lighttpd

lighttpd est un logiciel de serveur Web (HTTP) open source, totalement gratuit, sécurisé, rapide, conforme et très flexible, implémenté en C et spécialement conçu et optimisé pour les environnements GNU / Linux hautes performances. .

Il s'agit d'un programme de ligne de commande doté d'un ensemble avancé de fonctionnalités, notamment FastCGI (équilibrage de charge), CGI (Common Gateway Interface), Auth, Output-Compression, réécriture d'URL, SSL (Secure Sockets Layer), etc.

lighttpd est la solution idéale pour les serveurs Linux, où les applications AJAX hautes performances sont indispensables, en raison de son architecture pilotée par les événements, optimisée pour prendre en charge un grand nombre de connexions parallèles (keep-alive).

Par rapport à d'autres serveurs Web populaires, tels qu'Apache ou Nginx, lighttpd a une faible empreinte mémoire, ce qui signifie qu'il peut être déployé sur des ordinateurs avec des composants matériels anciens ou semi-anciens, ainsi qu'une gestion efficace du processeur. charger.

Démarrer avec lighttpd

Pour installer et utiliser lighttpd sur votre système GNU / Linux, vous avez deux options. Tout d'abord, ouvrez votre gestionnaire de paquets favori et recherchez lighttpd dans les principaux référentiels de logiciels de votre distribution, puis installez le paquet.

Si lighttpd n'est pas disponible dans votre système Linux, vous devrez télécharger la dernière version depuis Softoware, où il sera distribué sous forme d'archive source (archive tar), sauvegardez le fichier sur votre ordinateur, décompressez-le. son contenu, ouvrez un émulateur de terminal et naviguez jusqu'à l'emplacement du fichier d'archive extrait avec le cd & rsquo; commande.

Ensuite, vous serez en mesure de compiler le logiciel en exécutant le & lsquo; commande dans l’émulateur de terminal, suivi de l’installation de commande en tant que root ou avec sudo pour l'installer à l'échelle du système et le rendre disponible à tous les utilisateurs.

Le programme est livré avec quelques options en ligne de commande, qui peuvent être visualisées en un coup d’œil en exécutant le fichier "lighttpd --help". commande dans un terminal. Celles-ci incluent la possibilité de spécifier un fichier de configuration et l'emplacement des modules, de tester le fichier de configuration et de forcer le démon à s'exécuter au premier plan.

Nouveautés dans cette version:

• correctifs de sécurité
• corrections de bogues

Nouveautés dans la version 1.4.49:

• [core] ajuste le décalage si la ligne blanche de l’en-tête de réponse
• [mod_accesslog]% {canonical, local, remote} p (corrige # 2840)
• [core] supporte POLLRDHUP, si disponible (# 2743)
• [mod_proxy] support de base pour la méthode HTTP CONNECT (# 2060)
• [mod_deflate] corrige le dégonflement du fichier & gt; 2 Mo sans mmap
• [core] corrige segfault si tempdirs se remplit (corrections # 2843)
• [mod_compress, mod_deflate] essayez mmap MAP_PRIVATE
• [core] ignorez le socket en utilisant recv MSG_TRUNC
• [core] signaler à stderr si le chemin d’erreur est ENOENT (corrections # 2847)
• [core] corrige le décodage base64 lorsque le caractère n'est pas signé (corrections # 2848)
• [mod_authn_ldap] corrige une fuite de mémoire lorsque l'authentification ldap échoue (corrections # 2849)
• [core] avertit si mod_indexfile après le gestionnaire dynamique
• [core] ne répare pas la requête si async cb
• [core] non-bloquant write () sur les enregistreurs redirigés
• [mod_openssl] nettoyage de code mineur; réduire la portée var
• [mod_openssl] Sélection automatique des courbes elliptiques (corrections # 2833)
• [core] vérifie le chemin vers le bas de l'info-chemin
• [mod_authn_ldap] auth avec les références ldap (corrections # 2846)
• Nettoyage du code [core]: sous-chemin physique distinct
• [core] fusionne la substitution de modèle de redirection / réécriture
• [core] corrige POST avec un corps de requête fragmenté (corrections # 2854)
• [core] supprime le func inutilisé
• [doc] mise à jour mineure de doc obsolète
• [mod_wstunnel] Correction pour les images de plus de 64 Ko (corrections # 2858)
• [core] corrige le POST de compilation 32 bits avec le corps de la requête en bloc (# 2854)
• [core] add include sys / poll.h sous Solaris (corrections # 2859)
• [core] correction du calcul des informations de chemin dans git master (corrections # 2861)
• [core] pass array_get_element_klen () const array *
• [core] augmente l’abstraction de stat_cache
• [core] ouvrir des fds supplémentaires O_CLOEXEC
• [core] correction CONNECT w analyse de l'entête stricte activée
• [mod_extforward] Support du CIDR pour les proxies de confiance (corrections # 2860)
• [core] réactiver les backends surchargés avec plusieurs wkrs
• [autoconf] réduit la version minimale de automake à 1.13
• [mod_auth] temps constant comparez les mots de passe simples
• [mod_auth] vérifie que le domaine de synthèse correspond à config
• [core] corrige l’implémentation de l’algorithme de hachage incorrect

Nouveautés dans la version:

• corrections de bogues: corrige deux régressions dans 1.4.46

Nouveautés dans la version 1.4.45:

• corrections de bogues (version avec correction de bogues uniquement)

Nouveautés dans la version 1.4.44:

• supporte le corps de requête HTTP / 1.1 "Transfer-Encoding: chunked"
• corrections de bogues

Nouveautés dans la version 1.4.43:

• [autobuild] supprime mod_authn_gssapi dep sur resolv
• [mod_deflate] ignore ‘* 'dans deflate.mimetypes
• [autobuild] omet les stubs de module lorsque des deps manquants
• [TLS] openssl 1.1.0 cache struct bignum_st
• [autobuild] déplacez http_cgi_ssl_env () pour Mac OS X (corrections # 2757)
• [core] utilise paccept () sur NetBSD (remplacez accept4 ())
• [TLS] les conditions IP distantes sont valides pour TLS SNI (corrections # 2272)
• [doc] lighttpd-angel.8 (corrige # 2254)
• [cmake] compile fcgi-auth, fcgi-responder pour les tests
• [mod_accesslog]% {ratio} Taux de compression des journaux (corrections # 2133)
• [mod_deflate] ignorez le dégonflage si loadavg est trop élevé (corrige # 1505)
• [mod_expire] expire par mimetype (corrections # 423)
• [mod_evhost] motifs de correspondance partielle (corrections # 1194)
• build: utilisez CC_FOR_BUILD pour le citron lors de la compilation croisée
• [mod_dirlisting] en-tête de configuration et fichiers Lisez-moi
• [config] avertit si mod_authn_ldap, mysql ne figure pas dans la liste
• Correction de FastCGI, SCGI, proxy reconnexion en cas d’échec
• [core] network_open_file_chunk () opt optionnel
• [mod_rewrite] ajoute plus d’informations dans le journal des erreurs msg
• [core] corrige la fuite de fd lors de l’utilisation de libev (corrections # 2761)
• [core] corrige la corruption potentielle du streaming en streaming (corrections # 2760)
• [mod_scgi] correction du préfixe correspondant à l'URL
• [autobuild] ajuste Makefile.am pour FreeBSD

Nouveautés dans la version 1.4.41:

• correctifs de sécurité
• corrige les bogues introduits dans 1.4.40

Nouveautés dans la version 1.4.39:

• Cette version corrige les pannes résultant d’une utilisation après libération (# 2700) et a été introduit dans 1.4.36.

Nouveautés dans la version 1.4.38:

• mod_secdownload nécessite désormais une option d'algorithme
• corrige un bug d'analyse de l'entête (# 2670)
• Prise en charge de sendfile pour darwin (il suffit de sélectionner & quot; sendfile & quot; comme backend)

Nouveautés dans la version 1.4.37:

• Cette version contient principalement des correctifs de régression pour la version 1.4.36 et autres corrections de bugs.

Nouveautés dans la version 1.4.35:

• Cette version contient de nombreuses corrections de bogues, dont beaucoup détecté par scan.coverity.com (et plus à venir). La raison principale de cette version est un correctif pour un bogue SQL (et un chemin traversé) déclenché par des en-têtes Host: spécialement conçus (et non valides).

Nouveautés dans la version 1.4.34:

• Changements importants:
• Il existe d’importants correctifs de sécurité en attente (que vous devriez déjà avoir dans votre distribution préférée); Je suis désolé pour la publication différée (nous devrions probablement communiquer des bogues de sécurité sur notre page et sur nos listes de diffusion pour ceux qui ne suivent pas la sécurité de base).
• Nous avons mis à jour le "standard" ssl Recommandation de chaîne de chiffrement sur ssl.cipher-list = "aRSA + HIGH! 3DES + kEDH + kRSA! kSRP! kPSK"; voir ci-dessous pour les raisons détaillées.
• Avertissement de régression:
• Le correctif pour lighttpd SA-2013-01 (CVE-2013-4508, "Utilisation de suites de chiffrement potentiellement vulnérables avec SNI") inclut une régression:
• Chaque SSL_CTX est également chargé avec toutes les valeurs du fichier ssl.ca de tous les blocs de la configuration.
• Cela signifie que vos fichiers ssl.ca ne doivent pas contenir de chaînes cycliques et doivent utiliser des noms de sujet uniques.
• Voir le bogue Debian - # 729555 pour plus de détails.
• Correctifs de sécurité:
• lighttpd SA-2013-01 (CVE-2013-4508)
• lighttpd SA-2013-02 (CVE-2013-4559)
• lighttpd SA-2013-03 (CVE-2013-4560)
• Recommandation sur la chaîne de chiffrement OpenSSL:
• La recommandation relative à la chaîne de chiffrement est basée sur les meilleures pratiques de déploiement SSL / TLS de ssllabs 1.3 / 17 septembre 2013:
• BEAST est considéré comme atténué côté client maintenant et de nouvelles faiblesses ont été détectées dans RC4, il est donc fortement conseillé de désactiver les chiffrements RC4 (HIGH n'inclut pas RC4)
• Il est recommandé de désactiver 3DES également (bien que la désactivation de RC4 et 3DES interrompt IE6 + 8 sous Windows XP, vous pouvez donc prendre en charge 3DES pour l’instant - supprimez simplement les parties! 3DES et remplacez-la par 3DES! la fin pour préférer AES128 sur 3DES et désactiver la variante 3DES avec MD5).
• Les exemples ci-dessous préfèrent les suites de chiffrement avec & quot; Forward Secrecy & quot; et ECDHE sur DHE (alias EDH); retirez + kEDH + kRSA si vous ne le voulez pas.
• De toute façon, SRP et PSK ne sont pas pris en charge, à l’exclusion de ceux (! kSRP! kPSK), la liste est réduite (plus facile à réviser)
• Comme presque toutes les clés sont actuellement limitées par RSA à aRSA + HIGH, les listes sont encore plus petites. Utilisez HIGH au lieu de aRSA + HIGH pour une version plus générique.
• Non inclus exprès:
• FORCE: la liste de HIGH est déjà commandée, la réorganisation n'est pas nécessaire. FORCE préfère également 3DES à AES128.
• ! SSLv2,! EXPORT,! eNULL,! DES,! RC4,! LOW: HIGH ne devrait pas inclure ces chiffrements, pas besoin de les supprimer.
• ! MD5: HIGH pourrait inclure un chiffrement 3DES avec MD5 sur les anciens systèmes; ! 3DES devrait également supprimer le MD5.
• ! aNULL,! ADH: peu importe du côté du serveur, et les clients doivent toujours vérifier le certificat du serveur, qui échoue lorsque le serveur n'en possède pas.
• Vous pouvez vérifier la liste de chiffrement avec: openssl ciphers -v 'aRSA + HIGH! 3DES + kEDH + kRSA! kSRP! kPSK' | column -t (utilisez des guillemets simples car votre shell ne va pas aimer! entre guillemets).

Les nouveautés dans la version 1.4.33:

• Il est temps de faire des corrections; Rien de spécial, juste de nombreuses petites corrections - et de nouvelles fonctionnalités.

Nouveautés dans la version 1.4.26:

• Il y a eu des corrections de bogues importantes (analyseur de requêtes) la gestion des données d'en-tête fractionnées, une fuite de fd dans mod_cgi, une erreur de segmentation avec des configs cassés dans mod_rewrite / mod_redirect, la détection HUP et une vulnérabilité OOM / DoS).