跟随符号链接 | 检查符号链接 | 强制严格属主检查 | Required Permission Mask | 限制权限掩码 | 脚本限制权限掩码 | 脚本目录限制权限掩码 |
静态请求/秒 | Dynamic Requests/Second | 出口带宽 | 入口带宽 | 连接软限制 | 连接硬限制 | 封锁坏请求 | 宽限期(秒) | 禁止期(秒) |
CGI守护进程套接字 | 最大CGI实例数量 | 最小的UID | 最小的GID | 强制GID | umask | CGI优先级 | CPU软限制 | CPU硬限制 | 内存软限制 | 内存硬限制 | 进程软限制 | 进程硬限制 |
拒绝访问的目录 |
Description 指定服务静态文件时跟踪符号链接的服务器级别默认设置。 |
Syntax 选项 |
Tips [性能和安全建议] 要获得最佳安全性,选择{VAL}No或If Owner Match。 要获得最佳性能,选择{VAL}Yes。 |
See Also |
Description 指定在启用了跟随符号链接时,是否检查符号链接在不在拒绝访问的目录中。 如果启用检查,将检查网址对应的真正的资源路径是否在配置的禁止访问目录中。 如果在禁止访问目录中,访问将被禁止。 |
Syntax 布尔值 |
Tips [性能和安全] 要获得最佳的安全性,启用该选项。要获得最佳性能,禁用该选项。 |
See Also |
Description 指定是否执行严格的文件所有权检查。 如果启用,Web服务器将检查正在服务的文件的所有者与虚拟主机的所有者是否相同。 如果不同,将返回403拒绝访问错误。 该功能默认是关闭的。 |
Syntax 布尔值 |
Tips [安全建议] 对于共享主机,启用此检查以得到更好的安全性。 |
Description 为静态文件指定必需的权限掩码。 例如,如果只允许所有人都可读的文件可以被输出,将该值设置为0004。 用man 2 stat命令了解所有可选值。 |
Syntax 八进制数 |
See Also |
Description 为不能服务的脚本文件指定限制权限掩码。 例如,要禁止服务属组可写和全局可写的PHP脚本, 设置掩码为022。默认值是000。 |
Syntax 八进制数 |
See Also |
Description 为不能服务的脚本文件父目录指定限制权限掩码。 例如,要禁止服务属组可写和全局可写的文件夹内的PHP脚本, 设置掩码为022。默认值是000。 此选项可用于防止执行文件上传目录内的脚本。 |
Syntax 八进制数 |
See Also |
Description These are connection control settings are based on client IP. These settings help to mitigate DoS (Denial of Service) and DDoS (Distributed Denial of Service) attacks. |
Description 指定每秒可处理的来自单个IP的静态内容请求数量(无论与该IP之间建立了多少个连接)。 |
Syntax 无符号整数 |
Tips [安全] 受信任的IP或子网不受影响。 |
See Also |
Description Specifies the maximum number of requests to dynamically generated content coming from a single IP address that can be processed in each second regardless of the number of connections established. When this limit is reached, all future requests to dynamic content are tar-pitted until the next second. |
Syntax 无符号整数 |
Tips [Security] Trusted IPs or sub-networks are not restrained by this limit. |
See Also |
Description 指定对单个IP地址允许的最大传出吞吐量(无论与该IP之间建立了多少个连接)。 为提高效率,真正的带宽可能最终会略高于设定值。 带宽按4KB为单位分配。设定值为0可禁用限制。 每个客户端的带宽限制(字节/秒)可以在服务器或虚拟主机级别设置。 虚拟主机级别的设置将覆盖服务器级别的设置。 |
Syntax 无符号整数 |
Tips [性能建议] 按8KB单位设置带宽可获得更好的性能。 |
See Also |
Description 指定对单个IP地址允许的最大传入吞吐量(无论与该IP之间建立了多少个连接)。 为提高效率,真正的带宽可能最终会略高于设定值。 带宽是按1KB单位分配。设定值为0可禁用限制。 每个客户端的带宽限制(字节/秒)可以在服务器或虚拟主机级别设置。 虚拟主机级别的设置将覆盖服务器级别的设置。 |
Syntax 无符号整数 |
Tips [安全] 受信任的IP或子网不受影响。 |
See Also |
Description 指定来自单个IP的并发连接的软限制。 并发连接数低于连接硬限制时,此软限制可以在宽限期(秒)期间临时超过, 但Keep-Alive连接将被尽快断开,直到连接数低于软限制。 如果宽限期(秒)之后,连接数仍然超过软限制,相应的IP将被封锁 禁止期(秒)所设置的时长。 |
Syntax 无符号整数 |
Tips [安全建议] 一个较低的数字将使得服务器可以服务更多独立的客户。 |
Description 指定来自单个IP的并发连接的硬限制。 此限制是永远执行的,客户端将永远无法超过这个限制。 HTTP/1.0客户端通常会尝试建立尽可能多的连接,因为它们需要同时下载嵌入的内容。此限制应设置得足够高,以使HTTP/1.0客户端仍然可以访问相应的网站。 使用连接软限制设置期望的连接限制。 |
Syntax 无符号整数 |
Tips [安全] 一个较低的数字将使得服务器可以服务更多独立的客户。 |
Description 封锁持续发送坏HTTP请求的IP禁止期(秒)所设置的时长。默认为{VAL}Yes。 这有助于封锁反复发送垃圾请求的僵尸网络攻击。 |
Syntax 布尔值 |
Description 指定来自一个IP的连接数超过连接软限制之后, 多长时间之内可以继续接受新连接。在此期间,如果总连接数仍然 低于连接硬限制,将继续接受新连接。之后,如果连接数 仍然高于连接软限制,相应的IP将被封锁禁止期(秒)里设置的时长。 |
Syntax 无符号整数 |
Tips [性能与安全建议] 设置为足够大的数量,以便下载完整网页, 但也要足够低以防范蓄意攻击。 |
Description 指定在宽限期(秒)之后,如果连接数仍然高于 连接软限制,来自该IP的新连接将被拒绝多长时间。如果IP 经常被屏蔽,我们建议您延长禁止期以更强硬地惩罚滥用。 |
Syntax 无符号整数 |
Description The following settings control CGI processes. Memory and process limits also serve as the default for other external applications if limits have not been set explicitly for those applications. |
Description 用于与CGI守护进程沟通的唯一套接字地址。为了 最佳性能和安全性,LiteSpeed服务器使用一个独立的CGI 守护进程来产生CGI脚本的子进程。 默认套接字是“uds://$SERVER_ROOT/admin/conf/.cgid.sock”。 如果你需要放置在另一个位置,在这里指定一个Unix域套接字。 |
Syntax UDS://路径 |
Example 例如UDS://tmp/lshttpd/cgid.sock |
Description 指定服务器可以启动的CGI进程最大并发数量。 对于每个对CGI脚本的请求,服务器需要启动一个独立的CGI进程。 在Unix系统中,并发进程的数量是有限的。过多的并发进程会降 低整个系统的性能,也是一种进行拒绝服务攻击的方法。 LiteSpeed服务器将对CGI脚本的请求放入管道队列,限制并发 CGI进程数量,以确保最优性能和可靠性。 硬限制为2000。 |
Syntax 无符号整数 |
Tips [安全和性能建议] 更高的数量并不一定转化为更快的性能。 在大多数情况下,更低的数量提供更好的性能和安全性。更高的数量 只在CGI处理过程中读写延迟过高时有帮助。 |
Description 指定外部应用程序的最小用户ID。 如果用户ID比这里指定的值更低。其外部脚本的执行将被拒绝。 如果的LiteSpeed Web服务器由“Root”用户启动,它可以在“suEXEC” 模式运行外部应用程序,类似Apache(可以切换到与Web服务器不同的用户/组ID)。 |
Syntax 无符号整数 |
Tips [安全] 设置足够高的值以排除所有系统/特权用户。 |
Description 指定外部应用程序的最小组ID。 如果组ID比这里指定的值更小,其外部脚本的执行将被拒绝。 如果的LiteSpeed Web服务器是由“Root”用户启动,它可以在“suEXEC” 模式运行外部应用程序,类似Apache(可以切换到与Web服务器不同的用户/组ID)。 |
Syntax 无符号整数 |
Tips [安全] 设置足够高的值以排除所有系统用户所属的组。 |
Description 指定一组ID,以用于所有在suEXEC模式下启动的外部应用程序。 当设置为非零值时,所有suEXEC的外部应用程序(CGI、FastCGI、 LSAPI)都将使用该组ID。这可以用来防止外部应用程序访问其他用 户拥有的文件。 |
Syntax 无符号整数 |
Tips [安全建议] 设置足够高的值以排除所有系统用户所在的组。 |
Description 设置CGI进程默认的umask。 通过 man 2 umask命令了解详细信息。这也可作为外部应用程序umask的默认值。 |
Syntax 数值有效范围为[000] - [777]。 |
See Also ExtApp umask |
Description 指定外部应用程序进程的优先级。数值范围从-20到20。数值越小,优先级越高。 |
Syntax 整数 |
See Also Server 优先级 |
Description 以秒为单位,指定CGI进程的CPU占用时间限制。 如果进程持续占用CPU时间,达到硬限制,则进程将被强制杀死。如果没有设置该限制,或者限制设为0, 操作系统的默认设置将被使用。 |
Syntax 无符号整数 |
Description 以字节为单位指定服务器启动的外部应用进程或程序的内存占用限制。 |
Syntax 无符号整数 |
Tips [注意] 不要过度调整这个限制。如果您的应用程序需要更多的内存, 这可能会导致503错误。 |
Description 与内存软限制非常相同,但是在一个用户进程中,软限制 可以被放宽到硬限制的数值。硬限制可以在服务器级别或独立的外部应用程序级别设 置。如果未在独立的外部应用程序级别设定限制,将使用服务器级别的限制。 |
Syntax 无符号整数 |
Example [注意] 不要过度调整这个限制。如果您的应用程序需要更多的内存, 这可能会导致503错误。 |
Description 限制一个用户可以创建的进程总数。所有存在的进程都将被统计在内, 而不是只包括新启动的进程。如果限制被设置为10,并且一个用户下 有超过10个进程在运行,那么网站服务器将不会再为该用户(通过 suEXEC) 启动新进程。 |
Syntax 无符号整数 |
Tips PHP scripts can call for forking processes. The main purpose of this limit is as a last line of defense to prevent fork bombs and other attacks caused by PHP processes creating other processes. |
Description 与进程软限制非常相同,但是,在用户进程中软限制 可以被放宽到硬限制的数值。硬限制可以在服务器级别或独立的外部应用程序级别设 置。如果未在独立的外部应用程序级别设定限制,将使用服务器级别的限制。 如果在两个级别都没有设置该限制,或者限制值设为0,将使用操 作系统的默认设置。 |
Syntax 无符号整数 |
Description 指定应该拒绝访问的目录。 将包含敏感数据的目录加入到这个列表,以防止向客户端意外泄露敏感文件。 在路径后加一个“*”,可包含所有子目录。 如果跟随符号链接和检查符号链接都被启用, 符号链接也将被检查是否在被拒绝访问目录中。 |
Syntax 逗号分隔的目录列表 |
Tips [安全建议] 至关重要: 此设置只能防止服务这些目录中的静态文件。 这不能防止外部脚本如PHP、Ruby、CGI造成的泄露。 |
Description 指定哪些子网络和/或IP地址可以访问该服务器。 这是影响所有的虚拟主机的服务器级别设置。您还可以为每个虚拟主机设置登入限制。虚拟主机的设置不会覆盖服务器设置。 |
Tips [安全建议] 用此项设置适用于所有虚拟主机的常规限制。 |
Description 指定允许的IP地址或子网的列表。 可以使用{VAL}*或{VAL}ALL。 |
Syntax 逗号分隔的IP地址或子网列表。 结尾加上“T”可以用来表示一个受信任的IP或子网,如{VAL}192.168.1.*T。 |
Example 子网: 192.168.1.0/255.255.255.0, 192.168.1.0/24, 192.168.1 或 192.168.1.*. |
Tips [安全建议] 在服务器级别设置的受信任的IP或子网不受连接/节流限制。 |