File manager

File manager - Edit - /usr/local/lswsbak/docs/ja-JP/ServSecurity_Help.html

Back
<!DOCTYPE html> <head> <meta charset="utf-8" /> <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1" /> <title>Open LiteSpeed Web Serverユーザーズマニュアル - サーバーのセキュリティ</title> <meta name="description" content="Open LiteSpeed Web Serverユーザーズマニュアル - サーバーのセキュリティ." /> <meta name="viewport" content="width=device-width, initial-scale=1.0" /> <meta name="robots" content="noindex"> <link rel="shortcut icon" href="../img/favicon.ico" /> <link rel="stylesheet" type="text/css" href="../css/hdoc.css"> </head> <body> <div class="pagewrapper clearfix"><aside class="sidetree ls-col-1-5"> <figure> <img src="../img/ols_logo.svg" alt="openlitespeed logo" width="150px"/> </figure> <h3 class="ls-text-thin">OpenLiteSpeed Web Server <a href="index.html"> ユーザーズマニュアル</a></h3> <h5 class="ls-text-muted">Version 1.8  — Rev. 0</h5> <hr/> <div> <ul> <li><a href="license.html">ライセンス</a></li> <li><a href="intro.html">はじめに</a></li> <li><a href="install.html">インストール</a></li> <li> <a href="admin.html">管理</a> <ul class="level2"> <li><a href="ServerStat_Help.html">サービスマネージャ</a></li> <li><a href="Real_Time_Stats_Help.html">Real-Time Stats</a></li> </ul> </li> <li><a href="security.html">セキュリティ</a></li> <li><a href="config.html">設定</a> <ul class="level2"> <li><a href="ServGeneral_Help.html">サーバー全般</a></li> <li><a href="ServLog_Help.html">サーバーログ</a></li> <li><a href="ServTuning_Help.html">サーバーのチューニング</a></li> <li><span class="current"><a href="ServSecurity_Help.html">サーバーのセキュリティ</a></span></li> <li><a href="ExtApp_Help.html">外部アプリ</a></li> <ul class="level3"> <li><a href="External_FCGI.html">Fast CGIアプリ</a></li> <li><a href="External_FCGI_Auth.html">Fast CGIオーソライザー</a></li> <li><a href="External_LSAPI.html">LSAPIアプリ</a></li> <li><a href="External_Servlet.html">サーブレットエンジン</a></li> <li><a href="External_WS.html">Webサーバー</a></li> <li><a href="External_PL.html">パイプロガー</a></li> <li><a href="External_LB.html">ロードバランサ</a></li> </ul> <li><a href="ScriptHandler_Help.html">スクリプトハンドラ</a></li> <li><a href="Rails_Help.html">Rack/Railsの設定</a></li> <li><a href="Module_Help.html">モジュール設定</a></li> <li><a href="Listeners_General_Help.html">リスナー全般</a></li> <li><a href="Listeners_SSL_Help.html">リスナーのSSL</a></li> <li><a href="Templates_Help.html">テンプレート</a></li> <li><a href="VirtualHosts_Help.html">バーチャルホストの基本</a></li> <li><a href="VHGeneral_Help.html">バーチャルホスト全般</a></li> <li><a href="VHSecurity_Help.html">バーチャルホストのセキュリティ</a></li> <li><a href="VHSSL_Help.html">バーチャルホストのSSL</a></li> <li><a href="Rewrite_Help.html">Rewrite</a></li> <li><a href="Context_Help.html">コンテキスト</a></li> <ul class="level3"> <li><a href="Static_Context.html">静的コンテテキスト</a></li> <li><a href="Java_Web_App_Context.html">Java Webアプリのコンテキスト</a></li> <li><a href="Servlet_Context.html">サーブレットコンテキスト</a></li> <li><a href="FCGI_Context.html">Fast CGIコンテキスト</a></li> <li><a href="LSAPI_Context.html">LSAPIコンテキスト</a></li> <li><a href="Proxy_Context.html">プロキシコンテキスト</a></li> <li><a href="CGI_Context.html">CGIコンテキスト</a></li> <li><a href="LB_Context.html">ロードバランサコンテキスト</a></li> <li><a href="Redirect_Context.html">コンテキストのリダイレクト</a></li> <li><a href="Rails_Context.html">Rack/Railsのコンテキスト</a></li> <li><a href="Module_Context.html">モジュールハンドラのコンテキスト</a></li> </ul> <li><a href="VHWebSocket_Help.html">Web Socketプロキシ</a></li> </ul> </li> <li><a href="webconsole.html">Webコンソール</a> <ul class="level2"> <li><a href="AdminGeneral_Help.html">管理コンソール全般</a></li> <li><a href="AdminSecurity_Help.html">管理コンソールのセキュリティ</a></li> <li><a href="AdminListeners_General_Help.html">管理リスナー全般</a></li> <li><a href="AdminListeners_SSL_Help.html">管理リスナーのSSL</a></li> </ul> </li> </ul> </div> </aside> <article class="contentwrapper ls-col-3-5 clearfix"><div class="nav-bar ls-spacer-micro-top"><div class="prev">&#171 <a href="ServTuning_Help.html">サーバーのチューニング</a></div><div class="center"><a href="config.html">設定</a></div><div class="next"><a href="ExtApp_Help.html">外部アプリケーション</a> »</div></div> <h1>サーバーのセキュリティ</h1><h2 id="top">目次</h2><section class="toc"><section class="toc-row"><header>ファイルアクセス</header><p> <a href="#followSymbolLink">シンボリックリンクに従う</a> \| <a href="#checkSymbolLink">シンボリックリンクを確認する</a> \| <a href="#forceStrictOwnership">厳格な所有権チェックを強制する</a> \| <a href="#requiredPermissionMask">必要な許可マスク</a> \| <a href="#restrictedPermissionMask">制限付き許可マスク</a> \| <a href="#restrictedScriptPermissionMask">スクリプトのアクセス許可マスクの制限</a> \| <a href="#restrictedDirPermissionMask">スクリプトディレクトリのアクセス許可マスクの制限</a></p></section> <section class="toc-row"><header><a href="#perClientConnLimit">クライアント単位のスロットル</a></header><p> <a href="#staticReqPerSec">静的リクエスト/秒</a> \| <a href="#dynReqPerSec">動的リクエスト/秒</a> \| <a href="#outBandwidth">送信帯域幅（バイト/秒）</a> \| <a href="#inBandwidth">受信帯域幅（バイト/秒）</a> \| <a href="#softLimit">接続ソフトリミット</a> \| <a href="#hardLimit">接続ハードリミット</a> \| <a href="#blockBadReq">不良リクエストをブロックする</a> \| <a href="#gracePeriod">猶予期間（秒）</a> \| <a href="#banPeriod">禁止期間（秒）</a></p></section> <section class="toc-row"><header><a href="#cgiResource">CGI設定</a></header><p> <a href="#cgidSock">CGIデーモンソケット</a> \| <a href="#maxCGIInstances">最大CGIインスタンス</a> \| <a href="#minUID">最小UID</a> \| <a href="#minGID">最小GID</a> \| <a href="#forceGID">強制GID</a> \| <a href="#umask">umask</a> \| <a href="#CGIPriority">CGI プライオリティ</a> \| <a href="#CPUSoftLimit">CPUソフトリミット(秒)</a> \| <a href="#CPUHardLimit">CPUハードリミット</a> \| <a href="#memSoftLimit">メモリソフトリミット（バイト）</a> \| <a href="#memHardLimit">メモリハードリミット</a> \| <a href="#procSoftLimit">プロセスソフトリミット</a> \| <a href="#procHardLimit">プロセスハードリミット</a> \| <a href="#cgroups">cgroups</a></p></section> <section class="toc-row"><header><a href="#lsrecaptcha">reCAPTCHA Protection</a></header><p> <a href="#enableRecaptcha">Enable reCAPTCHA</a> \| <a href="#recaptchaSiteKey">Site Key</a> \| <a href="#recaptchaSecretKey">Secret Key</a> \| <a href="#recaptchaType">reCAPTCHA Type</a> \| <a href="#recaptchaMaxTries">Max Tries</a> \| <a href="#recaptchaAllowedRobotHits">Allowed Robot Hits</a> \| <a href="#recaptchaBotWhiteList">Bot White List</a> \| <a href="#recaptchaRegConnLimit">Connection Limit</a> \| <a href="#recaptchaSslConnLimit">SSL Connection Limit</a></p></section> <section class="toc-row"><header>Containers</header><p> <a href="#bubbleWrap">Bubblewrap Container</a> \| <a href="#bubbleWrapCmd">Bubblewrap Command</a> \| <a href="#namespace">Namespace Container</a> \| <a href="#namespaceConf">Namespace Template File</a></p></section> <section class="toc-row"><header>アクセスが拒否されたディレクトリ</header><p> <a href="#accessDenyDir">アクセスが拒否されたディレクトリ</a></p></section> <section class="toc-row"><header><a href="#accessControl">アクセス制御</a></header><p> <a href="#accessControl_allow">許可リスト</a> \| <a href="#accessControl_deny">拒否リスト</a></p></section> </section> <section><div class="helpitem"><article class="ls-helpitem"><div><header id="followSymbolLink"><h3>シンボリックリンクに従う<span class="ls-permlink"><a href="#followSymbolLink"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>静的ファイルを提供する際のシンボリックリンクのサーバーレベルのデフォルト設定を指定します。 <br/><br/> 選択肢は<span class="val">はい</span>、<span class="val">オーナーと一致する場合</span> <span class="val">いいえ</span>です。 <br/><br/> <span class="val">はい</span>は、シンボリックリンクに常に従うようにサーバーを設定します。 <span class="val">所有者の一致がの場合</span>は、リンクの所有者とターゲットの所有者が同じ場合にのみシンボリックリンクに従うようにサーバーを設定します。 <span class="val">いいえ</span>は、サーバーがシンボリックリンクを決して辿らないことを意味します。この設定はバーチャルホスト設定で上書きできますが、.htaccessファイルで上書きすることはできません。</p> <h4>構文</h4><p>ドロップダウンリストから選択</p> <h4>ヒント</h4><p>[パフォーマンスとセキュリティ]最高のセキュリティを実現するには、<span class="val">いいえ</span>または<span class="val">{Owner}が一致する場合</span>を選択します。最高のパフォーマンスを得るには、<span class="val">はい</span>を選択します。</p> <h4>参照</h4><p class="ls-text-small"><span class="tagl"><a href="#checkSymbolLink">シンボリックリンクを確認する</a></span>.</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="checkSymbolLink"><h3>シンボリックリンクを確認する<span class="ls-permlink"><a href="#checkSymbolLink"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p><span class="tagl"><a href="#followSymbolLink">シンボリックリンクに従う</a></span>がオンになっているときに、<span class="tagl"><a href="#accessDenyDir">アクセスが拒否されたディレクトリ</a></span>に対するシンボリックリンクをチェックするかどうかを指定します。有効にすると、URLで参照されるリソースのカノニカル実パスが、設定可能なアクセス拒否ディレクトリと照合されます。アクセスが拒否されたディレクトリ内にある場合、アクセスは拒否されます。</p> <h4>構文</h4><p>ラジオボックスから選択</p> <h4>ヒント</h4><p>[パフォーマンス & セキュリティ]最高のセキュリティを実現するには、このオプションを有効にします。最高のパフォーマンスを得るには、無効にしてください。</p> <h4>参照</h4><p class="ls-text-small"><span class="tagl"><a href="#followSymbolLink">シンボリックリンクに従う</a></span>, <span class="tagl"><a href="#accessDenyDir">アクセスが拒否されたディレクトリ</a></span></p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="forceStrictOwnership"><h3>厳格な所有権チェックを強制する<span class="ls-permlink"><a href="#forceStrictOwnership"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>厳密なファイル所有権チェックを実施するかどうかを指定します。有効になっている場合、Webサーバーは、提供されるファイルの所有者がバーチャルホストの所有者と同じかどうかをチェックします。異なる場合は、403アクセス拒否エラーが返されます。これはデフォルトではオフになっています。</p> <h4>構文</h4><p>ラジオボックスから選択</p> <h4>ヒント</h4><p>[セキュリティ]共有ホスティングの場合、このチェックを有効にしてセキュリティを強化します。</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="requiredPermissionMask"><h3>必要な許可マスク<span class="ls-permlink"><a href="#requiredPermissionMask"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>サーバーが提供する静的ファイルに必要なアクセス許可マスクを指定します。たとえば、全員が読み取り可能なファイルのみを処理できる場合は、値を<span class="val">0004</span>に設定します。すべての値について<span class="cmd">man 2 stat</span>を参照してください</p> <h4>構文</h4><p>8進数</p> <h4>参照</h4><p class="ls-text-small"><span class="tagl"><a href="#restrictedPermissionMask">制限付き許可マスク</a></span>.</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="restrictedPermissionMask"><h3>制限付き許可マスク<span class="ls-permlink"><a href="#restrictedPermissionMask"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>サーバーが提供しない静的ファイルに対する制限付きのアクセス許可マスクを指定します。たとえば、実行可能ファイルの配信を禁止するには、マスクを<span class="val">0111</span>に設定します。<br/><br/> すべての値について<span class="cmd">man 2 stat</span>を参照してください。</p> <h4>構文</h4><p>8進数</p> <h4>参照</h4><p class="ls-text-small"><span class="tagl"><a href="#requiredPermissionMask">必要な許可マスク</a></span>.</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="restrictedScriptPermissionMask"><h3>スクリプトのアクセス許可マスクの制限<span class="ls-permlink"><a href="#restrictedScriptPermissionMask"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>サーバーが提供しないスクリプトファイルに対する制限付きアクセス許可マスクを指定します。たとえば、グループおよびワールド書き込み可能なPHPスクリプトの配信を禁止するには、マスクを<span class="val">022</span>に設定します。デフォルト値は<span class="val">000</span>です。<br/><br/> すべての値について<span class="cmd">man 2 stat</span>を参照してください。</p> <h4>構文</h4><p>8進数</p> <h4>参照</h4><p class="ls-text-small"><span class="tagl"><a href="#restrictedDirPermissionMask">スクリプトディレクトリのアクセス許可マスクの制限</a></span>.</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="restrictedDirPermissionMask"><h3>スクリプトディレクトリのアクセス許可マスクの制限<span class="ls-permlink"><a href="#restrictedDirPermissionMask"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>Sサーバーが提供しないスクリプトファイルの親ディレクトリの制限付きアクセス許可マスクを指定します。たとえば、グループおよびワールド書き込み可能なディレクトリでPHPスクリプトを処理することを禁止するには、マスクを<span class="val">022</span>に設定します。デフォルト値は<span class="val">000</span>です。このオプションを使用して、アップロードされたファイルのディレクトリ下でスクリプトを提供しないようにすることができます。<br/><br/> すべての値について<span class="cmd">man 2 stat</span>を参照してください。</p> <h4>構文</h4><p>8進数</p> <h4>参照</h4><p class="ls-text-small"><span class="tagl"><a href="#restrictedScriptPermissionMask">スクリプトのアクセス許可マスクの制限</a></span>.</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="perClientConnLimit"><h3>クライアント単位のスロットル<span class="ls-permlink"><a href="#perClientConnLimit"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>これらは、クライアントIPに基づいた接続制御設定です。これらの設定は、DoS（サービス拒否）攻撃とDDoS（分散サービス拒否）攻撃を緩和するのに役立ちます。</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="staticReqPerSec"><h3>静的リクエスト/秒<span class="ls-permlink"><a href="#staticReqPerSec"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>確立された接続の数に関係なく、1秒間に処理できる単一のIPアドレスからの静的コンテンツへの要求の最大数を指定します。<br/><br/> この制限に達すると、将来のすべての要求は次の秒までタールピットされます。動的に生成されるコンテンツのリクエスト制限は、この制限とは関係ありません。クライアントごとの要求制限は、サーバーまたはバーチャルホストレベルで設定できます。バーチャルホストレベルの設定は、サーバーレベルの設定よりも優先されます。</p> <h4>構文</h4><p>整数</p> <h4>ヒント</h4><p>[セキュリティ]信頼できるIPまたはサブネットワークは影響を受けません。</p> <h4>参照</h4><p class="ls-text-small"><span class="tagl"><a href="#dynReqPerSec">動的リクエスト/秒</a></span></p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="dynReqPerSec"><h3>動的リクエスト/秒<span class="ls-permlink"><a href="#dynReqPerSec"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>確立された接続の数に関係なく、1秒ごとに処理できる単一のIPアドレスからの動的に生成されるコンテンツへの要求の最大数を指定します。この制限に達すると、今後のすべての動的コンテンツへのリクエストは、次の秒までタールピットされます。 <br/><br/> 静的コンテンツの要求制限は、この制限とは関係ありません。このクライアントごとの要求制限は、サーバーまたはバーチャルホストレベルで設定できます。バーチャルホストレベルの設定は、サーバーレベルの設定よりも優先されます。</p> <h4>構文</h4><p>整数</p> <h4>ヒント</h4><p>[セキュリティ]この制限によって、信頼できるIPまたはサブネットワークは制限されません。</p> <h4>参照</h4><p class="ls-text-small"><span class="tagl"><a href="#staticReqPerSec">静的リクエスト/秒</a></span></p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="outBandwidth"><h3>送信帯域幅（バイト/秒）<span class="ls-permlink"><a href="#outBandwidth"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>確立された接続の数に関係なく、単一のIPアドレスへの最大の送信スループット。実際の帯域幅は効率上の理由からこの設定よりわずかに高くなることがあります。帯域幅は4KB単位で割り当てられます。スロットルを無効にするには、<span class="val">0</span>に設定します。クライアント単位の帯域幅制限（バイト/秒）は、バーチャルホストレベルの設定がサーバーレベルの設定を上回るサーバーまたはバーチャルホストレベルで設定できます。</p> <h4>構文</h4><p>整数</p> <h4>ヒント</h4><p>[パフォーマンス]パフォーマンスを向上させるため、帯域幅を8KB単位で設定します。.<br/><br/> [セキュリティ]信頼できるIPまたはサブネットワークは影響を受けません。</p> <h4>参照</h4><p class="ls-text-small"><span class="tagl"><a href="#inBandwidth">受信帯域幅（バイト/秒）</a></span></p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="inBandwidth"><h3>受信帯域幅（バイト/秒）<span class="ls-permlink"><a href="#inBandwidth"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>確立された接続の数に関係なく、単一のIPアドレスからの最大許容着信スループット。実際の帯域幅は効率上の理由からこの設定よりわずかに高くなることがあります。帯域幅は1KB単位で割り当てられます。スロットルを無効にするには、<span class="val">0</span>に設定します。クライアント単位の帯域幅制限（バイト/秒）は、バーチャルホストレベルの設定がサーバーレベルの設定を上回るサーバーまたはバーチャルホストレベルで設定できます。</p> <h4>構文</h4><p>整数</p> <h4>ヒント</h4><p>[セキュリティ]信頼できるIPまたはサブネットワークは影響を受けません。</p> <h4>参照</h4><p class="ls-text-small"><span class="tagl"><a href="#outBandwidth">送信帯域幅（バイト/秒）</a></span></p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="softLimit"><h3>接続ソフトリミット<span class="ls-permlink"><a href="#softLimit"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>1つのIPから許可される同時接続のソフト制限を指定します。このソフトリミットは、<span class="tagl"><a href="#gracePeriod">猶予期間（秒）</a></span>の間に<span class="tagl"><a href="#hardLimit">接続ハードリミット</a></span>以下になると一時的に超過することができますが、接続の数が限界よりも少なくなるまで、キープアライブ接続はできるだけ早く閉じられます。 <span class="tagl"><a href="#gracePeriod">猶予期間（秒）</a></span>の後に接続数がまだ制限を超えている場合、そのIPは<span class="tagl"><a href="#banPeriod">禁止期間（秒）</a></span>でブロックされます。<br/><br/> 例えば、ページに多数の小さなグラフが含まれている場合、ブラウザは、特にHTTP/1.0クライアントの場合、同時に多くの接続を設定しようとする可能性があります。これらの接続を短期間で許可する必要があります。<br/><br/> HTTP/1.1クライアントは、複数の接続を設定してダウンロード速度を上げることができ、SSLにはSSL以外の接続とは別の接続が必要です。通常のサービスに悪影響を及ぼさないように、制限値が適切に設定されていることを確認してください。推奨される制限は、<span class="val">5</span>〜<span class="val">10</span>です。</p> <h4>構文</h4><p>整数</p> <h4>ヒント</h4><p>[セキュリティ]数字が小さいほど、より明確なクライアントに対応できます。<br/> [セキュリティ]信頼できるIPまたはサブネットワークは影響を受けません。<br/> [パフォーマンス]多数の同時クライアントマシンでベンチマークテストを実行する場合は、高い値に設定します。</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="hardLimit"><h3>接続ハードリミット<span class="ls-permlink"><a href="#hardLimit"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>単一のIPアドレスから同時に許可される接続の最大数を指定します。この制限は常に強制され、クライアントはこの制限を超えることはできません。 HTTP/1.0クライアントは通常、埋め込みコンテンツを同時にダウンロードするのに必要な数の接続を設定しようとします。この制限は、HTTP/1.0クライアントが引き続きサイトにアクセスできるように十分に高く設定する必要があります。 <span class="tagl"><a href="#softLimit">接続ソフトリミット</a></span>を使用して、目的の接続制限を設定します。</p> <h4>構文</h4><p>整数</p> <h4>ヒント</h4><p>[セキュリティ]数字が小さいほど、より明確なクライアントに対応できます。<br/> [セキュリティ]信頼できるIPまたはサブネットワークは影響を受けません。<br/> [パフォーマンス]多数の同時クライアントマシンでベンチマークテストを実行する場合は、高い値に設定します。</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="blockBadReq"><h3>不良リクエストをブロックする<span class="ls-permlink"><a href="#blockBadReq"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p><span class="tagl"><a href="#banPeriod">禁止期間（秒）</a></span>に不正な形式のHTTP要求を送信し続けるIPをブロックします。デフォルトは<span class="val">はい</span>です。これは、ジャンク要求を繰り返し送信するボットネット攻撃をブロックするのに役立ちます。</p> <h4>構文</h4><p>ラジオボックスから選択</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="gracePeriod"><h3>猶予期間（秒）<span class="ls-permlink"><a href="#gracePeriod"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>1つのIPから確立された接続の数が<span class="tagl"><a href="#softLimit">接続ソフトリミット</a></span>を超えた後に新しい接続が受け入れられる期間を指定します。この期間内に、総接続数が<span class="tagl"><a href="#hardLimit">接続ハードリミット</a></span>未満の場合は、新しい接続が受け入れられます。この期間が経過した後、まだ接続数が<span class="tagl"><a href="#softLimit">接続ソフトリミット</a></span>よりも高い場合、問題のIPは<span class="tagl"><a href="#banPeriod">禁止期間（秒）</a></span>でブロックされます。</p> <h4>構文</h4><p>整数</p> <h4>ヒント</h4><p>[パフォーマンス & セキュリティ]ダウンロードに十分な大きさに設定してください。完全なページですが、故意の攻撃を防ぐのに十分な低さです。</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="banPeriod"><h3>禁止期間（秒）<span class="ls-permlink"><a href="#banPeriod"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p><span class="tagl"><a href="#gracePeriod">猶予期間（秒）</a></span>経過後、接続数がまだ<span class="tagl"><a href="#softLimit">接続ソフトリミット</a></span>以上の場合、新しい接続がIPから拒否される期間を指定します。 IPが繰り返し禁止されている場合は、禁止期間を延長して虐待のペナルティを強化することをお勧めします。</p> <h4>構文</h4><p>整数</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="cgiResource"><h3>CGI設定<span class="ls-permlink"><a href="#cgiResource"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>次の設定は、CGIプロセスを制御します。これらのアプリケーションに対して制限が明示的に設定されていない場合は、メモリおよびプロセスの制限も他の外部アプリケーションのデフォルトとして機能します。</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="cgidSock"><h3>CGIデーモンソケット<span class="ls-permlink"><a href="#cgidSock"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>CGIデーモンとの通信に使用される一意のソケットアドレス。 LiteSpeedサーバーは、スタンドアロンのCGIデーモンを使用して、最高のパフォーマンスとセキュリティを実現するCGIスクリプトを生成します。デフォルトソケットは<span class="val">uds://$SERVER_ROOT/admin/lscgid/.cgid.sock</span> "です。別の場所に配置する必要がある場合は、ここにUnixドメインソケットを指定します。</p> <h4>構文</h4><p>UDS://path</p> <h4>例</h4><div class="ls-example">UDS://tmp/lshttpd/cgid.sock</div></article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="maxCGIInstances"><h3>最大CGIインスタンス<span class="ls-permlink"><a href="#maxCGIInstances"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>サーバーが開始できる同時CGIプロセスの最大数を指定します。 CGIスクリプトに対する各要求に対して、サーバーはスタンドアロンCGIプロセスを開始する必要があります。 Unixシステムでは、並行プロセスの数が制限されています。過度の並行処理は、システム全体のパフォーマンスを低下させ、DoS攻撃を実行する1つの方法です。 LiteSpeedサーバーはCGIスクリプトへの要求をパイプライン処理し、同時のCGIプロセスを制限して最適なパフォーマンスと信頼性を確保します。上限は<span class="val">2000</span>です。</p> <h4>構文</h4><p>整数</p> <h4>ヒント</h4><p>[セキュリティ & パフォーマンス]上限が高いと必ずしもパフォーマンスが向上するとは限りません。ほとんどの場合、下限値を指定するとパフォーマンスとセキュリティが向上します。上限は、CGI処理中にI / O待ち時間が過大になる場合にのみ役立ちます。</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="minUID"><h3>最小UID<span class="ls-permlink"><a href="#minUID"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>外部アプリケーションの最小ユーザーIDを指定します。ここで指定した値よりも小さいユーザーIDを持つ外部スクリプトの実行は拒否されます。 LiteSpeed Webサーバーが「root」ユーザーによって起動された場合、Apacheなどの「suEXEC」モードで外部アプリケーションを実行できます（Webサーバー以外のユーザー/グループIDに変更する）。</p> <h4>構文</h4><p>整数</p> <h4>ヒント</h4><p>[セキュリティ]すべてのシステム/特権ユーザーを除外するのに十分な高さに設定します。</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="minGID"><h3>最小GID<span class="ls-permlink"><a href="#minGID"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>外部アプリケーションの最小グループIDを指定します。ここで指定した値よりも小さいグループIDを持つ外部の実行は拒否されます。 LiteSpeed Webサーバーが "root"ユーザーによって起動された場合、Apacheで見つかった "suEXEC"モードで外部アプリケーションを実行できます（Webサーバー以外のユーザー/グループIDに変更する）。</p> <h4>構文</h4><p>整数</p> <h4>ヒント</h4><p>[セキュリティ]システムユーザーが使用するすべてのグループを除外するのに十分な高さに設定します。</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="forceGID"><h3>強制GID<span class="ls-permlink"><a href="#forceGID"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>suEXECモードで起動したすべての外部アプリケーションに使用するグループIDを指定します。ゼロ以外の値に設定すると、すべてのsuEXEC外部アプリケーション（CGI/FastCGI/LSAPI）がこのグループIDを使用します。これにより、外部アプリケーションが他のユーザーが所有するファイルにアクセスするのを防ぐことができます。<br/><br/> たとえば、共有ホスティング環境では、LiteSpeedはユーザー "www-data"として実行され、グループ "www-data"として実行されます。各docrootは、 "www-data"のグループと許可モード0750を持つユーザーアカウントによって所有されています。強制GIDが "nogroup"（または 'www-data'以外のグループ）に設定されている場合、すべてのsuEXEC外部アプリケーションは特定のユーザーとして実行されますが、グループ "nogroup"に実行されます。これらの外部アプリケーション・プロセスは（ユーザーIDのために）特定のユーザーが所有するファイルには引き続きアクセスできますが、他のユーザーのファイルにアクセスするためのグループ権限は持っていません。一方、サーバは、（グループIDのために）どんなユーザのdocrootディレクトリ下でもファイルを提供することができます。</p> <h4>構文</h4><p>整数</p> <h4>ヒント</h4><p>[セキュリティ]システムユーザーが使用するすべてのグループを除外するのに十分な高さに設定します。</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="umask"><h3>umask<span class="ls-permlink"><a href="#umask"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>CGIプロセスのデフォルトのumaskを設定します。詳細は、<span class="cmd">man 2 umask</span>を参照してください。これは、外部アプリケーション<span class="tagl"><a href="ExtApp_Help.html#extUmask">umask</a></span>のデフォルト値としても機能します。</p> <h4>構文</h4><p>有効範囲値[000]〜[777]。</p> <h4>参照</h4><p class="ls-text-small">ExtApp <span class="tagl"><a href="ExtApp_Help.html#extUmask">umask</a></span></p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="CGIPriority"><h3>CGI プライオリティ<span class="ls-permlink"><a href="#CGIPriority"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>外部アプリケーションプロセスの優先度を指定します。値の範囲は-20〜20です。数値が小さいほど優先度が高くなります。<br/><br/> CGIプロセスは、Webサーバーよりも高い優先度を持つことはできません。この優先度がサーバーの数値より低い数値に設定されている場合は、サーバーの優先度がこの値に使用されます。</p> <h4>構文</h4><p>int</p> <h4>参照</h4><p class="ls-text-small">Server <span class="tagl"><a href="ServGeneral_Help.html#serverPriority">プライオリティ</a></span></p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="CPUSoftLimit"><h3>CPUソフトリミット(秒)<span class="ls-permlink"><a href="#CPUSoftLimit"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>CGIプロセスのCPU消費制限時間を秒単位で指定します。プロセスがソフトリミットに達すると、シグナルによって通知されます。値が存在しない場合、または<span class="val">0</span>に設定されている場合は、オペレーティングシステムのデフォルト設定が使用されます。.</p> <h4>構文</h4><p>整数</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="CPUHardLimit"><h3>CPUハードリミット<span class="ls-permlink"><a href="#CPUHardLimit"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>CGIプロセスの最大CPU使用時間制限を秒単位で指定します。プロセスがCPU時間を消費してハードリミットに達すると、プロセスは強制終了されます。値が存在しないか、<span class="val">0</span>に設定されている場合は、オペレーティングシステムのデフォルト設定が使用されます。</p> <h4>構文</h4><p>整数</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="memSoftLimit"><h3>メモリソフトリミット（バイト）<span class="ls-permlink"><a href="#memSoftLimit"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>外部アプリケーション・プロセスまたはサーバーによって開始された外部アプリケーションのメモリー消費制限をバイト単位で指定します。<br/><br/> この制限の主な目的は、ソフトウェアのバグや意図的な攻撃のために過度のメモリ使用を防止し、通常の使用に制限を設けないことです。十分なヘッドスペースを確保してください。そうしないと、アプリケーションが失敗し、503エラーが返される可能性があります。サーバーレベルまたは個々の外部アプリケーションレベルで設定できます。サーバーレベルの制限は、個々のアプリケーションレベルで設定されていない場合に使用されます。<br/><br/> オペレーティングシステムのデフォルト設定は、値が両方のレベルにないか、<span class="val">0</span>に設定されている場合に使用されます。</p> <h4>構文</h4><p>整数</p> <h4>ヒント</h4><p>[注意]この制限を過度に調整しないでください。アプリケーションでより多くのメモリが必要な場合は、503のエラーが発生する可能性があります。</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="memHardLimit"><h3>メモリハードリミット<span class="ls-permlink"><a href="#memHardLimit"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>ソフトリミットをユーザープロセス内のハードリミットまで上げることができることを除けば、<span class="tagl"><a href="#memSoftLimit">メモリソフトリミット（バイト）</a></span>と同じくらい同じです。ハード・リミットは、サーバー・レベルまたは個々の外部アプリケーション・レベルで設定できます。サーバーレベルの制限は、個々のアプリケーションレベルで設定されていない場合に使用されます。 <br/><br/> 値が両方のレベルにないか、<span class="val">0</span>に設定されている場合、オペレーティングシステムのデフォルトが使用されます。</p> <h4>構文</h4><p>整数</p> <h4>ヒント</h4><p><span title="Attention" class="ls-icon-attention"></span> Do not over adjust this limit. This may result in 503 errors if your application need more memory.</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="procSoftLimit"><h3>プロセスソフトリミット<span class="ls-permlink"><a href="#procSoftLimit"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>ユーザーに代わって作成できるプロセスの総数を制限します。既存のすべてのプロセスは、開始される新しいプロセスだけでなく、この限度に対してカウントされます。制限は、サーバーレベルまたは個々の外部アプリケーションレベルで設定できます。<br/> サーバーレベルの制限は、個々のアプリケーションレベルで設定されていない場合に使用されます。この値が0または両方のレベルにない場合、オペレーティングシステムのデフォルト設定が使用されます。</p> <h4>構文</h4><p>整数</p> <h4>ヒント</h4><p><span title="Information" class="ls-icon-info"></span> PHPスクリプトはプロセスをフォークするために呼び出すことができます。この制限の主な目的は、フォーク爆弾や他のプロセスを作成するPHPプロセスによって引き起こされる他の攻撃を防ぐための最終防衛線です。<br/> この設定を低すぎると、機能が著しく損なわれる可能性があります。この設定は特定のレベル以下では無視されます。<br/> suEXECデーモンモードを使用する場合、親プロセスが制限されないように、実際のプロセス制限はこの設定よりも高くなります。</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="procHardLimit"><h3>プロセスハードリミット<span class="ls-permlink"><a href="#procHardLimit"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>ソフトリミットをユーザープロセス内のハードリミットまで上げることができることを除けば、<span class="tagl"><a href="#procSoftLimit">プロセスソフトリミット</a></span>とほとんど同じです。ハードリミットは、サーバー・レベルまたは個々の外部アプリケーションレベルで設定できます。サーバーレベルの制限は、個々のアプリケーションレベルで設定されていない場合に使用されます。オペレーティングシステムのデフォルト値は、値が両方のレベルにないか、<span class="val">0</span>に設定されている場合に使用されます。</p> <h4>構文</h4><p>整数</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="cgroups"><h3>cgroups<span class="ls-permlink"><a href="#cgroups"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>A Linux kernel feature that limits, accounts for, and isolates the resource usage (CPU, memory, disk I/O, network, etc.) of a collection of processes. You must be running cgroups v2 which is determined by the existence of the file <span class="val">/sys/fs/cgroup/cgroup.controllers</span>.<br/><br/> Setting this to <span class="val">Disabled</span> at the Server level will disable this setting server-wide. In all other cases, the Server level setting can be overridden at the Virtual Host level.<br/><br/> Default values:<br/> <b>Server level:</b> Off<br/> <b>VH level:</b> Inherit Server level setting</p> <h4>構文</h4><p>ドロップダウンリストから選択</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="lsrecaptcha"><h3>reCAPTCHA Protection<span class="ls-permlink"><a href="#lsrecaptcha"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>reCAPTCHA Protection is a service provided as a way to mitigate heavy server load. reCAPTCHA Protection will activate after one of the below situations is hit. Once active, all requests by NON TRUSTED(as configured) clients will be redirected to a reCAPTCHA validation page. After validation, the client will be redirected to their desired page.<br/><br/> The following situations will activate reCAPTCHA Protection:<br/> 1. The server or vhost concurrent requests count passes the configured connection limit.<br/> 2. Anti-DDoS is enabled and a client is hitting a url in a suspicious manner. The client will redirect to reCAPTCHA first instead of getting denied when triggered.<br/> 3. A new rewrite rule environment is provided to activate reCAPTCHA via RewriteRules. 'verifycaptcha' can be set to redirect clients to reCAPTCHA. A special value ': deny' can be set to deny the client if it failed too many times. For example, [E=verifycaptcha] will always redirect to reCAPTCHA until verified. [E=verifycaptcha: deny] will redirect to reCAPTCHA until Max Tries is hit, after which the client will be denied.</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="enableRecaptcha"><h3>Enable reCAPTCHA<span class="ls-permlink"><a href="#enableRecaptcha"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>Enable the reCAPTCHA Protection feature at the current level. This setting must be set to <span class="val">Yes</span> at the Server level before the reCAPTCHA Protection feature can be used.<br/><br/> Default values:<br/> <b>Server-level:</b> <span class="val">Yes</span><br/> <b>VH-Level:</b> Inherit Server level setting</p> <h4>構文</h4><p>ラジオボックスから選択</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="recaptchaSiteKey"><h3>Site Key<span class="ls-permlink"><a href="#recaptchaSiteKey"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>The site key is the public key provided by Google via its reCAPTCHA service. A default Site Key will be used if not set.</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="recaptchaSecretKey"><h3>Secret Key<span class="ls-permlink"><a href="#recaptchaSecretKey"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>The secret key is the private key provided by Google via its reCAPTCHA service. A default Secret Key will be used if not set.</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="recaptchaType"><h3>reCAPTCHA Type<span class="ls-permlink"><a href="#recaptchaType"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>Specify the reCAPTCHA type to use with the key pairs.<br/> If a key pair has not been provided and this setting is set to <span class="val">Not Set</span>, a default key pair of type <span class="val">Invisible</span> will be used.<br/><br/> <span class="val">Checkbox</span> will display a checkbox reCAPTCHA for the visitor to validate.<br/><br/> <span class="val">Invisible</span> will attempt to validate the reCAPTCHA automatically and if successful, will redirect to the desired page.<br/><br/> <span class="val">hCaptcha</span> can be used to support reCAPTCHA provider <a href="https://www.hcaptcha.com" target="_blank" rel="noopener noreferrer">hCaptcha</a>.<br/><br/> Default value is <span class="val">Invisible</span>.</p> <h4>構文</h4><p>ドロップダウンリストから選択</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="recaptchaMaxTries"><h3>Max Tries<span class="ls-permlink"><a href="#recaptchaMaxTries"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>Max Tries specifies the maximum number of reCAPTCHA attempts permitted before denying the visitor.<br/><br/> Default value is <span class="val">3</span>.</p> <h4>構文</h4><p>整数</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="recaptchaAllowedRobotHits"><h3>Allowed Robot Hits<span class="ls-permlink"><a href="#recaptchaAllowedRobotHits"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>Number of hits per 10 seconds to allow ‘good bots’ to pass. Bots will still be throttled when the server is under load.<br/><br/> Default value is <span class="val">3</span>.</p> <h4>構文</h4><p>整数</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="recaptchaBotWhiteList"><h3>Bot White List<span class="ls-permlink"><a href="#recaptchaBotWhiteList"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>List of custom user agents to allow access. Will be subject to the ‘good bots’ limitations, including allowedRobotHits.</p> <h4>構文</h4><p>List of user agents, one per line. Regex is supported.</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="recaptchaRegConnLimit"><h3>Connection Limit<span class="ls-permlink"><a href="#recaptchaRegConnLimit"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>The number of concurrent connections (SSL & non-SSL) needed to activate reCAPTCHA. reCAPTCHA will be used until concurrent connections drop below this number.<br/><br/> Default value is <span class="val">15000</span>.</p> <h4>構文</h4><p>整数</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="recaptchaSslConnLimit"><h3>SSL Connection Limit<span class="ls-permlink"><a href="#recaptchaSslConnLimit"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>The number of concurrent SSL connections needed to activate reCAPTCHA. reCAPTCHA will be used until concurrent connections drop below this number.<br/><br/> Default value is <span class="val">10000</span>.</p> <h4>構文</h4><p>整数</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="bubbleWrap"><h3>Bubblewrap Container<span class="ls-permlink"><a href="#bubbleWrap"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>Set to <span class="val">Enabled</span> if you wish to start CGI processes (including PHP programs) in a bubblewrap sandbox. See <a href=" https://wiki.archlinux.org/title/Bubblewrap " target="_blank" rel="noopener noreferrer"> https://wiki.archlinux.org/title/Bubblewrap </a> for details on using bubblewrap. Bubblewrap must be installed on your system prior to using this setting.<br/><br/> This setting cannot be turned on at the Virtual Host level if set to "Disabled" at the Server level.<br/><br/> Default values:<br/> <b>Server level:</b> Disabled<br/> <b>VH level:</b> Inherit Server level setting</p> <h4>構文</h4><p>ドロップダウンリストから選択</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="bubbleWrapCmd"><h3>Bubblewrap Command<span class="ls-permlink"><a href="#bubbleWrapCmd"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>The full bubblewrap use command, including the bubblewrap program itself. More on configuring this command can be found here: <a href=" https://openlitespeed.org/kb/bubblewrap-in-openlitespeed/ " target="_blank" rel="noopener noreferrer"> https://openlitespeed.org/kb/bubblewrap-in-openlitespeed/ </a>. If not specified, the default command listed below will be used.<br/><br/> Default value: <span class="cmd">/bin/bwrap --ro-bind /usr /usr --ro-bind /lib /lib --ro-bind-try /lib64 /lib64 --ro-bind /bin /bin --ro-bind /sbin /sbin --dir /var --dir /tmp --proc /proc --symlink ../tmp var/tmp --dev /dev --ro-bind-try /etc/localtime /etc/localtime --ro-bind-try /etc/ld.so.cache /etc/ld.so.cache --ro-bind-try /etc/resolv.conf /etc/resolv.conf --ro-bind-try /etc/ssl /etc/ssl --ro-bind-try /etc/pki /etc/pki --ro-bind-try /etc/man_db.conf /etc/man_db.conf --ro-bind-try /home/$USER /home/$USER --bind-try /var/lib/mysql/mysql.sock /var/lib/mysql/mysql.sock --bind-try /home/mysql/mysql.sock /home/mysql/mysql.sock --bind-try /tmp/mysql.sock /tmp/mysql.sock --unshare-all --share-net --die-with-parent --dir /run/user/$UID ‘$PASSWD 65534’ ‘$GROUP 65534’</span></p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="namespace"><h3>Namespace Container<span class="ls-permlink"><a href="#namespace"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>Set to <span class="val">Enabled</span> if you wish to start CGI processes (including PHP programs) in a namespace container sandbox. Only used when <span class="tagl"><a href="ServSecurity_Help.html#bubbleWrap">Bubblewrap Container</a></span> is set to <span class="val">Disabled</span>.<br/><br/> When not <span class="val">Disabled</span> at the Server level, this settings value can be overridden at the Virtual Host level.<br/><br/> Default values:<br/> <b>Server level:</b> <span class="val">Disabled</span><br/> <b>Virtual Host Level:</b> Inherit Server level setting</p> <h4>構文</h4><p>ドロップダウンリストから選択</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="namespaceConf"><h3>Namespace Template File<span class="ls-permlink"><a href="#namespaceConf"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>Path to an existing configuration file containing a list of directories to be mounted along with the methods used to mount them. When <span class="tagl"><a href="ServSecurity_Help.html#namespace">Namespace Container</a></span> is set to <span class="val">Enabled</span> and this value is not set, the following secure default configuration settings will be used:<br/><br/> <span class="val"> $HOMEDIR/.lsns/tmp /tmp,tmp<br/> /usr,ro-bind<br/> /lib,ro-bind<br/> /lib64,ro-bind-try<br/> /bin,ro-bind<br/> /sbin,ro-bind<br/> /var,dir<br/> /var/www,ro-bind-try<br/> /proc,proc<br/> ../tmp var/tmp,symlink<br/> /dev,dev<br/> /etc/localtime,ro-bind-try<br/> /etc/ld.so.cache,ro-bind-try<br/> /etc/resolv.conf,ro-bind-try<br/> /etc/ssl,ro-bind-try<br/> /etc/pki,ro-bind-try<br/> /etc/man_db.conf,ro-bind-try<br/> /usr/local/bin/msmtp /etc/alternatives/mta,ro-bind-try<br/> /usr/local/bin/msmtp /usr/sbin/exim,ro-bind-try<br/> $HOMEDIR,bind-try<br/> /var/lib/mysql/mysql.sock,bind-try<br/> /home/mysql/mysql.sock,bind-try<br/> /tmp/mysql.sock,bind-try<br/> /run/mysqld/mysqld.sock,bind-try<br/> /var/run/mysqld.sock,bind-try<br/> /run/user/$UID,bind-try<br/> $PASSWD<br/> $GROUP<br/> /etc/exim.jail/$USER.conf $HOMEDIR/.msmtprc,copy-try<br/> /etc/php.ini,ro-bind-try<br/> /etc/php-fpm.conf,ro-bind-try<br/> /etc/php-fpm.d,ro-bind-try<br/> /var/run,ro-bind-try<br/> /var/lib,ro-bind-try<br/> /etc/imunify360/user_config/,ro-bind-try<br/> /etc/sysconfig/imunify360,ro-bind-try<br/> /opt/plesk/php,ro-bind-try<br/> /opt/alt,bind-try<br/> /opt/cpanel,bind-try<br/> /opt/psa,bind-try<br/> /var/lib/php/sessions,bind-try </span></p> <h4>構文</h4><p>絶対パス又は$SERVER_ROOTからの相対パス。</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="accessDenyDir"><h3>アクセスが拒否されたディレクトリ<span class="ls-permlink"><a href="#accessDenyDir"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>アクセスをブロックするディレクトリを指定します。重要なデータを含むディレクトリをこのリストに追加して、誤って機密ファイルをクライアントに公開しないようにします。すべてのサブディレクトリを含めるためにパスに「」を追加します。 <span class="tagl"><a href="#followSymbolLink">シンボリックリンクに従う</a></span>と<span class="tagl"><a href="#checkSymbolLink">シンボリックリンクを確認する</a></span>の両方を有効にすると、拒否されたディレクトリに対してシンボリックリンクがチェックされます。</p> <h4>構文</h4><p>ディレクトリのカンマ区切りリスト</p> <h4>ヒント</h4><p>[セキュリティ]重要な点：この設定では、これらのディレクトリから静的ファイルを提供することができません。これは、PHP/Ruby/CGIなどの外部スクリプトによるエクスポージャーを防ぐものではありません。</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="accessControl"><h3>アクセス制御<span class="ls-permlink"><a href="#accessControl"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>どのサブネットワークおよび/またはIPアドレスがサーバーにアクセスできるかを指定します。サーバレベルでは、この設定はすべてのバーチャルホストに影響します。バーチャルホストレベルで各バーチャルホストに固有のアクセス制御を設定することもできます。バーチャルホストレベルの設定はサーバーレベルの設定を上書きしません。 <br/><br/> ブロック/ IPの許可は、許可リストと拒否リストの組み合わせによって決まります。特定のIPまたはサブネットワークのみをブロックする場合は、<span class="tagl"><a href="#accessControl_allow">許可リスト</a></span>に<span class="val"></span>または<span class="val">ALL</span>を入れ、ブロックされたIPまたはサブネットワークを<span class="tagl"><a href="#accessControl_deny">拒否リスト</a></span>。<br/> 特定のIPまたはサブネットワークのみを許可する場合は、<span class="tagl"><a href="#accessControl_deny">拒否リスト</a></span>に<span class="val"></span>または<span class="val">ALL</span>を入れ、許可されたIPまたはサブネットワークを<span class="tagl"><a href="#accessControl_allow">許可リスト</a></span>。<br/> IPに適合する最小スコープの設定は、アクセスを決定するために使用されます。<br/><br/> <b>サーバーレベル：</b>信頼できるIPまたはサブネットワークは、<span class="tagl"><a href="#accessControl_allow">許可リスト</a></span>に、末尾の "T"を追加することで指定する必要があります。信頼できるIPまたはサブネットワークは、接続/スロットリング制限の影響を受けません。信頼できるIP/サブネットワークは、サーバーレベルのアクセス制御でのみ設定できます。</p> <h4>ヒント</h4><p>[セキュリティ]すべてのバーチャルホストに適用される一般的な制限については、サーバーレベルでこれを使用してください。</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="accessControl_allow"><h3>許可リスト<span class="ls-permlink"><a href="#accessControl_allow"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>許可されるIPまたはサブネットワークのリストを指定します。 <span class="val"></span>または<span class="val">ALL</span>が受け入れられます。</p> <h4>構文</h4><p>IPアドレスまたはサブネットワークのカンマ区切りリスト。末尾の「T」は、<span class="val">192.168.1.T</span>などの信頼できるIPまたはサブネットワークを示すために使用できます。</p> <h4>例</h4><div class="ls-example"><b>Sub-networks:</b> 192.168.1.0/255.255.255.0, 192.168.1.0/24, 192.168.1, or 192.168.1.<br/> <b>IPv6 addresses:</b> ::1 or [::1] <br/> <b>IPv6 subnets:</b> 3ffe:302:11:2:20f:1fff:fe29:717c/64 or [3ffe:302:11:2:20f:1fff:fe29:717c]/64</div><h4>ヒント</h4><p>[セキュリティ]サーバーレベルのアクセス制御で設定された信頼されたIPまたはサブネットワークは、接続/スロットリングの制限から除外されます。</p> </article> </div> <div class="helpitem"><article class="ls-helpitem"><div><header id="accessControl_deny"><h3>拒否リスト<span class="ls-permlink"><a href="#accessControl_deny"></a></span><span class="top"><a href="#top">⇑</a></span></h3></header></div><h4>説明</h4><p>許可されていないIPまたはサブネットワークのリストを指定します。</p> <h4>構文</h4><p>IPアドレスまたはサブネットワークのカンマ区切りリスト。 <span class="val"></span>または<span class="val">ALL</span>が受け入れられます。</p> <h4>例</h4><div class="ls-example"><b>Sub-networks:</b> 192.168.1.0/255.255.255.0, 192.168.1.0/24, 192.168.1, or 192.168.1.<br/> <b>IPv6 addresses:</b> ::1 or [::1] <br/> <b>IPv6 subnets:</b> 3ffe:302:11:2:20f:1fff:fe29:717c/64 or [3ffe:302:11:2:20f:1fff:fe29:717c]/64</div></article> </div> </section> </article><div class="ls-col-1-1"><footer class="copyright">Copyright © 2013-2020. <a href="https://www.litespeedtech.com">LiteSpeed Technologies Inc.</a> All rights reserved.</footer> </div></div> </body> </html>

| ver. 1.4 | Github | . | PHP 8.2.28 | Generation time: 0.02 | proxy | phpinfo | Settings