 |
|
|
|
Выбор веб-сервера: почему Apache?
Выбор веб-сервера: почему Apache? За последние несколько лет в России, как и во всем мире, Интернет все глубже проникает в нашу повседневную жизнь. Фактически история Интернета в России насчитывает чуть более 10 лет, с тех пор, когда ряд университетов и научно-исследовательских институтов начали создание локальных сетей и обзавелись зарубежными каналами связи, и заканчивая текущим моментом, когда по данным РОЦИТ [1] в России насчитывается более пяти миллионов пользователей этой сети. Основа Интернета известна всем – это сервера. Именно на них размещены домашние страницы рядовых пользователей, состоящие из нескольких страничек, тематические ресурсы, состоящие из сотен страниц, часто генерируемых динамически и в большинстве своем поддерживаемые группой людей, а также коммерческие проекты и вполне настоящие, несмотря на свою виртуальность, магазины. Большинству рядовых пользователей свой сервер совершенно не нужен. Посудите сами: даже если не выключать домашний компьютер круглосуточно, установив серверное ПО, то для доступа к нему также необходимо круглосуточное соединение с провайдером. Соединение по телефонной линии слишком медленное, чтобы обслуживать хотя бы десять клиентов одновременно. А выделенная линия стоит дорого. Намного проще разместить свою страничку на сервере провайдера. Другое дело – корпоративные пользователи. Как правило у них уже есть выделенная линия, соединяющая с Интернетом локальную сеть, и выделенный компьютер, выполняющий роль шлюза между локальной и глобальной сетями. На нем-то и можно установить веб-сервер. Или для того, чтобы отдать дань моде, или развернуть крупный проект, приносящий прибыль. Данная статья предназначена в первую очередь для тех, кому предстоит непосредственно администрировать веб-сайт и отвечать за его работу. Надеюсь, что администраторам с небольшим опытом в этой области она поможет определиться в нелегком выборе серверного ПО, а также аргументированно отстоять свою точку зрения при принятии решения на уровне руководства организации, нередко слепо принимающего на веру маркетинговые заявления. Итак, вам нужен свой собственный веб-сайт. Какому ПО доверить управление им? По данным сервера Netcraft [2] на ноябрь 2002 года около 90% всех веб-серверов в мире работают под управлением двух типов ПО: Apache от Apache Software Foundation и Internet Information Server корпорации Microsoft. Из них около 60% под управлением Apache (более 20 000 000) и 30% под управлением MS IIS (более 10 000 000). Вспоминается старая поговорка: «2 000 000 леммингов не могут ошибаться». Хотя вряд ли это можно считать критерием выбора. Первый критерий выбора – аппаратное обеспечение сервера. Существует два основных решения – выделенный сервер и размещение на уже существующем сервере, настроив маршрутизацию трафика на брандмауэре. IIS может быть установлен только на ОС MS Windows 2000 Server. Если у вас уже есть сервер под управлением другой операционной системы, то вам придется использовать выделенный сервер и покупать для него OC, даже если загрузка его будет составлять менее 10%, а Apache наверняка может быть установлен на ваш «старый» сервер. Apache может быть установлен на OC Novell NetWare, практически на все ОС семейства UNIX и даже на MS Windows, поэтому даже если у вас уже есть сервер под управлением Windows 2000, не торопитесь устанавливать туда IIS – это небезопасно. Полный список поддерживаемых ОС вы найдете на сайте Apache [3]. Следующий критерий – производительность. Причем тем критичнее, чем больше одновременных подключений. До недавнего времени Apache, собираемый из исходного кода, оптимизированного под UNIX, ощутимо уступал IIS, интегрированному в ОС. С выходом Apache 2.0 ситуация изменилась. Вместо портирования UNIX-кода разработчики написали полноценное Windows-приложение, которое и рекомендуют для коммерческого использования. Электронный журнал eWEEK [4] сравнивал производительность Apache 2.0 и MS IIS, выполняемых под управлением MS Windows 2000 Advanced Server. По результатам тестов оба сервера показали практически одинаковую производительность. Итак, Apache – высокопроизводительный сервер. Еще один важный критерий – доступность. Разработчики Microsoft утверждают, что они сделали огромный шаг вперед – избавились от необходимости перезагрузки ОС при любом изменении настроек сервера. Теперь настройки можно менять «на лету». Но решены ли все проблемы, приводящие к остановке всего сервера, обычно сопровождающиеся так называемым «синим экраном смерти» – неизвестно. И каждая перезагрузка сервера, чем бы она не была вызвана, означает отказ в обслуживании клиентам на время перезагрузки. К сожалению, нет независимой статистики по доступности серверов под управлением той или иной ОС. Поэтому можно лишь вспомнить, что архитектура UNIX изначально ориентирована на бесперебойную работу. Безопасность. Свободу Интернета, как оказалось, можно использовать и в хулиганских целях. Для выхода в Интернет не нужно ни специального разрешения, ни даже паспорта. В тысячах интернет-кафе и компьютерных клубов достаточно оплатить время, и весь простор доступен вам. Это замечательно, но не все приходят в Интернет с добрыми намерениями. И есть люди, которые для того, чтобы похулиганить, выделиться или даже найти работу, выводят из строя интернет-сервера. Результатом действий злоумышленника могут стать как deface[2], так и порча данных, которая может принести ощутимые убытки, например изменение кода интернет-магазина может привести к различным последствиям: от удаления базы данных до торговли в убыток хозяину сайта. Веб-сервер должен быть надежно защищен от несанкционированного изменения документов, с которыми он работает. К сожалению, пока еще нет абсолютно безопасного веб-сервера. И в Apache, и в IIS злоумышленники находят новые уязвимости и используют их для порчи данных. Здесь стоит немного отвлечься от веб-серверов и вспомнить предмет неутихающих споров и в последнее время даже судебных процессов. Что же все-таки лучше – бесплатное ПО с открытым исходным кодом или коммерческое? Что безопаснее? Скептики утверждают: «Злоумышленнику ничего не стоит найти уязвимость в бесплатном ПО, ведь он может читать исходный код. Когда кода нет, сложно даже узнать, как оно работает.» На самом деле, к счастью, хороших людей больше, чем плохих. И большинство людей предпочитает, найдя уязвимость, сообщить о ней разработчикам, нередко присылая исправленный код, решающий проблему. Поэтому за годы развития найти уязвимости становится сложнее. Второе заблуждение: «Открытые проекты поддерживаются неофициально. Купив ПО, я могу потребовать от разработчика решения проблемы». Не все так печально. Устранить описанную уязвимость в программе с открытым исходным кодом может любой программист. А заплаток от производителя коммерческого ПО можно ждать месяцами, и никто кроме него вам не поможет. Примеры при желании вы можете найти в списке рассылки Bugtraq [5]. Возвращаясь к веб-серверам, отметим, что самыми разрушительными были эпидемии червей Code Red, Code Red II и Nimda, от которых пострадали в основном сервера под управлением IIS, а также то, что атаки все еще продолжаются уже зараженными серверами, и не всегда безуспешно. Более того, успешная атака на сервер под управлением IIS может обернуться не только порчей данных, с которыми он работает, но и порчей данных, с которыми работают другие программы, и даже ОС сервера. Именно поэтому веб-сервер под управлением IIS не должен располагаться на компьютере, который выполняет любую другую критическую работу. Такова цена за интеграцию с ОС. Apache, независимый от ОС, на UNIX-системах может выполняться даже в собственном окружении, или, как говорят, «в песочнице». Максимум успеха атаки на такой сервер – порча данных, размещенных на нем. Кроме того, каждый дополнительный компонент, устанавливаемый вместе с веб-сервером является дополнительной угрозой безопасности. По умолчанию вместе с IIS устанавливается несколько библиотек и расширения редактора html FrontPage (видимо, разработчики считают, что содержание сервера должно создаваться на сервере). Стандартная поставка Apache включает в себя только сам сервер. Все модули-дополнения поставляются отдельно. Система управления веб-сервером также тесно связана с безопасностью. «Легкий и удобный в настройке» IIS управляется с помощью приложений, использующих графический интерфейс, а в последней версии и с помощью веб-приложений, устанавливаемых вместе с сервером, и позволяет настроить не все параметры, влияющие на работу сервера. Так как настройки «по умолчанию» ориентированы не на максимальную безопасность, а на максимальное быстродействие и количество предоставляемых сервисов, в то время как добраться до них можно только с помощью редактора реестра Windows, установленный IIS с минимальной настройкой вызывает у опытных администраторов шок. Более того, многие администраторы Windows отключают все возможности управления сервером на основе веб-интерфейса, как потенциальную угрозу безопасности. Настройки Apache хранятся в нескольких текстовых файлах конфигурации. Для администраторов, слабо представляющих, как работает веб-сервер, редактирование этих файлов может быть неразрешимой проблемой, несмотря на то, что они хорошо задокументированы. В то же время при переносе, обновлении или переустановке веб-сервера достаточно скопировать эти файлы на новое место, и сервер снова готов к работе, тогда как IIS придется настраивать заново, либо искать и экспортировать ключи реестра, в которых хранятся его настройки, что является непростой задачей даже для опытного администратора NT, особенно если учесть, что документация по реестру Windows вместе с самой OC не распространяется. Таким образом, можно с уверенностью утверждать, что IIS является решением для пользователей Windows, которые хотят с минимальными затратами времени установить собственный веб-сервер и не заботятся о его дальнейшей поддержке. С необходимостью поддержки проекта на базе IIS затраты на оплату администратора и трафика за постоянное получение патчей от производителя могут ощутимо возрасти. В то же время безопасность и доступность такого решения спорна. Решение же на базе Apache, с одной стороны, требует с самого начала работы серьезной теоретической подготовки администратора, но с другой стороны, возможность работы на большом количестве операционных систем и архитектур открывает широкий выбор для размещения, и в сочетании с возможностью работы в собственном окружении показывает высокую стабильность и безопасность использования, а также легкую переносимость, вне зависимости от сложности сайта. Ссылки:
|
Дмитрий ГалышевКомментарии отсутствуют
| Добавить комментарий |
|
Комментарии могут оставлять только зарегистрированные пользователи |
|
