OpenLiteSpeed je vysoce výkonný open source webový server vyvinutý společností LiteSpeed Technologies. Je navržen tak, aby poskytoval rychlé a efektivní zpracování webových požadavků, a lze jej použít pro hostování dynamických i statických webových aplikací. V tomto článku se podíváme na to, proč je důležité zobrazovat skutečnou IP adresu návštěvníků v OpenLiteSpeed a jak to provést.
Proč je to důležité.
Zobrazování skutečné IP adresy návštěvníků v OpenLiteSpeed je důležité z několika důvodů:
- Bezpečnost. Díky znalosti skutečné IP adresy mohou správci lépe sledovat podezřelé aktivity a předcházet útokům, jako jsou DDoS nebo pokusy o hackerské útoky.
- Analytika. Můžete přesněji analyzovat návštěvnost webu, určit zeměpisnou polohu uživatelů a pochopit, odkud návštěvnost přichází.
- Protokoly. Skutečné IP adresy se ukládají do protokolů serveru, což usnadňuje diagnostiku problémů a analýzu výkonu.
- Konfigurace přístupu. Správci mohou konfigurovat pravidla přístupu ke zdrojům webu na základě IP adres a blokovat nebo povolovat přístup konkrétním uživatelům.
- Ukládání do mezipaměti. Některé mechanismy ukládání do mezipaměti mohou fungovat lépe, pokud server zná skutečnou IP adresu klienta, což může zlepšit výkon.
To je důležité také pro informace o řízení přístupu pro konkrétní IP adresy a pro analýzu provozu při použití proxy serveru, jako je Cloudflare nebo DDoS-GUARD. Pro správné zobrazení skutečné IP adresy musí být správně nakonfigurovány proxy servery a vyrovnávače zátěže, pokud jsou v infrastruktuře použity.
Pokyny pro konfiguraci
Webové rozhraní webového serveru OpenLiteSpeed není při použití ispmanageru 6 k dispozici, hodnotu volby "Use Client IP in Header" můžete změnit pouze ručně v konfiguračním souboru "/usr/local/lsws/conf/httpd-config.conf" Volba "Use Client IP in Header" odpovídá direktivě "useIpInProxyHeader" a ve výchozím nastavení ve standardní konfiguraci při práci s ispmanagerem 6 chybí.
mime conf/mime.properties
showVersionNumber 0
useIpInProxyHeader 1
adminEmails root@localhostHodnoty směrnice "useIpInProxyHeader":
- 0 - nepředávat zdrojové (skutečné) IP adresy v záhlaví;
- 1 - předávat zdrojové IP adresy v záhlaví;
- 2 - předávat zdrojové IP adresy v záhlaví pouze z důvěryhodných IP adres;
- 3 - předávat záhlaví z důvěryhodných IP adres.
Aby se zdrojové IP adresy návštěvníků správně zobrazovaly v protokolech webu, stačí nastavit hodnotu "1". To však nemusí být bezpečné, protože je možné podvrhnout IP adresy pomocí hlavičky "X-Forwarded-For", která je odesílána přes proxy server. Místo toho doporučujeme nastavit hodnotu "2" a přidat důvěryhodné IP adresy, přes které je proxy server provozován, do pravidla "allow" v sekci "accessControl".
Adresy by měly být přidány za hodnotu "ALL", odděleny čárkami, s uvedením masky podsítě a přidáním přípony "T", např:
accessControl {
allow ALL, 125.67.22.0/24T, 19.76.213.2/32T
}Tímto jsou pokyny dokončeny.