OpenLiteSpeed logo Manuel utilisateur OpenLiteSpeed
Accueil

Securite


LiteSpeed Web Server est concu avec la securite comme consideration principale. LSWS prend en charge SSL, dispose d'un controle d'acces aux niveaux serveur et virtual host, et d'une protection realm specifique au contexte. Outre ces fonctions standard, LSWS possede egalement les fonctions de securite speciales suivantes:


  1. Limites au niveau connexion:

    • La limitation au niveau IP limite la bande passante reseau vers et depuis une seule adresse IP quel que soit le nombre de connexions.
    • La comptabilisation des connexions au niveau IP limite le nombre de connexions simultanees depuis une seule adresse IP. Vous pouvez controler cela avec les reglages de limite souple de connexions, limite dure de connexions, periode de grace et periode de bannissement dans la console WebAdmin.

  2. Verification des requetes:

    Chaque requete HTTP est verifiee par LiteSpeed Web Server. "/." n'est pas autorise dans une URL decodee, ce qui interdit l'acces aux fichiers caches et aux repertoires parents.

    La taille des requetes est limitee par les reglages de longueur maximale d'URL de requete, longueur maximale d'en-tete de requete et longueur maximale de corps de requete de LiteSpeed Web Server.

  3. Verification des fichiers statiques:

    LiteSpeed Web Server ne servira un fichier statique que si les conditions suivantes sont satisfaites:

    • Le fichier est lisible par tout le monde.
    • Le fichier n'est pas executable.
    • Le fichier n'est pas dans la liste des repertoires dont l'acces est refuse.
    • Le fichier ne contient pas de lien symbolique si les liens symboliques ne sont pas autorises.
    • Par defaut, LiteSpeed Web Server n'indexe pas un repertoire en listant ses fichiers; cela doit etre active explicitement.

  4. Firewall d'applications externes:

    LiteSpeed Web Server transfere les requetes aux applications externes pour traiter/generer du contenu dynamique. Ces applications peuvent utiliser beaucoup de ressources systeme. Les performances de l'ensemble du systeme seront fortement degradees lorsque la consommation de ressources systeme atteindra un certain point, par exemple lorsque l'espace d'echange devra etre utilise. Une facon de mener une attaque DoS consiste a inonder le serveur web de requetes simultanees vers une application externe lourde.

    LiteSpeed Web Server peut pipeliner les requetes et controler le niveau de concurrence d'utilisation des applications externes afin d'eviter une surconsommation des ressources systeme. LSWS met en cache les requetes et ne transfere que les requetes completes a l'application externe. Cela signifie que l'application externe n'est pas tenue d'attendre pendant que le serveur recoit la requete. LSWS met egalement en cache la reponse de l'application externe afin que celle-ci puisse etre liberee des que la reponse est terminee et n'ait pas a attendre que le client recoive la reponse complete. Ainsi, le serveur peut utiliser moins d'instances d'applications externes pour servir plus de requetes simultanees et obtenir de meilleures performances et une meilleure scalabilite. LiteSpeed Web Server utilise egalement sa propre memoire virtuelle pour mettre en cache le corps des requetes et des reponses afin de minimiser l'utilisation de la memoire systeme sans sacrifier les performances.

  5. Limite de consommation des ressources CGI:

    LiteSpeed Web Server limite la quantite de ressources systeme qui peuvent etre consommees par les applications CGI. Pour chaque requete vers un script CGI, le serveur web doit demarrer un processus CGI autonome pour la traiter. Sur un systeme Unix, le nombre de processus simultanes est limite. Avec la limite de consommation des ressources CGI, vous pouvez configurer le nombre maximal d'instances CGI simultanees que le serveur web peut lancer. Un nombre excessif de processus simultanes degradera les performances de l'ensemble du systeme. (Les processus CGI sont une arme courante pour les attaques DoS.) Une limite de processus systeme peut etre specifiee par utilisateur afin de controler le nombre de processus pouvant etre generes par une application CGI. Chaque processus est en outre limite par des limites CPU et memoire.

  6. Securite CGI/FastCGI renforcee avec suEXEC:

    Afin de reduire les risques de securite d'un script CGI ou Fast CGI, LiteSpeed Web Server peut limiter les ressources systeme auxquelles le script CGI peut acceder en l'executant en mode "suEXEC". "suEXEC" lance le script CGI ou Fast CGI avec un ID utilisateur different de celui du serveur web. Cela ameliore fortement la securite dans les environnements d'hebergement partage en empechant le script CGI d'un utilisateur d'acceder aux fichiers d'autres utilisateurs.