Esu dažnai klausinėjamas, vis tenka teisintis, tai bent glaustai surašysiu, kodėl visų pripažintą HTTP serverį „Apache“ pakeičiau mažiau žinomu „NginX“, bet ir šį išbandęs pašalinau, o jų vietoje įdiegiau ir jau tvirtai pasiryžau kliautis „Hiawatha“ – niekam negirdėta, nė specialistams nežinoma, tikriausiai pirmąja Lietuvoje.
„Apačiui“ apibūdinti neverta plėtotis – tai nesaugus griozdas, eikvojantis techninius išteklius, pirmiausia kompiuterio „atmintį“ (RAM), o dūstantis jau nuo nedidelės darbo apkrovos. Imantis rimtesnių darbų, tenka su „Apačiumi“ įkinkyti ir visokių stiprintuvų, antai „Vikimedijos“ fondas įdarbinęs „Apache Traffic Server“ su „Web Accelerator“ ir kitais ėdriais traukliais. Save gerbiančiam meistrui kliautis „Apačiumi“ turėtų būti tiesiog gėda. Bet jis tebėra plačiausiai naudojamas, nes nuo seno visiems žinomas, pritaikytas dirbti įprastai.
Išsibandant „NginX“, man pirmiausia užkliuvo ribotas SSI veikimas, neištraukiant nė aplinkos duomenų paprasta <!--# printenv -->
užklausa. CGI ten visai neveikia (tiesa, veiktų SCGI arba WSGI). Patyrinėjęs rinką, nustebau, kad „NginX“ ir galingumas yra luošas – štai kaip Kriso Vadžio (Chris Wadge) išbandymo „Slowloris“ antpuoliu metu šlubavo „NginX“, o „Apache“ užduso visai:
Kriso liudijimu, šimtą tūkstančių HTTP užklausų vienu metu (daugiau jam nepavyko pasiekti) „Hiawatha“ aptarnauja nesunkiai, dar nejausdama serveriams būdingo C10K nusilpimo.
Rimo Kudelio dėka „NginX“ įdiegiau ir išsibandžiau sėkmingai, tačiau slėgė nepasitikėjimas tiek programa, tiek ir savo supratimu – nors programos kodas atviras, bet naudojimosi aprašymai pakriki, neišsamūs. Ir derinimo įrašai nežmoniški – ne visiems suprantamais kalbos žodžiais, o programišių burtažodžiais. Palyginkite tapačios užduoties įrašus „Apačiui“ ir „Hiawathai“ („NginX“ sintaksė maždaug tarpinė, tad ją praleidau):
„Apache“ | „Hiawatha“ |
Perjungti ryšį šifruotu (http → https) | |
---|---|
RewriteEngine On | RequireTLS |
RewriteCond %{HTTPS} off | |
RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] | |
Sutrumpinti URL, nerodant www | |
RewriteCond %{HTTP_HOST} ^www.(.+)$ [NC] | EnforceFirstHostname |
RewriteRule ^(.*)$ http://%1/$1 [R=301,L] |
Programinės sintaksės painiava nėra opi įmonėms, samdančioms etatinį serverių tvarkybos specialistą, bet aš noriu susigaudyti ir pats – būti tikras tuo, ką darau. Nemėgstu, kai kas nors daroma sudėtingai ten, kur galima paprastai. Juolab, kad pernelyg protingais įrašais pirmiausia pergudrausi save – sunku bus iškart pastebėti ir paties netyčia įveltą klaidą.
„Hiawatha“ kūrėjas Ugas Leisinkas (Hugo Leisink) gal kuklinasi, sakydamas „pirmiausia – saugumas“ (security first). Nes toks atidumas rodo skaidrų jo samprotavimą, lemia ir kitus, serveriui ne mažiau svarbius dalykus: 2) švarą, 3) patvarumą, 4) pajėgumą, 5) spartą, 6) lengvumą, 7) aiškumą žmoniškai serverio priežiūrai.
Modernumas man čia kažkaip liko tik aštuntoje vietoje, bet ne dėl „Hiawathos“ atsilikimo – serveris veikia pažangiomis HTTPS technologijomis atvirais standartais:
- HTTP digest authentication, ChallengeClient, FileHashes, MultiThreading, ThreadPool, TrafficShaping, WebFirewall;
- IPv6 (išplėstai interneto adresų aibei), SNI (interneto valdų vardams), XSLT (XML medžiagai doroti);
- FastCGI su PHP-FPM, CGI su CGI-wrapper, SSI su SSI-CGI – programinės sąsajos;
- „mbedTLS“ 2.3.0 šifruoti paskirai, su DST liudijimais – automatiškai ir nemokamai;
- WebDAV su „ownCloud“, „Nextcloud“ palaikymu;
- folder alias ir script alias su chroot, enforce, require;
- „URL Toolkit“ – regex taisyklėms su request, header, match, goto, return, redirect, rewrite, use;
- laipsniškumas (scalable) – paskirai suderinamos nuostatos 1) default website, 2) binding interfaces (port, LAN, IP), 3) virtual hosts, 4) directory settings, 5) .hiawatha files aprašais;
- jungimosi taisyklės (count, time, size, regex) su savais šaukiniais ir draudimais (custom variables, banning settings);
- antpuolių atpažinimas ir sustabdymas: DDoS, CSRF, XSS attacks, SQL injections, exploit attempts, control of external image linking, Throttle some file upload speed;
- kitos pajėgumo ir HA patvarumo priemonės: „gzip“ „HTTP compression“, „internal cache“, „reverse proxy“, „load balancing“;
- kiti, nebūtini priedai: „Tomahawk“, „Wigwam“, „Hiawatha Monitor“ (atskiras stebėsenos serveris, gali būti nuotolinis), „Banshee“ (WWW leidybos staklės);
- 5 paskiri darbo žurnalai: access.log, error.log, exploit.log, garbage.log, system.log.
Nemažai „Hiawatha“ savybių unikalios, kurių neturi jokie kiti HTTP serveriai. Daugiausia tokių gabumų skirta apsisaugoti nuo nenaudėlių, tačiau netrukdant kitiems lankytojams. Autorius jas sumanęs ir sukūręs pats, iš pradžių išsibandyti, o įdiegęs tik po metų kitų, naudingumui pasitvirtinus gyvenime. Susirašiau tokią savą galinčių praversti nustatymų ir jų pradinių reikšmių atmintinę.
Ribojimai ( = default) | |
---|---|
#AccessList = allow all | allow 192.168.0.1, deny all |
#BindingId = | kai sąsajų ne viena |
#Interface = 127.0.0.1 | sąsajai (binding section) |
#RequiredBinding = | virtualiam serveriui |
#RequireTLS = yes,31536000 | sąsajai (binding) |
CacheSize = 10 | MB, iki 1024 |
CacheMaxFilesize = 256 | KB |
CacheRProxyExtensions = css, eot, gif, html, htm, ico, jpg, js, otf, png, svg, swf, txt, woff | |
ConnectionsTotal = 1000 | |
ConnectionsPerIP = 25 | |
MaxRequestSize = 2048 | KB sąsajai (in binding section) |
MaxKeepAlive = 50 | sąsajai (in binding section) |
#MaxServerLoad = 1 | pvz. 0.7 – iki 70% |
MaxUploadSize = 1 | MB, iki 2047 (binding) |
MaxUrlLength = 1000 | 0 neribotų, o viršijus – 414 HTTP error code |
#MinTLSversion = 1.1 | dabar gal daugiau |
RandomHeader = 512 | |
SocketSendTimeout = 30 | |
TimeForRequest = 5, 30 | pirmajam, sekantiems kreipiniams (binding) |
ThreadPoolSize = 25 | 128, gijų skaičius jų pluošte |
ThreadKillRate = 1 | 8 |
TimeForCGI = 5 | iki penkių sekundžių |
Slėpimai (arba apgaulė) | |
EnablePathInfo = no | |
#CustomHeader = | |
#RandomHeader = | nuo 10 iki 1000 |
ServerString = Hiawatha | pavyzdžiui: Apache |
ShowIndex = no | nerodo aplanko turinio |
AnonymizeIP = no | yes – neįrašytų lankytojų adresų į access.log |
#LogfileMask = | deny 10.0.0.0/24, deny ManoIPv4 |
#RequestLimitMask = | deny PatikimasIP_1, deny SavasIP_2 |
Draudimai | |
ExecuteCGI = no | virtualiam serveriui arba aplankui |
#BanOnDeniedBody = 0 | tik kai nustatytas DenyBody = ‘regex’ |
BanOnFlooding = -/-:0 | 10/1:15 |
BanOnGarbage = 0 | 300 |
BanOnInvalidURL = 0 | |
BanOnMaxPerIP = 0 | 60 |
BanOnMaxReqSize = 0 | 300 |
BanOnSQLi = 0 | |
BanOnTimeout = 0 | |
BanOnWrongPassword = 6:900 | |
KickOnBan = no | yes |
RebanDuringBan = no | yes |
PreventCSRF = no | no, detect, prevent, block |
PreventSQLi = no | block tik laikinai, kol susitaisysi savo luošą SQL |
PreventXSS = yes | |
KillTimedoutCGI = yes | viršijus TimeForCGI = 10 |
#DenyBody = | (regex) |
#BanlistMask = | allow 192.168.1.2, deny 192.168.0.0/16 |
Savų šaukinių pavyzdžiai (own variables) | |
set Vietiniai = | 127.0.0.0/8 |
set ManoIPv4 = | 95.173.32.149 |
set PatikimasIP_1 = | |
set SavasIP_2 = | |
CustomHeader = | X-Frame-Options: DENY |
ReverseProxy | .* http://10.20.20.18:80 30 keep-alive |
ReverseProxy | .* https://10.20.20.18:443 30 keep-alive |
#LoginMessage = | scanner.robotas.tld |
#PasswordFile = | digest:/srv/www/digest/scanner.digest |
Rimas sukūrė ir įdiegė patogų ir vaizdų serverio valdymo „Webmin“ skydelį, jo atvirą kodą paskelbė „Git“ registre ir pranešė serverio autoriui – Ugas įvertino, padėkojo Rimui, išplatino gerą naujieną savo sekėjams.
Rimo Kudelio sukurtas „Webmin“ skydelis „Hiawatha“ serveriui
Juokingai dabar atrodo serverių tvarkytojų atsikalbinėjimai, neva „Apačius“ labiausiai ištobulintas ir patikimiausias, o „Hiawatha“ mat nepatikima, nes… sukurta vieno žmogaus. Tarsi pasitikėti būtų galima bendra atsakomybe, kai kompetentingų pareigūnų daugybė, bet prireikus nėra su kuo šnekėti – neseka rasti, kas išmanytų atsakyti tau kilusio klausimo.
Priešingai, svarbiausi išradimai sumanyti pavienių asmenų, daugumai jais netikint tol, kol įgyvendinus netampa įprasti ir pripažinti daugumos. Kaip gali pradingti ar tapti bevertis tvarinys net autoriui pasimirus, jei jo programinis kodas atviras? Juolab, kai tas kodas tesveria mažą megabaito dalį. Tęstinumą ir perimamumą lemia šios svarbios sąlygos:
- pasiekiamas, suprantamas ir atviras kodas (GPL licencija);
- kruopštus dokumentavimas: išsamus savybių aprašas (specification), vadovėlis (manual), pamokos (how to), būdingų klausimų išaiškinimai (FAQ);
- pristatymas enciklopedijoje, palyginimas, pokyčių tikslinimas laiku;
- dalijimasis patyrimu ir naujovėmis, jų aptarinėjimas: „Weblog“, „Twitter“, „Forum“, „Email“;
- pagalba asmeniškai, tiesiogiai autoriaus pašto adresu hugo@leisink.net.
Ugo patikimumu jau esu įsitikinęs: kiek kartų besikreipiau iškilusiu klausimu, autorius atsakė visada, visada netrukus, visada atidžiai ir dalykiškai, dažniausiai asmeniniu paštu.
Nematau pagrindo nepasikliauti ir kūrinio bei jo autoriaus gerbėjų, serverių meistrų bendruomene, atsiliepiančia apie „Hiawathą“ pačiais aukščiausiais įvertinimais: www.hiawatha-webserver.org/about.