কার্নেল মোড ওয়েব সার্ভার: একটি চৌকস অপ্টিমাইজেশন বা একটি সুরক্ষা দুঃস্বপ্ন?

আমি হ্যাকার নিউজ থ্রেডটি পড়ছিলাম যেখানে এক ব্যবহারকারী ২০১১ সাল থেকে একটি লিঙ্ক পোস্ট করেছেন যা ব্যাখ্যা করেছে যে আইআইএস অন্যান্য অন্যান্য (* নিক্স) ওয়েব সার্ভারের চেয়ে অনেক দ্রুত । অন্য একজন ব্যবহারকারী জবাব দেয়, ব্যাখ্যা করে যে আইটিআইএস HTTP.sys নামে একটি কার্নেল মডিউল পেয়ে এই সুবিধাটি লাভ করে । আমার জানা মতে, 2015 এর বেশিরভাগ জনপ্রিয় ওয়েব সার্ভারগুলি এটি করে না।

আমি কখনই কার্নেল মোড ওয়েব সার্ভারটি লিখতে চাই না, কারণ এটিকে সুরক্ষা শোষণমুক্ত করতে আমি কখনই নিজের উপর বিশ্বাস করতে পারি না (যা কম সুরক্ষার রিংয়ে কম গুরুতর হবে)।

সফ্টওয়্যার ইঞ্জিনিয়ারের দৃষ্টিকোণ থেকে (ওয়েব সার্ভারগুলির জন্য কোনও গ্রাহকের বিপরীতে), কার্নেল মোডে চালিত একটি স্মার্ট পারফরম্যান্স সিদ্ধান্ত? কার্নেল মোড সার্ভারকে গ্রাহকের জন্য নিট মুনাফা করার ক্ষেত্রে অ্যাপ্লিকেশন বিকাশের ক্ষেত্রে সুরক্ষা উদ্বেগ প্রশমিত করা যেতে পারে?

প্রক্সি-ফরোয়ার্ডার হিসাবে এইচটিটিপি.সাইস এত কোনও ওয়েব সার্ভার নয়। এটি অনেকগুলি ওয়েব সার্ভারগুলিকে একটি উইন্ডোজ বাক্সে সহাবস্থান করার অনুমতি দেওয়ার জন্য ডিজাইন করা হয়েছে, যাতে আপনি আইআইএস কোনও ওয়েব সাইট চালাচ্ছেন, তবে বেশ কয়েকটি ডাব্লুসিএফ পরিষেবাগুলি HTTP / REST বা SOAP ইন্টারফেসের সাথে চলতে পারে, যা সবগুলি স্ট্যান্ডার্ড পোর্টে on উইন্ডোজটিতে অল্প অল্প জিগ্লাস না করে অ্যাপাচি চালাতে পারবেন না, অ্যাপাচি এই রেজিস্ট্রেশন সিস্টেমটির সাথে কাজ করার জন্য কোনও পরিবর্তন করা হয়নি , লজ্জাজনক এটি অ্যাপ্লিকেশনগুলিতে আরও স্বচ্ছ হয়নি এবং এতে ookুকে পড়ার জন্য বেশ কিছু জটিল পরিবর্তন প্রয়োজন)।

এটি যেভাবে কাজ করে তা হ'ল আপনি এটির সাথে সম্পর্কিত ইউআরএল এবং তার সাথে সম্পর্কিত অ্যাপ্লিকেশনটি রেজিস্টার করুন, উত্তর 80 বন্দরটিতে কোনও HTTP অনুরোধ করা হলে, http.sys তা গ্রহণ করে তবে সেই URL টার্গেটটি পরিচালনা করতে যে কোনও অ্যাপ্লিকেশনটিতে নিবন্ধিত হয়ে অনুরোধটি পাস করে।

আমি সন্দেহ করি যে কার্নেল মোড ওয়েবসারটির কোনও ধারণা রয়েছে - এমনকি যদি সকেটের কার্যকারিতা এইভাবে উন্নত করা যায় তবে কোনও কার্যকর কাজ সম্পাদনের জন্য, অ্যাপ্লিকেশন যুক্তিটি এখনও ব্যবহারকারীর জায়গায় চালিত হতে চলেছে, তাই সর্বদা একটি রূপান্তর আছে - আপনি ' এটি কেবল কলস্ট্যাকের সাথে কিছুটা সরিয়ে নিয়েছে।

Http.sys শুধুমাত্র কার্নেল-মোড ওয়েব সার্ভার উপলব্ধ নয়: লিনাক্স অধীনে রয়েছে Tux । যেমন আপনি সঠিকভাবে সনাক্ত করেছেন, সুরক্ষা হ'ল এই ধরণের সার্ভারগুলির সাথে উদ্বেগ, যার ফলে টাক্সকে মূললাইন লিনাক্স কার্নেলের অন্তর্ভুক্ত করা হয়নি (এবং আমি বিশ্বাস করি যে সাম্প্রতিক কার্নেল সংস্করণগুলির জন্য আপডেট করা হয়নি)।

এর চেয়ে ভাল সমাধান হ'ল একটি অপারেটিং সিস্টেম ব্যবহার করা যা প্রক্রিয়া সুরক্ষা কার্যকর করার জন্য হার্ডওয়্যার সুরক্ষার উপর নির্ভর করে না, যেমন মাইক্রোসফ্টের এককতা: এই জাতীয় সুরক্ষা কোনও ঝুঁকি ছাড়াই কার্নেল মোড সার্ভারের দক্ষতা অর্জনের অনুমতি দেয়। দুর্ভাগ্যক্রমে, এই নীতির উপর ভিত্তি করে কোনও উত্পাদন প্রস্তুত অপারেটিং সিস্টেমগুলি ২০১৫ সালের হিসাবে উপলব্ধ নেই এবং এএফআইকে কেউই গুরুত্ব সহকারে একটির উপরও কাজ করছে না (এককত্বতা প্রকল্পটি বাতিল করা হয়েছিল)।

এইচটিটিপি.সাইস কম ঝুঁকিপূর্ণ, কারণ এটি তৃতীয় পক্ষের সরবরাহিত কোনও কাইপ চালাতে পারে না।

Http.sys কয়েকটি কাজ করে।

• এটি প্রক্সি-ফরওয়ার্ডার হিসাবে কাজ করে, তাই একাধিক প্রক্রিয়া এইচটিটিপি নাম জায়গার বিভিন্ন অংশে অনুরোধের জবাব দিতে দেয়। gbjbaanb উত্তর এটি ভাল কভার।

• এটি স্ট্যাটিক ফাইলগুলি সরাসরি উইন্ডোজ ফাইল ক্যাশে থেকে পরিবেশন করে। কোনও প্রসঙ্গের স্যুইচ নেই বলে এটি ছোট ফাইল স্ট্যাটিক ফাইলগুলির জন্য দুর্দান্ত গতিপথ সরবরাহ করে।

• এটি কোনও অ্যাপ্লিকেশন থেকে আউটপুটকে ক্যাশে করবে এটি কোনও এইচটিটিপি অনুরোধের কাছে পাঠিয়ে দেবে এবং ক্যাশেড ফলাফলটি ফিরিয়ে দেবে। অ্যাপ্লিকেশনটি ক্যাচিং কতক্ষণ চলবে (যদি থাকে) তার সম্পূর্ণ নিয়ন্ত্রণে।

HTTP.sys সাধারণ কাজগুলি খুব দ্রুত করতে ডিজাইন করা হয়েছে, ব্যবহারকারীর স্পেসে থাকা সমস্ত প্রক্রিয়াতে অন্য সবকিছু পাস করার সময়।

মন্তব্যে জবাবে ড

"কম ঝুঁকি, কারণ এটি তৃতীয় পক্ষের সরবরাহিত কোনও কোড চালাতে পারে না" - এগুলি তারা সর্বদা বলে, এবং এটি প্রায় কখনও সত্য নয়।

সমস্যাটি হ'ল আপনার মাইক্রোসফ্টকে এই প্রশ্নটি জিজ্ঞাসা করার জন্য জটিল কার্নেল কোডটি লিখতে বিশ্বাস করতে হবে, অন্যথায় আপনি ওয়েব হোস্টিংয়ের জন্য উইন্ডোজটি মোটেই ব্যবহার না করার সিদ্ধান্ত নিয়েছেন । যে কোনওভাবে কার্নেলটি কতটা জটিল তা এইচএসটিপি.সিস কার্নেল বাগের ঝুঁকিতে খুব সামান্য যোগ করে।

যদি কোনও HTTP.sys ঝুঁকি হ্রাস করে, কারণ "নিম্ন স্তরের" ওয়েব পরিবেশন এবং অ্যাপ্লিকেশন কোডের নীচে এরকম স্পষ্ট বিভাজন রয়েছে।

একটি ভাল নকশাযুক্ত সেটআপে, ওয়েব সার্ভার চালিত মেশিনটি (বা ভার্চুয়াল সার্ভার) খুব বেশি ঝুঁকির লক্ষ্য হিসাবে, বাকি নেটওয়ার্কগুলিতে খুব সীমিত অ্যাক্সেস পায় has কার্নেল বা একটি ব্যবহারকারী মোড ওয়েব সার্ভার হ্যাক হয়ে থাকলে এটি খুব সামান্য আলাদা করে তোলে, কারণ সার্ভারের নেটওয়ার্কে আর কোনও "অধিকার" না থাকা উচিত, তারপরে ওয়েব-সার্ভার ব্যবহারকারী মোড প্রক্রিয়াটির কাজটি করা দরকার।