3. Dr.Web Enterprise Security Suite Версия 12.0 от 23.09.21. Руководство администратора Доктор Веб

Руководство администратора
281
Глава 9: Настройка Сервера Dr.Web
·
Размер буфера приема (КБ) — размер буферов, используемых при получении данных. Данный параметр влияет на производительность Сервера. Не рекомендуется изменять его значение без необходимости.
·
Максимальная длина запроса (КБ) — максимально допустимый размер HTTP- запроса.
·
Включить защиту от flood-атак — установите флаг, чтобы принимать защитные меры против flood-атак. Задайте следующие параметры обнаружения атаки:
ъ Период (с) — промежуток времени в секундах, за который должно прийти определенное количество запросов, чтобы подтвердить flood-атаку со стороны клиента.
ъ Количество запросов — минимальное количество запросов, которые должны прийти за определенный промежуток времени, чтобы подтвердить flood-атаку со стороны клиента.
ъ Длительность блокировки (с) — соединения с клиентом будут запрещены в течение заданного количества секунд.
В разделе Сжатие задаются параметры сжатия трафика при передаче данных по каналу связи с веб-сервером через HTTP/HTTPS:
·
Максимальный размер ответа для сжатия (КБ) — максимальный размер HTTP- ответов, которые будут сжиматься. Задайте значение 0, чтобы снять ограничение на максимальный размер HTTP-ответов, подлежащих сжатию.
·
Минимальный размер ответа для сжатия (Б) — минимальный размер HTTP-ответов,
которые будут сжиматься. Задайте значение 0, чтобы снять ограничение на минимальный размер HTTP-ответов, подлежащих сжатию.
·
Порядок использования типов сжатия:
ъ Определяется клиентом — порядок использования типов сжатия определяется клиентом с учетом разрешенных типов сжатия.
ъ Определяется сервером — порядок использования типов сжатия определяется сервером с учетом разрешенных типов сжатия. В этом случае задайте порядок следования типов сжатия в списке ниже. Для изменения порядка перетащите соответствующий блок за корешок.
Вы можете включить или отключить, а также задать порядок (для того случая, когда порядок определяется Сервером) следующие типы сжатия:
ъ Использовать сжатие GZIP — установите флаг, что использовать этот тип сжатия. В
поле Уровень сжатия GZIP задайте значение в диапазоне 0-9. Значение 0 означает отключить сжатие.
ъ Использовать сжатие Deflate — установите флаг, что использовать этот тип сжатия.
В поле Уровень сжатия Deflate задайте значение в диапазоне 0-9. Значение 0
означает отключить сжатие.
ъ Использовать сжатие Brotli — установите флаг, что использовать этот тип сжатия. В
поле Уровень сжатия Brotli задайте значение в диапазоне 0-11. Значение 0 означает отключить сжатие.

Руководство администратора
282
Глава 9: Настройка Сервера Dr.Web
·
Заменять IP-адреса — установите флаг, чтобы заменять IP-адреса DNS-именами компьютеров в файле журнала Сервера.
·
Включить поддержку HTTP/2 — установите флаг, чтобы поддерживать обращение к веб-серверу по протоколу HTTP версии 2.
ъ Тайм-аут сессии по HTTP/2 (с) — тайм-аут сессии для протокола HTTP версии 2.
При использовании постоянных соединений сервер разрывает соединение, если в течение указанного времени от клиента не приходят запросы.
·
Поддерживать TLS-сессию активной — установите флаг, чтобы использовать постоянное соединение для TLS. Устаревшие версии браузеров могут некорректно работать с постоянными TLS-соединениями. Отключите этот параметр, если возникают проблемы с работой по TLS протоколу.
·
Сертификат — путь к файлу TLS-сертификата. В выпадающем списке приводятся доступные сертификаты из каталога Сервера.
·
Закрытый ключ SSL — путь к файлу закрытого ключа TLS. В выпадающем списке приводятся доступные закрытые ключи TLS из каталога Сервера.
·
Ключ шифрования для мандатов TLS-сессии — путь к файлу ключа шифрования для мандатов TLS-сессий. Используется для возобновления сеанса TLS на основе мандатов сессий (session tickets), которые шифруются с использованием заданного ключа.
·
Список разрешенных шифров — строка, определяющая список шифров из пакета
OpenSSL, разрешенных для использования в соединениях с клиентами. Если оставить поле пустым, будет использовано значение DEFAULT, что означает
ALL:!EXPORT:!LOW:!aNULL:!eNULL:!SSLv2
9.7.2. Дополнительно
На вкладке Дополнительно задаются следующие настройки работы веб-сервера:
·
Установите флаг Отображать ошибки скриптов чтобы показывать ошибки скриптов в веб-браузере. Данный параметр используется службой технической поддержки и разработчиками. Не рекомендуется изменять его значение без необходимости.
·
Установите флаг Трассировать работу скриптов чтобы включить трассировку работы скриптов. Данный параметр используется службой технической поддержки и разработчиками. Не рекомендуется изменять его значение без необходимости.
·
Установите флаг Разрешать завершение скриптов чтобы разрешить прерывание работы скриптов. Данный параметр используется службой технической поддержки и разработчиками. Не рекомендуется изменять его значение без необходимости.

Руководство администратора
283
Глава 9: Настройка Сервера Dr.Web
9.7.3. Транспорт
На вкладке Транспорт настраиваются "прослушиваемые" сетевые адреса, с которых веб- сервер принимает входящие соединения, например, для подключения Центра управления или выполнения запросов через Web API.
В разделе Прослушиваемые адреса настраивается список интерфейсов, которые будут прослушиваться для приема соединений по протоколу HTTP:
·
Адрес — IP-адрес сетевого интерфейса, с которого разрешен прием соединений.
·
Порт HTTP — номер порта сетевого интерфейса, с которого разрешен прием соединений по протоколу HTTP.
·
Порт HTTPS — номер порта сетевого интерфейса, с которого разрешен прием соединений по протоколу HTTPS.
По умолчанию для "прослушивания" веб-сервером устанавливаются:
ъ Адрес: 0.0.0.0 — использовать "все сетевые интерфейсы" для данной машины, на которой установлен веб-сервер.
ъ Порт HTTP: 9080 — использовать стандартный порт 9080 для протокола HTTP.
ъ Порт HTTPS: 9081 — использовать стандартный порт 9081 для протокола HTTPS.
Для добавления новой строки адреса, нажмите кнопку
. Для удаления строки конкретного адреса нажмите кнопку напортив удаляемого адреса.
9.7.4. Безопасность
На вкладке Безопасность задаются ограничения на сетевые адреса, с которых веб- сервер принимает HTTP и HTTPS запросы.
Общие
·
Установите флаг Перенаправлять на защищенное соединение, чтобы автоматически перенаправлять все соединения по HTTP на HTTPS.
·
Установите флаг Возвращать подробный заголовок, чтобы веб-сервер возвращал подробности окружения в “Server”-заголовке.
·
Установите флаг Преобразовывать URI в нижний регистр, чтобы преобразовывать все URI в запросах к веб-серверу в нижний регистр. Преобразованию подлежит только фрагмент иерархической части URI, содержащий путь.
·
Установите флаг Включить контроль доступа для клиентских приложений, чтобы запретить доступ к интерфейсу Центра управления для программ-роботов и прочих клиентских приложений из списка ниже.
Определите список запрещенных клиентских приложений:

Руководство администратора
284
Глава 9: Настройка Сервера Dr.Web
ъ В поле Имя клиентского приложения задайте имя клиентского приложения,
которому будет запрещен доступ к интерфейсу Центра управления. Чувствительно к регистру. Если не задано, используется URI приложения.
ъ В поле Определяющее регулярное выражение задайте регулярное выражение,
определяющее приложение, которому будет запрещен доступ к интерфейсу Центра управления.
Ограничение доступа
Чтобы настроить ограничения доступа для какого-либо типа соединения
1. Для того чтобы разрешить доступ по HTTP или по HTTPS с определенных адресов,
включите их в списки HTTP: Разрешено или HTTPS: Разрешено соответственно.
2. Для того чтобы запретить доступ по HTTP или по HTTPS с каких-либо адресов,
включите их в списки HTTP: Запрещено или HTTPS: Запрещено.
3. Адреса, не включенные ни в один из списков, разрешаются или запрещаются в зависимости от того, установлены ли флаги Приоритетность запрета для HTTP и
Приоритетность запрета для HTTPS: при установленном флаге адреса, не включенные ни в один из списков (или включенные в оба), запрещаются. В
противном случае, такие адреса разрешаются.
Чтобы отредактировать список адресов
1. Введите сетевой адрес в соответствующее поле и нажмите кнопку Сохранить.
2. Сетевой адрес задается в виде: /[<префикс>].
Списки для ввода адресов TCPv6 будут отображены, только если на компьютере установлен интерфейс IPv6.
3. Для добавления нового поля адреса, нажмите кнопку соответствующего раздела.
4. Для удаления поля нажмите кнопку
Пример использования префикса:
1. Префикс 24 обозначает сети с маской: 255.255.255.0
Содержит 254 адреса.
Адреса хостов в этих сетях вида: 195.136.12.*
2. Префикс 8 обозначает сети с маской 255.0.0.0
Содержит до 16777214 адресов (256*256*256-2).
Адреса хостов в этих сетях вида: 125.*.*.*

Руководство администратора
285
Глава 9: Настройка Сервера Dr.Web
9.7.5. Модули
Не рекомендуется изменять настройки данного раздела без указаний службы технической поддержки.
В разделе Модули настраиваются Lua-скрипты, которые загружаются по мере исполнения других скриптов веб-интерфейса.
·
Выпадающий список Каталог скрипта в путях поиска определяет, в какое место списка из раздела Пути добавить текущий каталог (каталог, в котором находится исполняемый в данный момент скрипт):
ъ первый — в начало списка,
ъ последний — в конец списка, ъ не использовать — не добавлять совсем.
·
Раздел Маски задает множество масок, по которым ищутся модули Lua по путям,
указанным в разделе Путь.
·
Раздел Пути задает пути, по которым ищутся модули Lua из раздела Маски. Пути должны задаваться относительно корневого каталога веб-сервера.
Например:
Скрипт, расположенный по пути var-root/webmin/esuite/include/head.ds не будет найден без задания дополнительные настроек в разделе Модули.
Модули из каталогов ds-modules или webmin/vfs будут найдены без настроек в разделе Модули, потому что это глобальные модули, а не модули веб-интерфейса.
9.7.6. Обработчики
Настройки данного раздела, кроме подразделов Доступ и Авторизация, не рекомендуется изменять без указаний службы технической поддержки.
В разделе Обработчики настраивается то, каким именно образом и в каком окружении будет обрабатываться запрос, полученный от веб-клиента.
Общие
В зависимости от типа обработчика меняются доступные настройки.

Руководство администратора
286
Глава 9: Настройка Сервера Dr.Web
Для веб-сокетов необходимый обработчик выбирается в зависимости от атрибута
Протокол.
Для остальных типов обработчиков необходимый обработчик выбирается в зависимости от атрибута Префикс.
Типы используемых обработчиков выбираются в выпадающем списке Тип:
·
Обработчики
Выполняется указанный скрипт, которому в качестве параметра передаётся путь из
URL. Если путь отсутствует, ему передаётся путь поля Директория. ъ Префикс — префикс пути в URL HTTP-запроса.
ъ Директория — директория в корне веб-сервера, относительно которой считаются пути к отдаваемым файлам.
ъ Скрипт — скрипт-обработчик.
·
Смешанные обработчики
В зависимости от типа файла, к которому производится запрос, ведёт себя как тип
Статические файлы или как тип Скрипты.
ъ Префикс — префикс пути в URL HTTP-запроса.
ъ Список индексных файлов. Определяет, какие файлы в каком порядке будут загружаться, если веб-клиент затребует индекс директории.
ъ Скрипт — список расширений файлов, которые необходимо считать Lua-скриптами.
·
Скрипты
Любой файл, к которому производится запрос, исполняется как Lua-скрипт.
ъ Префикс — префикс пути в URL HTTP-запроса.
ъ Директория — директория в корне веб-сервера, относительно которой считаются пути к отдаваемым файлам.
·
Статические файлы
Содержимое файлов отдается как есть.
ъ Префикс — префикс пути в URL HTTP-запроса.
ъ Директория — директория в корне веб-сервера, относительно которой считаются пути к отдаваемым файлам.
ъ Список индексных файлов. Определяет, какие файлы в каком порядке будут загружаться, если веб-клиент затребует индекс директории.

Руководство администратора
287
Глава 9: Настройка Сервера Dr.Web
·
Виртуальная файловая система
Аналог типа Статические файлы, только файлы загружаются из архива внутреннего формата dar, указанного в поле Директория.
ъ Префикс — префикс пути в URL HTTP-запроса.
ъ Директория — директория в корне веб-сервера, относительно которой считаются пути к отдаваемым файлам.
·
Предопределённые веб-сокеты
Websocket-приложение, реализуемое разделяемой библиотекой, поставляемой с сервером (dll или elf shared object). Имя файла библиотеки соответствует протоколу веб-сокета, файлы располагаются в lib-root/websockets.
ъ Скрипт авторизации — имя файла Lua-скрипта, который авторизует пользователя.
ъ Протокол — значение поля WebSocket-Protocol, передаваемое в HTTP-запросе подключения к вебсокету.
·
Пользовательские веб-сокеты
Websocket-приложение, реализуемое Lua-скриптом. Имя файла скрипта соответствует протоколу веб-сокета, файлы располагаются в home-root/websockets.
ъ Скрипт авторизации — имя файла Lua-скрипта, который авторизует пользователя.
ъ Протокол — значение поля WebSocket-Protocol, передаваемое в HTTP-запросе подключения к вебсокету.
Доступ
Списки контроля доступа (ACL) задают ограничения на сетевые адреса, с которых клиенты смогут получать доступ к веб-серверу.
Настройки аналогичны настройкам безопасности Сервера Dr.Web
Если настройки не заданы, считается, что все адреса разрешены.
Авторизация
Доступна для всех типов обработчиков, кроме веб-сокетов.
Настройки раздела определяют список ресурсов, при запросах к которым нужно запрашивать basic http аутентификацию у веб-клиента.
·
Область действия — значение, которое веб-сервер отдаст клиенту в параметре WWW-
Authenticate: Basic realm="ADMIN"
. По сути — краткое описание того, кто должен авторизоваться. К регистрационному имени отношения не имеет.

Руководство администратора
288
Глава 9: Настройка Сервера Dr.Web
Чтобы настроить ограничения доступа для какого-либо типа соединения
1. Для того чтобы разрешать свободный доступ при подключении клиентов по HTTP или по HTTPS к определенным путям, включите эти пути в списки HTTP: свободный
доступ или HTTPS: свободный доступ соответственно.
2. Для того чтобы требовать авторизацию при подключении клиентов по HTTP или по
HTTPS к определенным путям, включите эти пути в списки HTTP: запрос авторизации
или HTTPS: запрос авторизации.
3. При доступе к путям, не включенным ни в один из списков, авторизация требуется или нет в зависимости от того, установлен ли флаг Приоритетность запроса
авторизации: при установленном флаге для подключения к путям, не включенным ни в один из списков (или включенным в оба), требуется авторизация. В противном случае, по таким путям разрешается свободный доступ.
Чтобы отредактировать список адресов
1. Введите в поле регулярное выражение, определяющее путь относительно директории, задаваемой в поле Директория.
2. Для добавления нового поля адреса, нажмите кнопку соответствующего раздела.
3. Для удаления поля нажмите кнопку
9.8. Пользовательские процедуры
При выполнении Lua-скриптов администратор получает доступ ко всей файловой системе в пределах каталога Сервера и некоторым системным командам на компьютере с установленным Сервером.
Чтобы запретить доступ к пользовательским процедурам, отключите право
Редактирование конфигурации Сервера и конфигурации репозитория для соответствующего администратора (см. п.
Администраторы и административные группы
).
Для упрощения и автоматизации выполнения определенных заданий Сервера Dr.Web возможно использование пользовательских процедур, реализованных в виде Lua- скриптов.

Руководство администратора
289