Palvelin säätöjä - Mikä www ohjelmisto.

[HannuTapio]

Hei,

Minulla on tällä hetkellä apache www ohjelmisto palvelimessani.

En tarkkaan omaa tietoa eri www ohjelmien aikaisemmistakaan tietoturva ongelmista saatika mahdollisista nykyisistä.

Mitä www ohjelmaa te suositte minun käyttööni, olen miettinyt jotain ihan kevyttä, ohjelman tulee olla ilmainen ja vapaa myös mahdolliseen kaupalliseen käyttöön.

Onko esim tässä apachessa ollut sellaisia tietoturva aukkoja jotka ovat mahdollistaneet hakemisto selaamisen taikka ohjelmien käynnistämisen taikka jotain muuta ikävää, onko apache ollut aina turvallinen.

Mitä kaikkea vaihtoehtoa sitä tällä hetkellä löytyykään ?

---

[mrl586]

Mitä www ohjelmaa te suositte minun käyttööni, olen miettinyt jotain ihan kevyttä, ohjelman tulee olla ilmainen ja vapaa myös mahdolliseen kaupalliseen käyttöön.

nginx?

[timbba]

Mitä www ohjelmaa te suositte minun käyttööni, olen miettinyt jotain ihan kevyttä, ohjelman tulee olla ilmainen ja vapaa myös mahdolliseen kaupalliseen käyttöön.

Ite käytin joskus lighttpd:tä.

[odysseus]

Ehdottomasti suosittelen pysymään apachessa.

Kevyttä? Mitä raskasta apachessa on? Sehän on vain HTTP-servo! Saa kyllä olla aatamin ajalta kone, joka ei jaksa apachea pyörittää... kikkailu siis sikseen ja uusi kone tilalle jos ei muuten jaksa.

Siirtymällä "mitä ihmeellisimpiin muihin" kerjäät vain ongelmia. Maailman suurin; -erinomaisella, lähes 90% maailman nettipalvelimista -penetraatiollaan, on taatusti se mikä kannattaa ottaa käyttöön ellei tarve ole jotain aivan käsittämáttömän speciaalia!

->varsinkin jos vaatimus on myös "lopputuotteen kaupallinen käyttö".
Joka tuossa onkin mielenkiintoinen dilemma, sillä ethän sinä sitä http-palvelinta myy! (et edes saa myydä ainakaan apachen tapauksessa)
Sen sijaan myyt ohjelmiston, jota ajetaan sen (ja muiden standardien http-protokollaa tukevien) päällä!!!

Hakemistojen selaaminen apachessa ei myöskään ole apachen erikoisominaisuus sellaisenaan. Muuta apache.conf tiedostoa kieltämään selailu tai laita jokaiseen hakemistoon index.html tiedosto. Sillä selvä. Ei tuo ole apachen vika eikä ominaisuus, vaan http-ptotokollan mukainen standardi toiminto, jota yksikään http-palvelin ei saa estää (ilman että se on tapauskohtaisesti säädetty estetyksi -joissain päällä oletuksena ja joissain ei!)

[mrl586]

Kevyttä? Mitä raskasta apachessa on?

Se kuluttaa paljon keskusmuistia. Lisäksi sen muistinkäyttöä on hankala ennustaa.

[timbba]

Tuo odysseuksen perustelu hiukkasen ontuu.. miten niin esimerkiksi nginx tai lighttpd ovat "mitä ihmeellisimpiä muita"? Ja siis Apacheko on ainut, joka osaa olla web-serveri ja muilla vain kerjätään ongelmia?! Se että on ns. markkinajohtaja ei kerro yhtään mitään...

Esimerkiksi Facebook, Youtube, Dropbox, Wordpress, Wikipedia, yms.. käyttävät joko nginxiä tai lighttp:tä.

[odysseus]

Kokeile uudestaan siistimmällä sävyllä. Sinua on juuri varoitettu kielestä joten nyt ei enää varoitettu.

-Storck

[Karvameduusa]

Lighttpd on ollut joskus käytössä. Se on kyllä kevyempi www serveri käytössä. Helppo oppia käyttämäänkin. Nginx en ole kokeilutkaan. Sitä varmasti kannattaa myös kokeilla. Tietoturvaan se että suurimmat tietoturva ongelmat tulevat vääristä oikeuksista mitä on annettu chmod:lla. Myös koodaamisessa tulevat virheet ovat yleisiä tietoturva ongelmia (php javascript etc). Esimerkiksi php:lla tehnyt upload sivut ovat hyvin yleisiä. Koodista voi puuttua esimerkiksi rajoituksia, mitä saa uploadata tai tiedoston koko rajoitukset puuttuvat. Perus html koodauksessa ei tule niinkään tietoturva ongelmia.

Varmaakin jo tuttu sivu, mutta suosittelen silti:
http://www.w3schools.com/

Muutama linkki vielä apachen konfaamiseen:
http://linux.fi/wiki/Apache-harjoituksia
http://linux.fi/wiki/Apache_httpd:n_asetukset
http://httpd.apache.org/docs/

[odysseus]

Kokeile uudestaan siistimmällä sävyllä. Sinua on juuri varoitettu kielestä joten nyt ei enää varoitettu.

-Storck

Ylläpidolle:

Varoituksia en ole koskaan saanut, joten hieman oudolta kuulostaa? Millä tavalla tällä palstalla noita varoituksia jaetaan jos en niitä huomaa saaneeni?

Kaikille minua monissa ongelmissa auttaneille ja jopa apua saaneille:

Nimimerkki "odysseus" poistuu tämän viestin jälkeen palstalta, joten haluan jättää tässä hyvästien lisäksi kiitokset kaikille minua auttaneille ja toivon, että minun vuosien saatossa antamistani ohjeista on ollut hyötyä.


Ja sitten vastaus uudelleen. Kuten nimimerkki "timbba" tuossa toteaa, niin vastaukseni ei ollut täydellinen tai kokonaan perusteltu. Kirjoitin siihen vastineen kokonaisuudessaan ja perusteluineen, mutta koska ylläpito moderoi vastaukseni pois, niin nyt on sitten mahdotonta enää vastata samalla tavalla parusteellisesti.

Siispä vastaukseni on nyt lyhykäisyydessään seuraava:

Kehoitan pysymään apachessa nimenomaan siksi että se on maailman yleisimmin käytetty ja sen vuoksi _useimmin_ täyttää nimenomaan liiketoiminnan vaatimukset, jotka _usein_ poikkevat paljonkin teknisistä paremmuuksista. Jokainen, joka tekee ohjelmstoja kaupalliseen käyttöön tulee huomaamaan tämän seikan(/ongelman) jossa paras ei aina välttämättä voita.

Tämän enempää en voi näissä moderoinnin peloissa enää vastata enkä auttaa asiassa. Toivotaan, että alkuperäinen kysyjä ymmärtää nyt tuon mitä yritän sanoa ja tekee sitten johtopäätöksensä sen mukaisesti.

[Sami Lehtinen]

Ehdottomasti suosittelen pysymään apachessa.

Kevyttä? Mitä raskasta apachessa on? Sehän on vain HTTP-servo! Saa kyllä olla aatamin ajalta kone, joka ei jaksa apachea pyörittää... kikkailu siis sikseen ja uusi kone tilalle jos ei muuten jaksa.

Mä olen kyllä nginxin kannalla. Apachessa on tiettyjä suorituskyvyn kannalta käsittämättömän huonoja ratkaisuita. Apachessa on panostettu monipuolisuuteen jne, puhtaan suorituskyvyn menetyksen varjolla.

Oma serverini toimii Apachella. Niin, se on testi palvelin, ja uwsgi:n kanssa oli aikalailla säätämistä. Joskus jos on sateinen viikonloppu voisin tunkata systeemit kuntoon.

Huom. nginx ei tue suoraan mitään ulkoista roinaa kuten python, cgi tms. Sen kanssa pitää olla aina erillinen serveri prosessi. Toisaalta, on paljon tehokkaampaa ajaa mm. python sovelluksia uwsgi:n kautta kuin suoraan cgi:nä. Mutta jos kuorma on vähäistä, ei tuolla ole merkitystä. Toisaalta, yksikin hidas urli jota ei ole suojattu, on mahdollinen DoS/DDoS kohde, koska niillä vaan saa aika kivasti serveri hyydytettyä. Kuten tuossa tekemässäni TOR & HULK testissä totesin. (Siitä on stooria blogissa.)

Hyvässä palvelussa ei siis saisi olla yhtään urlia jonka käsittely on hidasta. Koska se on se mihin ensimmäisenä tietenkin hyökätään, koska sitä kautta on helpointa kuluttaa palvelimen resurssit loppuun.

[Storck]

Kokeile uudestaan siistimmällä sävyllä. Sinua on juuri varoitettu kielestä joten nyt ei enää varoitettu.

-Storck

Ylläpidolle:

Varoituksia en ole koskaan saanut, joten hieman oudolta kuulostaa? Millä tavalla tällä palstalla noita varoituksia jaetaan jos en niitä huomaa saaneeni?

Esim. tuossa http://forum.ubuntu-fi.org/index.php?topic=42762.msg329299#msg329299