage par défaut du système d’exploitation sera utilisé si la valeur est absente ou définie sur 0.

Syntaxe

Nombre entier

Description

Spécifie la limite de consommation mémoire en octets pour un processus d’application externe ou une application externe lancée par le serveur.

Le but principal de cette limite est d’empêcher une utilisation excessive de mémoire due à des bugs logiciels ou à des attaques intentionnelles, et non d’imposer une limite à l’usage normal. Veillez à laisser assez de marge; sinon votre application peut échouer et une erreur 503 peut être renvoyée. Elle peut être définie au niveau serveur ou au niveau d’une application externe individuelle. La limite de niveau serveur sera utilisée si elle n’est pas définie au niveau de l’application individuelle.

Le réglage par défaut du système d’exploitation sera utilisé si la valeur est absente aux deux niveaux ou définie sur 0.

Syntaxe

Nombre entier

Conseils

Attention N’ajustez pas excessivement cette limite. Cela peut entraîner des erreurs 503 si votre application a besoin de plus de mémoire.

Description

Semblable à Limite souple mémoire (octets), sauf que la limite souple peut être relevée jusqu’à la limite stricte depuis un processus utilisateur. La limite stricte peut être définie au niveau serveur ou au niveau d’une application externe individuelle. La limite de niveau serveur sera utilisée si elle n’est pas définie au niveau de l’application individuelle.

La valeur par défaut du système d’exploitation sera utilisée si la valeur est absente aux deux niveaux ou définie sur 0.

Syntaxe

Nombre entier

Conseils

Attention N’ajustez pas excessivement cette limite. Cela peut entraîner des erreurs 503 si votre application a besoin de plus de mémoire.

Description

Limite le nombre total de processus pouvant etre crees pour le compte d'un utilisateur. Tous les processus existants seront comptes dans cette limite, pas seulement les nouveaux processus a demarrer.

La limite peut etre definie au niveau serveur ou au niveau d'une application externe individuelle. La limite de niveau serveur sera utilisee si elle n'est pas definie au niveau de l'application. La valeur par defaut du systeme d'exploitation sera utilisee si cette valeur est 0 ou absente aux deux niveaux.

Syntaxe

Nombre entier

Conseils

Information Les scripts PHP peuvent demander la creation de processus. Le but principal de cette limite est de servir de derniere ligne de defense contre les fork bombs et autres attaques causees par des processus PHP creant d'autres processus.

Une valeur trop basse peut nuire fortement au fonctionnement. Le reglage sera donc ignore sous certains niveaux.

Lorsque Run On Start Up est defini sur "Yes (Daemon mode)", la limite reelle de processus sera superieure a ce reglage pour s'assurer que les processus parents ne sont pas limites.

Description

Semblable à Limite souple de processus, sauf que la limite souple peut être relevée jusqu’à la limite stricte depuis un processus utilisateur. La limite stricte peut être définie au niveau serveur ou au niveau d’une application externe individuelle. La limite de niveau serveur sera utilisée si elle n’est pas définie au niveau de l’application individuelle. La valeur par défaut du système d’exploitation sera utilisée si la valeur est absente aux deux niveaux ou définie sur 0.

Syntaxe

Nombre entier

Description

Fonction du noyau Linux qui limite, comptabilise et isole l’utilisation des ressources (CPU, mémoire, I/O disque, réseau, etc.) d’un ensemble de processus. Vous devez utiliser cgroups v2, ce qui est déterminé par l’existence du fichier /sys/fs/cgroup/cgroup.controllers.

Définir ceci sur Disabled au niveau serveur désactivera ce réglage pour tout le serveur. Dans tous les autres cas, le réglage de niveau serveur peut être remplacé au niveau virtual host.

Valeurs par défaut:
Niveau serveur: Off
Niveau VH: Hériter du réglage de niveau serveur

Syntaxe

Sélectionner dans la liste déroulante

Description

CAPTCHA Protection est un service fourni pour aider a attenuer une forte charge serveur. CAPTCHA Protection s'activera apres l'une des situations ci-dessous. Une fois actif, toutes les requetes des clients NON TRUSTED(tels que configures) seront redirigees vers une page de validation CAPTCHA. Apres validation, le client sera redirige vers la page souhaitee.

Les situations suivantes activeront CAPTCHA Protection:
1. Le nombre de requetes concurrentes du serveur ou du vhost depasse la limite de connexion configuree.
2. Anti-DDoS est active et un client accede a une url d'une maniere suspecte. Le client sera d'abord redirige vers CAPTCHA au lieu d'etre refuse lorsque le declenchement se produit.
3. Un nouvel environnement de regle de rewrite est fourni pour activer CAPTCHA via RewriteRules. 'verifycaptcha' peut etre defini pour rediriger les clients vers CAPTCHA. Une valeur speciale ': deny' peut etre definie pour refuser le client s'il a echoue trop de fois. Par exemple, [E=verifycaptcha] redirigera toujours vers CAPTCHA jusqu'a verification. [E=verifycaptcha: deny] redirigera vers CAPTCHA jusqu'a ce que Max Tries soit atteint, apres quoi le client sera refuse.

Description

Active la fonctionnalité CAPTCHA Protection au niveau actuel. Ce réglage doit être défini sur Yes au niveau serveur avant que CAPTCHA Protection puisse être utilisée.

Valeurs par défaut:
Niveau serveur: Yes
Niveau VH: Hériter du réglage de niveau serveur

Syntaxe

Sélectionner avec les boutons radio

Description

La clé publique attribuée par les services reCAPTCHA ou hCaptcha.

Avec reCAPTCHA, une clé de site par défaut sera utilisée si aucune n’est définie (non recommandé).

Description

La clé privée attribuée par les services reCAPTCHA ou hCaptcha.

Avec reCAPTCHA, une clé secrète par défaut sera utilisée si aucune n’est définie (non recommandé).

Description

Spécifiez le type de CAPTCHA à utiliser avec les paires de clés.
Si aucune paire de clés n’a été fournie et que ce réglage est défini sur Not Set, une paire de clés par défaut de type CAPTCHA reCAPTCHA Invisible sera utilisée.

reCAPTCHA Checkbox affichera un CAPTCHA à case à cocher que le visiteur devra valider. (nécessite Clé de site, Clé secrète)

reCAPTCHA Invisible tentera de valider le CAPTCHA automatiquement et, en cas de succès, redirigera vers la page souhaitée. (nécessite Clé de site, Clé secrète)

hCaptcha peut être utilisé pour prendre en charge le fournisseur CAPTCHA hCaptcha. (nécessite Clé de site, Clé secrète)

La valeur par défaut est reCAPTCHA Invisible.

Syntaxe

Sélectionner dans la liste déroulante

Description

Max Tries spécifie le nombre maximal de tentatives CAPTCHA autorisées avant de refuser le visiteur.

La valeur par défaut est 3.

Syntaxe

Nombre entier

Description

Nombre de hits par 10 secondes autorisés pour laisser passer les ‘good bots’. Les bots seront toujours limités lorsque le serveur est sous charge.

La valeur par défaut est 3.

Syntaxe

Nombre entier

Description

Liste d’user agents personnalisés à autoriser. Ils seront soumis aux limitations des ‘good bots’, y compris allowedRobotHits.

Syntaxe

Liste d’user agents, un par ligne. Regex est pris en charge.

Description

Le nombre de connexions simultanées (SSL et non SSL) nécessaires pour activer CAPTCHA. CAPTCHA continuera d’être utilisé jusqu’à ce que le nombre de connexions simultanées tombe sous ce nombre.

La valeur par défaut est 15000.

Syntaxe

Nombre entier

Description

Le nombre de connexions SSL simultanées nécessaires pour activer CAPTCHA. CAPTCHA continuera d’être utilisé jusqu’à ce que le nombre de connexions simultanées tombe sous ce nombre.

La valeur par défaut est 10000.

Syntaxe

Nombre entier

Description

Définissez sur Enabled si vous souhaitez lancer les processus CGI (y compris les programmes PHP) dans un sandbox bubblewrap. Voir https://wiki.archlinux.org/title/Bubblewrap pour plus de détails sur l’utilisation de bubblewrap. Bubblewrap doit être installé sur votre système avant d’utiliser ce réglage.

Ce réglage ne peut pas être activé au niveau virtual host s’il est défini sur "Disabled" au niveau serveur.

Valeurs par défaut:
Niveau serveur: Disabled
Niveau VH: Hériter du réglage de niveau serveur

Syntaxe

Sélectionner dans la liste déroulante

Description

La commande complète d’utilisation de bubblewrap, y compris le programme bubblewrap lui-même. Vous trouverez plus d’informations sur la configuration de cette commande ici: https://openlitespeed.org/kb/bubblewrap-in-openlitespeed/ . Si elle n’est pas spécifiée, la commande par défaut listée ci-dessous sera utilisée.

Valeur par défaut: /bin/bwrap --ro-bind /usr /usr --ro-bind /lib /lib --ro-bind-try /lib64 /lib64 --ro-bind /bin /bin --ro-bind /sbin /sbin --dir /var --dir /tmp --proc /proc --symlink ../tmp var/tmp --dev /dev --ro-bind-try /etc/localtime /etc/localtime --ro-bind-try /etc/ld.so.cache /etc/ld.so.cache --ro-bind-try /etc/resolv.conf /etc/resolv.conf --ro-bind-try /etc/ssl /etc/ssl --ro-bind-try /etc/pki /etc/pki --ro-bind-try /etc/man_db.conf /etc/man_db.conf --ro-bind-try /home/$USER /home/$USER --bind-try /var/lib/mysql/mysql.sock /var/lib/mysql/mysql.sock --bind-try /home/mysql/mysql.sock /home/mysql/mysql.sock --bind-try /tmp/mysql.sock /tmp/mysql.sock --unshare-all --share-net --die-with-parent --dir /run/user/$UID ‘$PASSWD 65534’ ‘$GROUP 65534’

Description

Définissez sur Enabled si vous souhaitez lancer les processus CGI (y compris les programmes PHP) dans un sandbox de conteneur namespace. Utilisé uniquement lorsque Conteneur Bubblewrap est défini sur Disabled.

Lorsque ce réglage n’est pas Disabled au niveau serveur, sa valeur peut être remplacée au niveau virtual host.

Valeurs par défaut:
Niveau serveur: Disabled
Niveau virtual host: Hériter du réglage de niveau serveur

Syntaxe

Sélectionner dans la liste déroulante

Description

Chemin vers un fichier de configuration existant contenant une liste de répertoires à monter ainsi que les méthodes utilisées pour les monter. Lorsque Conteneur Namespace est défini sur Enabled et que cette valeur n’est pas définie, les réglages de configuration sécurisés par défaut suivants seront utilisés:

$HOMEDIR/.lsns/tmp /tmp,tmp
/usr,ro-bind
/lib,ro-bind
/lib64,ro-bind-try
/bin,ro-bind
/sbin,ro-bind
/var,dir
/var/www,ro-bind-try
/proc,proc
../tmp var/tmp,symlink
/dev,dev
/etc/localtime,ro-bind-try
/etc/ld.so.cache,ro-bind-try
/etc/resolv.conf,ro-bind-try
/etc/ssl,ro-bind-try
/etc/pki,ro-bind-try
/etc/man_db.conf,ro-bind-try
/usr/local/bin/msmtp /etc/alternatives/mta,ro-bind-try
/usr/local/bin/msmtp /usr/sbin/exim,ro-bind-try
$HOMEDIR,bind-try
/var/lib/mysql/mysql.sock,bind-try
/home/mysql/mysql.sock,bind-try
/tmp/mysql.sock,bind-try
/run/mysqld/mysqld.sock,bind-try
/var/run/mysqld.sock,bind-try
/run/user/$UID,bind-try
$PASSWD
$GROUP
/etc/exim.jail/$USER.conf $HOMEDIR/.msmtprc,copy-try
/etc/php.ini,ro-bind-try
/etc/php-fpm.conf,ro-bind-try
/etc/php-fpm.d,ro-bind-try
/var/run,ro-bind-try
/var/lib,ro-bind-try
/etc/imunify360/user_config/,ro-bind-try
/etc/sysconfig/imunify360,ro-bind-try
/opt/plesk/php,ro-bind-try
/opt/alt,bind-try
/opt/cpanel,bind-try
/opt/psa,bind-try
/var/lib/php/sessions,bind-try

Syntaxe

Un chemin absolu ou un chemin relatif à $SERVER_ROOT.

Description

Spécifie les répertoires dont l’accès doit être bloqué. Ajoutez à cette liste les répertoires contenant des données sensibles afin d’éviter d’exposer accidentellement des fichiers sensibles aux clients. Ajoutez un "*" à la fin du chemin pour inclure tous les sous-répertoires. Si Suivre les liens symboliques et Vérifier les liens symboliques sont tous deux activés, les liens symboliques seront vérifiés par rapport aux répertoires refusés.

Syntaxe

Liste de répertoires délimitée par des virgules

Conseils

Security Importance critique: ce réglage empêche seulement le service de fichiers statiques depuis ces répertoires. Il n’empêche pas l’exposition par des scripts externes tels que PHP/Ruby/CGI.

Description

Indique quels sous-reseaux et/ou adresses IP peuvent acceder au serveur. Au niveau serveur, ce reglage affectera tous les virtual hosts. Vous pouvez aussi configurer un controle d'acces propre a chaque virtual host au niveau virtual host. Les reglages de niveau virtual host NE remplaceront PAS les reglages de niveau serveur.

Le blocage/l'autorisation d'une IP est determine par la combinaison de la liste autorisee et de la liste refusee. Si vous voulez bloquer seulement certaines IP ou sous-reseaux, mettez * ou ALL dans Liste autorisée et listez les IP ou sous-reseaux bloques dans Liste refusée. Si vous voulez autoriser seulement certaines IP ou sous-reseaux, mettez * ou ALL dans Liste refusée et listez les IP ou sous-reseaux autorises dans Liste autorisée. Le reglage de la portee la plus petite correspondant a une IP sera utilise pour determiner l'acces.

Niveau serveur: Les IP ou sous-reseaux de confiance doivent etre specifies dans Liste autorisée en ajoutant un "T" final. Les IP ou sous-reseaux de confiance ne sont pas affectes par les limites de connexion/throttling. Seul le controle d'acces au niveau serveur peut configurer des IP/sous-reseaux de confiance.

Conseils

Security Utilisez ceci au niveau serveur pour les restrictions generales qui s'appliquent a tous les virtual hosts.

Description

Spécifie la liste des IP ou sous-réseaux autorisés. * ou ALL sont acceptés.

Syntaxe

Liste d’adresses IP ou de sous-réseaux délimitée par des virgules. Un "T" final peut être utilisé pour indiquer une IP ou un sous-réseau de confiance, comme 192.168.1.*T.

Exemple

Conseils

Security Les IP ou sous-réseaux de confiance définis dans le contrôle d’accès au niveau serveur seront exclus des limites de connexion/throttling.

Description

Spécifie la liste des IP ou sous-réseaux non autorisés.

Syntaxe

Liste d’adresses IP ou de sous-réseaux délimitée par des virgules. * ou ALL sont acceptés.

Exemple