Servidor - Seguridad

Descripción

Especifica el ajuste predeterminado a nivel de servidor para seguir enlaces simbólicos al servir archivos estáticos.

Las opciones son Yes, If Owner Match y No.

Yes hace que el servidor siempre siga los enlaces simbólicos. If Owner Match hace que el servidor siga un enlace simbólico solo si el propietario del enlace y el del destino son el mismo. No significa que el servidor nunca seguirá un enlace simbólico. Este ajuste se puede sobrescribir en las configuraciones de virtual host, pero no se puede sobrescribir desde un archivo .htaccess.

Sintaxis

Seleccionar de la lista desplegable

Consejos

PerformanceSecurity Para mayor seguridad, seleccione No o If Owner Match. Para obtener mejor rendimiento, seleccione Yes.

Ver también

Comprobar enlaces simbólicos.

Descripción

Especifica si se deben comprobar los enlaces simbólicos contra Directorios con acceso denegado cuando Seguir enlaces simbólicos está activado. Si se habilita, la ruta real canónica del recurso referido por una URL se comprobará contra los directorios de acceso denegado configurables. Se denegará el acceso si cae dentro de un directorio de acceso denegado.

Sintaxis

Seleccionar desde botones de opción

Consejos

PerformanceSecurity Para mayor seguridad, habilite esta opción. Para obtener mejor rendimiento, deshabilítela.

Ver también

Seguir enlaces simbólicos, Directorios con acceso denegado

Descripción

Especifica si se debe aplicar una comprobación estricta de propiedad de archivos. Si está habilitado, el servidor web comprobará si el propietario del archivo que se sirve es el mismo que el propietario del virtual host. Si es diferente, se devolverá un error 403 Access Denied. Está desactivado de forma predeterminada.

Sintaxis

Seleccionar desde botones de opción

Consejos

Security Para hosting compartido, habilite esta comprobación para mejorar la seguridad.

Descripción

Especifica la máscara de permisos requerida para los archivos estáticos que servirá el servidor. Por ejemplo, si solo se deben servir archivos legibles por todos, establezca el valor en 0004. Consulte man 2 stat para ver todos los valores.

Sintaxis

números octales

Ver también

Máscara de permisos restringida.

Descripción

Especifica la máscara de permisos restringida para archivos estáticos que el servidor no servirá. Por ejemplo, para prohibir servir archivos ejecutables, establezca la máscara en 0111.

Consulte man 2 stat para ver todos los valores.

Sintaxis

números octales

Ver también

Máscara de permisos requerida.

Descripción

Especifica la máscara de permisos restringida para archivos de script que el servidor no servirá. Por ejemplo, para prohibir servir scripts PHP que sean escribibles por grupo y por todos, establezca la máscara en 022. El valor predeterminado es 000.

Consulte man 2 stat para ver todos los valores.

Sintaxis

números octales

Ver también

Máscara de permisos restringida para directorios de scripts.

Descripción

Especifica la máscara de permisos restringida de los directorios padre de archivos de script que el servidor no servirá. Por ejemplo, para prohibir servir scripts PHP en un directorio escribible por grupo y por todos, establezca la máscara en 022. El valor predeterminado es 000. Esta opción se puede usar para evitar servir scripts bajo un directorio de archivos cargados.

Consulte man 2 stat para ver todos los valores.

Sintaxis

números octales

Ver también

Máscara de permisos restringida para scripts.

Descripción

Estos ajustes de control de conexiones se basan en la IP del cliente. Ayudan a mitigar ataques DoS (Denial of Service) y DDoS (Distributed Denial of Service).

Descripción

Especifica el número máximo de solicitudes de contenido estático procedentes de una sola dirección IP que se pueden procesar en un segundo, sin importar cuántas conexiones estén establecidas.

Cuando se alcanza este límite, todas las solicitudes futuras se retienen hasta el siguiente segundo. Los límites de solicitudes para contenido generado dinámicamente son independientes de este límite. Los límites de solicitudes por cliente se pueden establecer a nivel de servidor o de virtual host. Los ajustes de nivel de virtual host sobrescriben los ajustes de nivel de servidor.

Sintaxis

Número entero

Consejos

Security Las IP o subredes de confianza no se ven afectadas.

Ver también

Solicitudes dinámicas/segundo

Descripción

Especifica el número máximo de solicitudes de contenido generado dinámicamente procedentes de una sola dirección IP que se pueden procesar por segundo, sin importar cuántas conexiones estén establecidas. Cuando se alcanza este límite, todas las solicitudes futuras de contenido dinámico se retienen hasta el siguiente segundo.

El límite de solicitudes para contenido estático es independiente de este límite. Este límite de solicitudes por cliente se puede establecer a nivel de servidor o de virtual host. Los ajustes de nivel de virtual host sobrescriben los ajustes de nivel de servidor.

Sintaxis

Número entero

Consejos

Security Las IP o subredes de confianza no están restringidas por este límite.

Ver también

Solicitudes estáticas/segundo

Descripción

El rendimiento saliente máximo permitido hacia una sola dirección IP, sin importar cuántas conexiones estén establecidas. El ancho de banda real puede terminar siendo ligeramente superior a este ajuste por razones de eficiencia. El ancho de banda se asigna en unidades de 4KB. Establezca 0 para deshabilitar el throttling. Los límites de ancho de banda por cliente (bytes/s) se pueden establecer a nivel de servidor o de virtual host, donde los ajustes de nivel de virtual host sobrescriben los de nivel de servidor.

Sintaxis

Número entero

Consejos

Performance Establezca el ancho de banda en unidades de 8KB para obtener mejor rendimiento.

Security Las IP o subredes de confianza no se ven afectadas.

Ver también

Ancho de banda entrante (bytes/s)

Descripción

El rendimiento entrante máximo permitido desde una sola dirección IP, sin importar cuántas conexiones estén establecidas. El ancho de banda real puede terminar siendo ligeramente superior a este ajuste por razones de eficiencia. El ancho de banda se asigna en unidades de 1KB. Establezca 0 para deshabilitar el throttling. Los límites de ancho de banda por cliente (bytes/s) se pueden establecer a nivel de servidor o de virtual host, donde los ajustes de nivel de virtual host sobrescriben los de nivel de servidor.

Sintaxis

Número entero

Consejos

Security Las IP o subredes de confianza no se ven afectadas.

Ver también

Ancho de banda saliente (bytes/s)

Descripción

Especifica el límite flexible de conexiones concurrentes permitidas desde una IP. Este límite flexible se puede superar temporalmente durante Periodo de gracia (segs), siempre que el número esté por debajo de Límite estricto de conexiones, pero las conexiones Keep-Alive se cerrarán lo antes posible hasta que el número de conexiones sea inferior al límite. Si el número de conexiones sigue por encima del límite después de Periodo de gracia (segs), esa IP será bloqueada durante Periodo de bloqueo (segs).

Por ejemplo, si una página contiene muchos gráficos pequeños, el navegador puede intentar abrir muchas conexiones al mismo tiempo, especialmente con clientes HTTP/1.0. Conviene permitir esas conexiones durante un periodo corto.

Los clientes HTTP/1.1 también pueden abrir varias conexiones para acelerar las descargas, y SSL requiere conexiones separadas de las no SSL. Asegúrese de ajustar el límite correctamente para no afectar negativamente al servicio normal. El límite recomendado está entre 5 y 10.

Sintaxis

Número entero

Consejos

Security Un número menor permitirá atender a más clientes distintos.
Security Las IP o subredes de confianza no se ven afectadas.
Performance Establezca un valor alto cuando realice pruebas de benchmark con un gran número de máquinas cliente concurrentes.

Descripción

Especifica el número máximo de conexiones concurrentes permitidas desde una sola dirección IP. Este límite siempre se aplica y un cliente nunca podrá superarlo. Los clientes HTTP/1.0 suelen intentar abrir tantas conexiones como necesiten para descargar contenido incrustado al mismo tiempo. Este límite debe ser lo bastante alto para que los clientes HTTP/1.0 aún puedan acceder al sitio. Use Límite flexible de conexiones para establecer el límite de conexiones deseado.

El límite recomendado está entre 20 y 50, según el contenido de su página web y la carga de tráfico.

Sintaxis

Número entero

Consejos

Security Un número menor permitirá atender a más clientes distintos.
Security Las IP o subredes de confianza no se ven afectadas.
Performance Establezca un valor alto cuando realice pruebas de benchmark con un gran número de máquinas cliente concurrentes.

Descripción

Bloquea las IP que siguen enviando solicitudes HTTP con formato incorrecto durante Periodo de bloqueo (segs). El valor predeterminado es Yes. Esto ayuda a bloquear ataques de botnets que envían solicitudes basura repetidamente.

Sintaxis

Seleccionar desde botones de opción

Descripción

Especifica durante cuánto tiempo se pueden aceptar nuevas conexiones después de que el número de conexiones establecidas desde una IP supere Límite flexible de conexiones. Durante este periodo, se aceptarán nuevas conexiones si el total sigue por debajo de Límite estricto de conexiones. Una vez transcurrido este periodo, si el número de conexiones sigue por encima de Límite flexible de conexiones, la IP infractora será bloqueada durante Periodo de bloqueo (segs).

Sintaxis

Número entero

Consejos

PerformanceSecurity Establezca un valor adecuado, lo bastante grande para descargar una página completa pero lo bastante bajo para prevenir ataques deliberados.

Descripción

Especifica durante cuánto tiempo se rechazarán nuevas conexiones desde una IP si, después de transcurrir Periodo de gracia (segs), el número de conexiones sigue siendo superior a Límite flexible de conexiones. Si las IP se bloquean repetidamente, sugerimos aumentar el periodo de bloqueo para endurecer la penalización por abuso.

Sintaxis

Número entero

Descripción

Los siguientes ajustes controlan los procesos CGI. Los limites de memoria y procesos tambien sirven como valores predeterminados para otras aplicaciones externas si no se han establecido limites explicitamente para esas aplicaciones.

Descripción

Dirección de socket única usada para comunicarse con el demonio CGI. LiteSpeed Server usa un demonio CGI independiente para iniciar scripts CGI con el mejor rendimiento y seguridad. Si necesita cambiar esta ubicación, especifique aquí un socket de dominio Unix.

Valor predeterminado: uds://$SERVER_ROOT/admin/lscgid/.cgid.sock

Sintaxis

UDS://ruta

Ejemplo

Descripción

Especifica el número máximo de procesos CGI concurrentes que el servidor puede iniciar. Para cada solicitud a un script CGI, el servidor debe iniciar un proceso CGI independiente. En un sistema Unix, el número de procesos concurrentes es limitado. Un exceso de procesos concurrentes degradará el rendimiento de todo el sistema y es una forma de realizar un ataque DoS. LiteSpeed Server canaliza las solicitudes a scripts CGI y limita los procesos CGI concurrentes para garantizar rendimiento y fiabilidad óptimos. El límite estricto es 2000.

Sintaxis

Número entero

Consejos

SecurityPerformance Un límite mayor no necesariamente se traduce en un rendimiento más rápido. En la mayoría de los casos, un límite menor ofrece mejor rendimiento y seguridad. Un límite mayor solo ayudará cuando la latencia de I/O sea excesiva durante el procesamiento CGI.

Descripción

Especifica el ID de usuario mínimo permitido para ejecutar aplicaciones externas cuando se ejecutan como un usuario especificado. Se denegará la ejecución de un script externo con un ID de usuario inferior al valor especificado aquí.

Sintaxis

Número entero

Consejos

Security Establézcalo lo bastante alto para excluir a todos los usuarios del sistema/privilegiados.

Descripción

Especifica el ID de grupo mínimo permitido para ejecutar aplicaciones externas cuando se ejecutan como un grupo especificado. Se denegará la ejecución de un script externo con un ID de grupo inferior al valor especificado aquí.

Sintaxis

Número entero

Consejos

Security Establézcalo lo bastante alto para excluir a todos los grupos usados por usuarios del sistema.

Descripción

Especifica un ID de grupo que se usará para todas las aplicaciones externas iniciadas en modo suEXEC. Cuando se establece en un valor distinto de cero, todas las aplicaciones externas suEXEC (CGI/FastCGI/LSAPI) usarán este ID de grupo. Esto se puede usar para impedir que una aplicación externa acceda a archivos propiedad de otros usuarios.

Por ejemplo, en un entorno de hosting compartido, LiteSpeed se ejecuta como el usuario "www-data", grupo "www-data". Cada docroot pertenece a una cuenta de usuario, con grupo "www-data" y modo de permisos 0750. Si Force GID se establece en "nogroup" (o cualquier grupo distinto de 'www-data'), todas las aplicaciones externas suEXEC se ejecutarán como un usuario determinado pero en el grupo "nogroup". Estos procesos de aplicación externa aún podrán acceder a archivos propiedad de ese usuario determinado (debido a su ID de usuario), pero no tendrán permiso de grupo para acceder a archivos de otros usuarios. El servidor, por otra parte, todavía puede servir archivos bajo cualquier docroot de usuario (debido a su ID de grupo).

Sintaxis

Número entero

Consejos

Security Establézcalo lo bastante alto para excluir a todos los grupos usados por usuarios del sistema.

Descripción

Establece la umask predeterminada para procesos CGI. Consulte man 2 umask para más detalles. También sirve como valor predeterminado para umask de aplicaciones externas.

Sintaxis

valor dentro del rango válido [000]-[777].

Ver también

ExtApp umask

Descripción

Especifica la prioridad del proceso de aplicación externa. El valor va de -20 a 20. Un número menor significa una prioridad mayor.

Un proceso CGI no puede tener una prioridad mayor que la del servidor web. Si esta prioridad se establece en un número menor que la del servidor, se usará la prioridad del servidor para este valor.

Sintaxis

entero

Ver también

Server Prioridad

Descripción

Especifica el límite de tiempo de consumo de CPU, en segundos, para un proceso CGI. Cuando el proceso alcanza el límite flexible, se le notificará mediante una señal. Se usará el ajuste predeterminado del sistema operativo si el valor falta o se establece en 0.

Sintaxis

Número entero

Descripción

Especifica el límite máximo de tiempo de consumo de CPU, en segundos, para un proceso CGI. Si el proceso sigue consumiendo tiempo de CPU y alcanza el límite estricto, el proceso será terminado forzosamente. Se usará el ajuste predeterminado del sistema operativo si el valor falta o se establece en 0.

Sintaxis

Número entero

Descripción

Especifica el límite de consumo de memoria, en bytes, para un proceso de aplicación externa o una aplicación externa iniciada por el servidor.

El propósito principal de este límite es evitar un uso excesivo de memoria por errores de software o ataques intencionales, no imponer un límite al uso normal. Asegúrese de dejar margen suficiente; de lo contrario, su aplicación puede fallar y se puede devolver un error 503. Se puede establecer a nivel de servidor o a nivel de una aplicación externa individual. El límite de nivel de servidor se usará si no se establece a nivel de aplicación individual.

Se usará el ajuste predeterminado del sistema operativo si el valor falta en ambos niveles o se establece en 0.

Sintaxis

Número entero

Consejos

Attention No ajuste este límite en exceso. Puede producir errores 503 si su aplicación necesita más memoria.

Descripción

Muy similar a Límite flexible de memoria (bytes), excepto que el límite flexible puede elevarse hasta el límite estricto desde dentro de un proceso de usuario. El límite estricto se puede establecer a nivel de servidor o a nivel de una aplicación externa individual. El límite de nivel de servidor se usará si no se establece a nivel de aplicación individual.

Se usará el valor predeterminado del sistema operativo si el valor falta en ambos niveles o se establece en 0.

Sintaxis

Número entero

Consejos

Attention No ajuste este límite en exceso. Puede producir errores 503 si su aplicación necesita más memoria.

Descripción

Limita el numero total de procesos que pueden crearse en nombre de un usuario. Todos los procesos existentes se contaran contra este limite, no solo los procesos nuevos que se inicien.

El limite puede establecerse a nivel de servidor o a nivel de aplicacion externa individual. El limite de nivel de servidor se usara si no se establece a nivel de aplicacion individual. Se usara el valor predeterminado del sistema operativo si este valor es 0 o falta en ambos niveles.

Sintaxis

Número entero

Consejos

Information Los scripts PHP pueden solicitar la creacion de procesos. El objetivo principal de este limite es actuar como ultima linea de defensa para evitar fork bombs y otros ataques causados por procesos PHP que crean otros procesos.

Establecer este ajuste demasiado bajo puede perjudicar gravemente la funcionalidad. Por tanto, el ajuste se ignorara por debajo de ciertos niveles.

Cuando Run On Start Up se establece en "Yes (Daemon mode)", el limite real de procesos sera superior a este ajuste para asegurarse de que los procesos padre no queden limitados.

Descripción

Muy similar a Limite blando de procesos, excepto que el límite flexible puede elevarse hasta el límite estricto desde dentro de un proceso de usuario. El límite estricto se puede establecer a nivel de servidor o a nivel de una aplicación externa individual. El límite de nivel de servidor se usará si no se establece a nivel de aplicación individual. Se usará el valor predeterminado del sistema operativo si el valor falta en ambos niveles o se establece en 0.

Sintaxis

Número entero

Descripción

Función del kernel Linux que limita, contabiliza y aísla el uso de recursos (CPU, memoria, I/O de disco, red, etc.) de un conjunto de procesos. Debe estar usando cgroups v2, lo cual se determina por la existencia del archivo /sys/fs/cgroup/cgroup.controllers.

Establecer esto en Disabled a nivel de servidor deshabilitará este ajuste en todo el servidor. En todos los demás casos, el ajuste de nivel de servidor se puede sobrescribir a nivel de virtual host.

Valores predeterminados:
Nivel de servidor: Off
Nivel de VH: Heredar el ajuste de nivel de servidor

Sintaxis

Seleccionar de la lista desplegable

Descripción

CAPTCHA Protection es un servicio proporcionado como forma de mitigar una carga pesada del servidor. CAPTCHA Protection se activara despues de que ocurra una de las siguientes situaciones. Una vez activo, todas las solicitudes de clientes NON TRUSTED(segun configuracion) seran redirigidas a una pagina de validacion CAPTCHA. Despues de la validacion, el cliente sera redirigido a la pagina deseada.

Las siguientes situaciones activaran CAPTCHA Protection:
1. El recuento de solicitudes concurrentes del servidor o vhost supera el limite de conexion configurado.
2. Anti-DDoS esta habilitado y un cliente accede a una url de forma sospechosa. El cliente se redirigira primero a CAPTCHA en lugar de ser denegado cuando se active.
3. Se proporciona un nuevo entorno de regla de rewrite para activar CAPTCHA mediante RewriteRules. 'verifycaptcha' puede establecerse para redirigir clientes a CAPTCHA. Un valor especial ': deny' puede establecerse para denegar al cliente si fallo demasiadas veces. Por ejemplo, [E=verifycaptcha] siempre redirigira a CAPTCHA hasta que se verifique. [E=verifycaptcha: deny] redirigira a CAPTCHA hasta que se alcance Max Tries, despues de lo cual el cliente sera denegado.

Descripción

Habilita la función CAPTCHA Protection en el nivel actual. Este ajuste debe estar en Yes a nivel de servidor antes de que se pueda usar CAPTCHA Protection.

Valores predeterminados:
Nivel de servidor: Yes
Nivel de VH: Heredar el ajuste de nivel de servidor

Sintaxis

Seleccionar desde botones de opción

Descripción

La clave pública asignada por los servicios reCAPTCHA o hCaptcha.

Al usar reCAPTCHA, se usará una clave de sitio predeterminada si no se establece una (no recomendado).

Descripción

La clave privada asignada por los servicios reCAPTCHA o hCaptcha.

Al usar reCAPTCHA, se usará una clave secreta predeterminada si no se establece una (no recomendado).

Descripción

Especifique el tipo de CAPTCHA que se usará con los pares de claves.
Si no se ha proporcionado un par de claves y este ajuste está en Not Set, se usará un par de claves predeterminado de tipo CAPTCHA reCAPTCHA Invisible.

reCAPTCHA Checkbox mostrará un CAPTCHA con casilla de verificación para que el visitante valide. (requiere Clave de sitio, Clave secreta)

reCAPTCHA Invisible intentará validar el CAPTCHA automáticamente y, si tiene éxito, redirigirá a la página deseada. (requiere Clave de sitio, Clave secreta)

hCaptcha se puede usar para admitir el proveedor CAPTCHA hCaptcha. (requiere Clave de sitio, Clave secreta)

El valor predeterminado es reCAPTCHA Invisible.

Sintaxis

Seleccionar de la lista desplegable

Descripción

Max Tries especifica el número máximo de intentos de CAPTCHA permitidos antes de denegar al visitante.

El valor predeterminado es 3.

Sintaxis

Número entero

Descripción

Número de accesos cada 10 segundos que se permite pasar a los ‘good bots’. Los bots aún serán limitados cuando el servidor esté bajo carga.

El valor predeterminado es 3.

Sintaxis

Número entero

Descripción

Lista de user agents personalizados a los que se permite el acceso. Estarán sujetos a las limitaciones de ‘good bots’, incluido allowedRobotHits.

Sintaxis

Lista de user agents, uno por línea. Se admite regex.

Descripción

El número de conexiones concurrentes (SSL y no SSL) necesario para activar CAPTCHA. CAPTCHA continuará usándose hasta que el recuento de conexiones concurrentes caiga por debajo de este número.

El valor predeterminado es 15000.

Sintaxis

Número entero

Descripción

El número de conexiones SSL concurrentes necesario para activar CAPTCHA. CAPTCHA continuará usándose hasta que el recuento de conexiones concurrentes caiga por debajo de este número.

El valor predeterminado es 10000.

Sintaxis

Número entero

Descripción

Establézcalo en Enabled si desea iniciar procesos CGI (incluidos programas PHP) en un sandbox de bubblewrap. Consulte https://wiki.archlinux.org/title/Bubblewrap para obtener detalles sobre el uso de bubblewrap. Bubblewrap debe estar instalado en su sistema antes de usar este ajuste.

Este ajuste no se puede activar a nivel de virtual host si está establecido en "Disabled" a nivel de servidor.

Valores predeterminados:
Nivel de servidor: Disabled
Nivel de VH: Heredar el ajuste de nivel de servidor

Sintaxis

Seleccionar de la lista desplegable

Descripción

El comando completo de uso de bubblewrap, incluido el propio programa bubblewrap. Puede encontrar más información para configurar este comando aquí: https://openlitespeed.org/kb/bubblewrap-in-openlitespeed/ . Si no se especifica, se usará el comando predeterminado listado abajo.

Valor predeterminado: /bin/bwrap --ro-bind /usr /usr --ro-bind /lib /lib --ro-bind-try /lib64 /lib64 --ro-bind /bin /bin --ro-bind /sbin /sbin --dir /var --dir /tmp --proc /proc --symlink ../tmp var/tmp --dev /dev --ro-bind-try /etc/localtime /etc/localtime --ro-bind-try /etc/ld.so.cache /etc/ld.so.cache --ro-bind-try /etc/resolv.conf /etc/resolv.conf --ro-bind-try /etc/ssl /etc/ssl --ro-bind-try /etc/pki /etc/pki --ro-bind-try /etc/man_db.conf /etc/man_db.conf --ro-bind-try /home/$USER /home/$USER --bind-try /var/lib/mysql/mysql.sock /var/lib/mysql/mysql.sock --bind-try /home/mysql/mysql.sock /home/mysql/mysql.sock --bind-try /tmp/mysql.sock /tmp/mysql.sock --unshare-all --share-net --die-with-parent --dir /run/user/$UID ‘$PASSWD 65534’ ‘$GROUP 65534’

Descripción

Establézcalo en Enabled si desea iniciar procesos CGI (incluidos programas PHP) en un sandbox de contenedor namespace. Solo se usa cuando Contenedor Bubblewrap está establecido en Disabled.

Cuando no está Disabled a nivel de servidor, este valor de ajuste se puede sobrescribir a nivel de virtual host.

Valores predeterminados:
Nivel de servidor: Disabled
Nivel de virtual host: Heredar el ajuste de nivel de servidor

Sintaxis

Seleccionar de la lista desplegable

Descripción

Ruta a un archivo de configuración existente que contiene una lista de directorios que se montarán junto con los métodos usados para montarlos. Cuando Contenedor Namespace está establecido en Enabled y este valor no está definido, se usarán los siguientes ajustes predeterminados seguros de configuración:

$HOMEDIR/.lsns/tmp /tmp,tmp
/usr,ro-bind
/lib,ro-bind
/lib64,ro-bind-try
/bin,ro-bind
/sbin,ro-bind
/var,dir
/var/www,ro-bind-try
/proc,proc
../tmp var/tmp,symlink
/dev,dev
/etc/localtime,ro-bind-try
/etc/ld.so.cache,ro-bind-try
/etc/resolv.conf,ro-bind-try
/etc/ssl,ro-bind-try
/etc/pki,ro-bind-try
/etc/man_db.conf,ro-bind-try
/usr/local/bin/msmtp /etc/alternatives/mta,ro-bind-try
/usr/local/bin/msmtp /usr/sbin/exim,ro-bind-try
$HOMEDIR,bind-try
/var/lib/mysql/mysql.sock,bind-try
/home/mysql/mysql.sock,bind-try
/tmp/mysql.sock,bind-try
/run/mysqld/mysqld.sock,bind-try
/var/run/mysqld.sock,bind-try
/run/user/$UID,bind-try
$PASSWD
$GROUP
/etc/exim.jail/$USER.conf $HOMEDIR/.msmtprc,copy-try
/etc/php.ini,ro-bind-try
/etc/php-fpm.conf,ro-bind-try
/etc/php-fpm.d,ro-bind-try
/var/run,ro-bind-try
/var/lib,ro-bind-try
/etc/imunify360/user_config/,ro-bind-try
/etc/sysconfig/imunify360,ro-bind-try
/opt/plesk/php,ro-bind-try
/opt/alt,bind-try
/opt/cpanel,bind-try
/opt/psa,bind-try
/var/lib/php/sessions,bind-try

Sintaxis

Una ruta absoluta o una ruta relativa a $SERVER_ROOT.

Descripción

Especifica directorios cuyo acceso debe bloquearse. Agregue directorios que contengan datos sensibles a esta lista para evitar exponer accidentalmente archivos sensibles a los clientes. Añada un "*" al final de la ruta para incluir todos los subdirectorios. Si Seguir enlaces simbólicos y Comprobar enlaces simbólicos están habilitados, los enlaces simbólicos se comprobarán contra los directorios denegados.

Sintaxis

Lista de directorios delimitada por comas

Consejos

Security De importancia crítica: este ajuste solo evita servir archivos estáticos desde estos directorios. No evita la exposición mediante scripts externos como PHP/Ruby/CGI.

Descripción

Especifica que subredes y/o direcciones IP pueden acceder al servidor. A nivel de servidor, este ajuste afectara a todos los virtual hosts. Tambien puede configurar control de acceso unico para cada virtual host a nivel de virtual host. Los ajustes de nivel de virtual host NO sobrescribiran los ajustes de nivel de servidor.

Bloquear/permitir una IP se determina por la combinacion de la lista permitida y la lista denegada. Si desea bloquear solo ciertas IP o subredes, ponga * o ALL en Lista permitida y liste las IP o subredes bloqueadas en Lista denegada. Si desea permitir solo ciertas IP o subredes, ponga * o ALL en Lista denegada y liste las IP o subredes permitidas en Lista permitida. Se usara el ajuste del ambito mas pequeno que coincida con una IP para determinar el acceso.

Nivel de servidor: Las IP o subredes confiables deben especificarse en Lista permitida agregando una "T" final. Las IP o subredes confiables no se ven afectadas por limites de conexion/throttling. Solo el control de acceso de nivel de servidor puede configurar IP/subredes confiables.

Consejos

Security Use esto a nivel de servidor para restricciones generales que se apliquen a todos los virtual hosts.

Descripción

Especifica la lista de IP o subredes permitidas. Se aceptan * o ALL.

Sintaxis

Lista delimitada por comas de direcciones IP o subredes. Se puede usar una "T" final para indicar una IP o subred de confianza, como 192.168.1.*T.

Ejemplo

Consejos

Security Las IP o subredes de confianza establecidas en el control de acceso de nivel de servidor se excluirán de los límites de conexión/throttling.

Descripción

Especifica la lista de IP o subredes no permitidas.

Sintaxis

Lista delimitada por comas de direcciones IP o subredes. Se aceptan * o ALL.

Ejemplo