OpenLiteSpeed je vysoko výkonný open source webový server vyvinutý spoločnosťou LiteSpeed Technologies. Je navrhnutý tak, aby poskytoval rýchle a efektívne spracovanie webových požiadaviek a môže sa používať na hosťovanie dynamických a statických webových aplikácií. V tomto článku sa pozrieme na to, prečo je dôležité zobrazovať skutočnú IP adresu návštevníkov v OpenLiteSpeed a ako to urobiť.
Prečo je to dôležité.
Zobrazovanie skutočnej IP adresy návštevníkov v OpenLiteSpeed je dôležité z niekoľkých dôvodov:
- Bezpečnosť. Znalosťou skutočnej IP adresy môžu správcovia lepšie sledovať podozrivú aktivitu a predchádzať útokom, ako je napríklad DDoS alebo pokusy o hackerské útoky.
- Analýza. Môžete presnejšie analyzovať návštevnosť webu, určiť geografickú polohu používateľov a pochopiť, odkiaľ návštevnosť prichádza.
- Protokoly. Skutočné IP adresy sa ukladajú do protokolov servera, čo uľahčuje diagnostiku problémov a analýzu výkonu
- Konfigurácia prístupu. Správcovia môžu konfigurovať pravidlá prístupu k zdrojom webu na základe adries IP, blokovať alebo povoľovať prístup konkrétnym používateľom.
- Ukladanie do vyrovnávacej pamäte. Niektoré mechanizmy ukladania do vyrovnávacej pamäte môžu fungovať lepšie, ak server pozná skutočnú IP adresu klienta, čo môže zlepšiť výkon.
Je to dôležité aj pre informácie o kontrole prístupu pre konkrétne IP adresy a pre analýzu prevádzky pri používaní proxy servera, ako je Cloudflare alebo DDoS-GUARD. Na správne zobrazenie skutočnej adresy IP musia byť správne nakonfigurované proxy servery a vyrovnávače záťaže, ak sa v infraštruktúre používajú.
Pokyny na konfiguráciu
Webové rozhranie webového servera OpenLiteSpeed nie je k dispozícii pri používaní aplikácie ispmanager 6, hodnotu možnosti "Use Client IP in Header" (Použiť IP klienta v hlavičke) môžete zmeniť iba ručne v konfiguračnom súbore "/usr/local/lsws/conf/httpd-config.conf". možnosť "Use Client IP in Header" (Použiť IP klienta v hlavičke) zodpovedá smernici "useIpInProxyHeader" a v štandardnej konfigurácii pri práci s aplikáciou ispmanager 6 štandardne chýba.
mime conf/mime.properties
showVersionNumber 0
useIpInProxyHeader 1
adminEmails root@localhostHodnoty smernice "useIpInProxyHeader":
- 0 - v záhlaví sa neuvádzajú zdrojové (skutočné) IP adresy;
- 1 - v záhlaví odovzdávať zdrojové IP adresy;
- 2 - prenášať zdrojové IP adresy v záhlaví len z dôveryhodných IP adries;
- 3 - odovzdávať zdrojové IP adresy v záhlaví z dôveryhodných IP adries.
Na zabezpečenie správneho zobrazenia zdrojových IP adries návštevníkov v protokoloch stránok stačí nastaviť hodnotu "1". To však nemusí byť bezpečné, pretože je možné podvrhnúť IP adresy pomocou hlavičky "X-Forwarded-For", ktorá sa posiela cez proxy server. Namiesto toho sa odporúča nastaviť hodnotu "2" a pridať dôveryhodné IP adresy, cez ktoré sa vykonáva proxy server, do pravidla "allow" v časti "accessControl".
Adresy by sa mali pridať za hodnotu "ALL", oddeliť čiarkami, uviesť masku podsiete a pridať napríklad príponu "T":
accessControl {
allow ALL, 125.67.22.0/24T, 19.76.213.2/32T
}Týmto sú pokyny dokončené.