Hôte virtuel - Sécurité

Description

CAPTCHA Protection est un service fourni pour aider a attenuer une forte charge serveur. CAPTCHA Protection s'activera apres l'une des situations ci-dessous. Une fois actif, toutes les requetes des clients NON TRUSTED(tels que configures) seront redirigees vers une page de validation CAPTCHA. Apres validation, le client sera redirige vers la page souhaitee.

Les situations suivantes activeront CAPTCHA Protection:
1. Le nombre de requetes concurrentes du serveur ou du vhost depasse la limite de connexion configuree.
2. Anti-DDoS est active et un client accede a une url d'une maniere suspecte. Le client sera d'abord redirige vers CAPTCHA au lieu d'etre refuse lorsque le declenchement se produit.
3. Un nouvel environnement de regle de rewrite est fourni pour activer CAPTCHA via RewriteRules. 'verifycaptcha' peut etre defini pour rediriger les clients vers CAPTCHA. Une valeur speciale ': deny' peut etre definie pour refuser le client s'il a echoue trop de fois. Par exemple, [E=verifycaptcha] redirigera toujours vers CAPTCHA jusqu'a verification. [E=verifycaptcha: deny] redirigera vers CAPTCHA jusqu'a ce que Max Tries soit atteint, apres quoi le client sera refuse.

Description

Active la fonctionnalité CAPTCHA Protection au niveau actuel. Ce réglage doit être défini sur Yes au niveau serveur avant que CAPTCHA Protection puisse être utilisée.

Valeurs par défaut:
Niveau serveur: Yes
Niveau VH: Hériter du réglage de niveau serveur

Syntaxe

Sélectionner avec les boutons radio

Description

La clé publique attribuée par les services reCAPTCHA ou hCaptcha.

Avec reCAPTCHA, une clé de site par défaut sera utilisée si aucune n’est définie (non recommandé).

Description

La clé privée attribuée par les services reCAPTCHA ou hCaptcha.

Avec reCAPTCHA, une clé secrète par défaut sera utilisée si aucune n’est définie (non recommandé).

Description

Spécifiez le type de CAPTCHA à utiliser avec les paires de clés.
Si aucune paire de clés n’a été fournie et que ce réglage est défini sur Not Set, une paire de clés par défaut de type CAPTCHA reCAPTCHA Invisible sera utilisée.

reCAPTCHA Checkbox affichera un CAPTCHA à case à cocher que le visiteur devra valider. (nécessite Clé de site, Clé secrète)

reCAPTCHA Invisible tentera de valider le CAPTCHA automatiquement et, en cas de succès, redirigera vers la page souhaitée. (nécessite Clé de site, Clé secrète)

hCaptcha peut être utilisé pour prendre en charge le fournisseur CAPTCHA hCaptcha. (nécessite Clé de site, Clé secrète)

La valeur par défaut est reCAPTCHA Invisible.

Syntaxe

Sélectionner dans la liste déroulante

Description

Max Tries spécifie le nombre maximal de tentatives CAPTCHA autorisées avant de refuser le visiteur.

La valeur par défaut est 3.

Syntaxe

Nombre entier

Description

Nombre de requetes concurrentes necessaire pour activer CAPTCHA. CAPTCHA continuera d'etre utilise jusqu'a ce que le nombre de requetes concurrentes tombe sous cette valeur.

La valeur par defaut est 15000.

Syntaxe

Nombre entier

Description

Définissez sur Enabled si vous souhaitez lancer les processus CGI (y compris les programmes PHP) dans un sandbox bubblewrap. Voir https://wiki.archlinux.org/title/Bubblewrap pour plus de détails sur l’utilisation de bubblewrap. Bubblewrap doit être installé sur votre système avant d’utiliser ce réglage.

Ce réglage ne peut pas être activé au niveau virtual host s’il est défini sur "Disabled" au niveau serveur.

Valeurs par défaut:
Niveau serveur: Disabled
Niveau VH: Hériter du réglage de niveau serveur

Syntaxe

Sélectionner dans la liste déroulante

Description

Définissez sur Enabled si vous souhaitez lancer les processus CGI (y compris les programmes PHP) dans un sandbox de conteneur namespace. Utilisé uniquement lorsque Conteneur Bubblewrap est défini sur Disabled.

Lorsque ce réglage n’est pas Disabled au niveau serveur, sa valeur peut être remplacée au niveau virtual host.

Valeurs par défaut:
Niveau serveur: Disabled
Niveau virtual host: Hériter du réglage de niveau serveur

Syntaxe

Sélectionner dans la liste déroulante

Description

Chemin vers un fichier de configuration existant contenant une liste de repertoires a monter ainsi que les methodes utilisees pour les monter. Si Fichier de modèle Namespace est aussi defini au niveau Serveur, les deux fichiers seront utilises.

Syntaxe

Un chemin pouvant être absolu, relatif à $SERVER_ROOT ou relatif à $VH_ROOT.

Description

Indique quels sous-reseaux et/ou adresses IP peuvent acceder au serveur. Au niveau serveur, ce reglage affectera tous les virtual hosts. Vous pouvez aussi configurer un controle d'acces propre a chaque virtual host au niveau virtual host. Les reglages de niveau virtual host NE remplaceront PAS les reglages de niveau serveur.

Le blocage/l'autorisation d'une IP est determine par la combinaison de la liste autorisee et de la liste refusee. Si vous voulez bloquer seulement certaines IP ou sous-reseaux, mettez * ou ALL dans Liste autorisée et listez les IP ou sous-reseaux bloques dans Liste refusée. Si vous voulez autoriser seulement certaines IP ou sous-reseaux, mettez * ou ALL dans Liste refusée et listez les IP ou sous-reseaux autorises dans Liste autorisée. Le reglage de la portee la plus petite correspondant a une IP sera utilise pour determiner l'acces.

Niveau serveur: Les IP ou sous-reseaux de confiance doivent etre specifies dans Liste autorisée en ajoutant un "T" final. Les IP ou sous-reseaux de confiance ne sont pas affectes par les limites de connexion/throttling. Seul le controle d'acces au niveau serveur peut configurer des IP/sous-reseaux de confiance.

Conseils

Security Utilisez ceci au niveau serveur pour les restrictions generales qui s'appliquent a tous les virtual hosts.

Description

Spécifie la liste des IP ou sous-réseaux autorisés. * ou ALL sont acceptés.

Syntaxe

Liste d’adresses IP ou de sous-réseaux délimitée par des virgules. Un "T" final peut être utilisé pour indiquer une IP ou un sous-réseau de confiance, comme 192.168.1.*T.

Exemple

Conseils

Security Les IP ou sous-réseaux de confiance définis dans le contrôle d’accès au niveau serveur seront exclus des limites de connexion/throttling.

Description

Spécifie la liste des IP ou sous-réseaux non autorisés.

Syntaxe

Liste d’adresses IP ou de sous-réseaux délimitée par des virgules. * ou ALL sont acceptés.

Exemple

Description

Liste tous les realms d'autorisation pour ce virtual host. Les realms d'autorisation servent a empecher les utilisateurs non autorises d'acceder aux pages web protegees. Un realm est un repertoire d'utilisateurs contenant des noms d'utilisateur et des mots de passe, avec des classifications de groupe facultatives. L'autorisation est effectuee au niveau du contexte. Comme differents contextes peuvent partager le meme realm (base de donnees utilisateur), les realms sont definis separement des contextes qui les utilisent. Vous pouvez faire reference a un realm par ces noms dans la configuration du contexte.

Description

Indique un nom unique pour le realm d’autorisation.

Description

Indique l’emplacement de la base de donnees utilisateur. Il est recommande de stocker la base de donnees sous le repertoire $SERVER_ROOT/conf/vhosts/$VH_NAME/.

Pour le type de DB Password File, il s’agit du chemin vers le fichier plat contenant les definitions utilisateur/mot de passe. Vous pouvez modifier ce fichier via la console WebAdmin en cliquant sur le nom du fichier.

Chaque ligne du fichier utilisateur contient un nom d’utilisateur suivi de deux-points, puis d’un mot de passe chiffre par crypt(), eventuellement suivi de deux-points et des noms de groupe auxquels l’utilisateur appartient. Les noms de groupe sont separes par des virgules. Si les informations de groupe sont indiquees dans la base de donnees utilisateur, la base de donnees groupe ne sera pas verifiee.

Exemple:

john:HZ.U8kgjnMOHo:admin,user

Syntaxe

Chemin vers le fichier de DB utilisateur.

Voir aussi

Emplacement de la DB groupe, Attribut de mot de passe, Attribut Member-of

Description

Indique la taille maximale du cache de la base de donnees utilisateur. Les donnees d’authentification utilisateur recemment consultees seront mises en cache en memoire afin de fournir des performances maximales.

Syntaxe

Nombre entier

Conseils

Performance Comme un cache plus grand consommera plus de memoire, une valeur plus elevee peut ou non fournir de meilleures performances. Definissez une taille appropriee selon la taille de votre base de donnees utilisateur et l’utilisation du site.

Description

Indique la frequence a laquelle la base de donnees utilisateur backend sera verifiee pour detecter des changements. Chaque entree du cache possede un horodatage. Lorsque les donnees mises en cache sont plus anciennes que le timeout indique, la base de donnees backend sera verifiee. S’il n’y a pas de changement, l’horodatage sera reinitialise a l’heure actuelle; sinon les nouvelles donnees seront chargees. Le rechargement du serveur et le graceful restart videront le cache immediatement.

Syntaxe

Nombre entier

Conseils

Performance Si la base de donnees backend ne change pas souvent, definissez un timeout plus long pour de meilleures performances.

Description

Indique l’emplacement de la base de donnees groupe. Il est recommande de stocker la base de donnees sous le repertoire $SERVER_ROOT/conf/vhosts/$VH_NAME/.

Les informations de groupe peuvent etre definies dans la base de donnees utilisateur ou dans cette DB groupe autonome. Pour l’authentification utilisateur, la DB utilisateur sera verifiee en premier. Si la DB utilisateur contient aussi des informations de groupe, la DB groupe ne sera pas verifiee.

Pour le type de DB Password File, l’emplacement de la DB groupe doit etre le chemin vers le fichier plat contenant les definitions de groupe. Vous pouvez modifier ce fichier via la console WebAdmin en cliquant sur le nom du fichier.

Chaque ligne d’un fichier de groupe doit contenir un nom de groupe suivi de deux-points, puis d’un groupe de noms d’utilisateur separes par des espaces. Exemple:

testgroup: user1 user2 user3

Syntaxe

Nom de fichier pouvant être un chemin absolu ou un chemin relatif à $SERVER_ROOT, $VH_ROOT.

Voir aussi

Emplacement de la DB utilisateur, Context Require (utilisateurs/groupes autorises), Attribut membre de groupe

Description

Indique la taille maximale du cache de la base de donnees groupe.

Syntaxe

Nombre entier

Conseils

Performance Comme un cache plus grand consommera plus de memoire, une valeur plus elevee peut ou non fournir de meilleures performances. Definissez une taille appropriee selon la taille de votre base de donnees utilisateur et l’utilisation du site.

Voir aussi

Taille maximale du cache de DB utilisateur

Description

Indique la frequence a laquelle la base de donnees groupe backend sera verifiee pour detecter des changements. Pour plus de details, consultez Timeout du cache de DB utilisateur (s).

Syntaxe

Nombre entier

Voir aussi

Timeout du cache de DB utilisateur (s)