OpenLiteSpeed logo OpenLiteSpeed-Benutzerhandbuch
Startseite

Sicherheit


LiteSpeed Web Server wurde mit Sicherheit als zentralem Anliegen entwickelt. LSWS unterstuetzt SSL, bietet Zugriffskontrolle auf Server- und Virtual-Host-Ebene und kontextspezifischen Realm-Schutz. Neben diesen Standardfunktionen bietet LSWS auch die folgenden besonderen Sicherheitsfunktionen:


  1. Limits auf Verbindungsebene:

    • Drosselung auf IP-Ebene begrenzt Netzwerkbandbreite zu und von einer einzelnen IP-Adresse unabhaengig von der Anzahl der Verbindungen.
    • Verbindungszaehlung auf IP-Ebene begrenzt die Anzahl gleichzeitiger Verbindungen von einer einzelnen IP-Adresse. Sie koennen dies in der WebAdmin-Konsole ueber die Einstellungen fuer weiches Verbindungslimit, hartes Verbindungslimit, Grace Period und Banned Period steuern.

  2. Anfragepruefung:

    Jede HTTP-Anfrage wird von LiteSpeed Web Server geprueft. "/." ist in einer dekodierten URL nicht erlaubt und verhindert dadurch den Zugriff auf versteckte Dateien und uebergeordnete Verzeichnisse.

    Die Anforderungsgroesse wird durch die Einstellungen von LiteSpeed Web Server fuer maximale Request-URL-Laenge, maximale Request-Header-Laenge und maximale Request-Body-Laenge begrenzt.

  3. Pruefung statischer Dateien:

    LiteSpeed Web Server liefert eine statische Datei nur aus, wenn die folgenden Bedingungen erfuellt sind:

    • Die Datei ist fuer alle lesbar.
    • Die Datei ist nicht ausfuehrbar.
    • Die Datei befindet sich nicht in der Liste der Verzeichnisse mit verweigertem Zugriff.
    • Die Datei enthaelt keinen symbolischen Link, wenn symbolische Links nicht erlaubt sind.
    • Standardmaessig indexiert LiteSpeed Web Server ein Verzeichnis nicht durch Auflisten seiner Dateien; dies muss explizit aktiviert werden.

  4. Firewall fuer externe Anwendungen:

    LiteSpeed Web Server leitet Anfragen an externe Anwendungen weiter, um dynamische Inhalte zu verarbeiten/zu erzeugen. Diese Anwendungen koennen viele Systemressourcen verwenden. Die Leistung des gesamten Systems wird stark beeintraechtigt, wenn der Systemressourcenverbrauch einen bestimmten Punkt erreicht, zum Beispiel wenn Swap-Speicher verwendet werden muss. Eine Moeglichkeit fuer einen DoS-Angriff ist es, den Webserver mit gleichzeitigen Anfragen an eine schwerfaellige externe Anwendung zu ueberfluten.

    LiteSpeed Web Server kann Anfragen pipelinen und die gleichzeitige Nutzung externer Anwendungen steuern, um uebermaessigen Ressourcenverbrauch zu verhindern. LSWS speichert Anfragen zwischen und leitet nur vollstaendige Anfragen an die externe Anwendung weiter. Dadurch muss die externe Anwendung nicht warten, waehrend der Server die Anfrage empfaengt. LSWS speichert ausserdem die Antwort der externen Anwendung, sodass diese freigegeben werden kann, sobald die Antwort abgeschlossen ist, und nicht warten muss, bis der Client die komplette Antwort erhalten hat. So kann der Server weniger externe Anwendungsinstanzen verwenden, um mehr gleichzeitige Anfragen zu bedienen und hoehere Leistung und Skalierbarkeit zu erreichen. LiteSpeed Web Server verwendet zudem eigenen virtuellen Speicher zum Cachen von Request- und Response-Body, um den Systemspeicherverbrauch ohne Leistungseinbussen zu minimieren.

  5. Limit fuer CGI-Ressourcenverbrauch:

    LiteSpeed Web Server beschraenkt die Menge an Systemressourcen, die von CGI-Anwendungen verbraucht werden kann. Fuer jede Anfrage an ein CGI-Skript muss der Webserver einen eigenstaendigen CGI-Prozess starten. Auf einem Unix-System ist die Anzahl gleichzeitiger Prozesse begrenzt. Mit dem Limit fuer CGI-Ressourcenverbrauch koennen Sie die maximale Anzahl gleichzeitiger CGI-Instanzen konfigurieren, die der Webserver starten darf. Zu viele gleichzeitige Prozesse verschlechtern die Leistung des gesamten Systems. (CGI-Prozesse sind eine haeufige Waffe fuer DoS-Angriffe.) Ein Systemprozesslimit kann pro Benutzer angegeben werden, um die Anzahl der Prozesse zu steuern, die von einer CGI-Anwendung erzeugt werden koennen. Jeder Prozess wird zusaetzlich durch CPU- und Speicherlimits eingeschraenkt.

  6. Erweiterte CGI/FastCGI-Sicherheit mit suEXEC:

    Um die Sicherheitsrisiken eines CGI- oder Fast-CGI-Skripts zu reduzieren, kann LiteSpeed Web Server die Systemressourcen beschraenken, auf die das CGI-Skript zugreifen kann, indem es im "suEXEC"-Modus ausgefuehrt wird. "suEXEC" startet das CGI- oder Fast-CGI-Skript mit einer anderen Benutzer-ID als der des Webservers. Dies verbessert die Sicherheit in Shared-Hosting-Umgebungen deutlich, indem verhindert wird, dass das CGI-Skript eines Benutzers auf die Dateien anderer Benutzer zugreift.