Nghiên cứu và thực hành triểu khai dịch vụ trên web server, khái niệm ứng dụng web, tổng quan về web server, các giao thức sử dụng trên web server, các web server thông dụng, thực hành trên khai dịch vụ web server với Nginx trên ubuntu
NGHIÊN CỨU VÀ THỰC HÀNH TRIỂN KHAI DỊCH VỤ WEB SERVER Lý thuyết 1.1 Khái niệm ứng dụng web Web Application ứng dụng, thường bao gồm tập hợp script cư trú Web server tương tác với database hay nguồn nội dung động khác (dynamic content) Ứng dụng nhanh chóng sử dụng rộng rãi cho phép nhà cung cấp dịch vụ khách hàng chia sẻ vận dụng thông tin theo độc lập thông qua sở hạ tầng Internet Một vài ví dụ web application như: công cụ search, Webmail, shopping cart portal system 1.1.1 Kiến trúc Hình minh họa kiến trúc ứng dụng Web Kiến trúc ứng dụng Web tạo thành phần sau : - Web client - Web server - Web application server - Database server 1.1.2 Hoạt động ứng dụng web Quá trình hoạt động bắt đầu với yêu cầu tạo từ người dùng trình duyệt, gửi qua Internet tới web server Nếu yêu cầu nội dung tĩnh, web server tìm kiếm trả cho người dùng Nếu cần nội dung động, application server truy cập máy chủ chứa sở liệu để thực nhiệm vụ yêu cầu: cập nhật, truy vấn thông tin nằm sở liệu Sau ứng dụng Web gửi thơng tin lại cho người dùng qua trình duyệt Hình Kiến trúc ứng dụng web 1.1.3 Các vấn đề liên quan đến ứng dụng web Các ứng dụng Web phát triển từ nhiều nguồn khác nhau, nên lỗ hổng, lỗi bảo mật đa dạng Tuy vậy, ứng dụng Web chủ yếu phát triển từ nguồn sau đây: Sử dụng ứng dụng Web từ mã nguồn mở (thường gọi open source không theo dõi cập nhật vá lỗi bảo mật) Ứng dụng web phát triển từ người lập trình, mà họ khơng quan tâm nhiều thiếu kinh nghiệm việc bảo mật cho ứng dụng Họ khơng có đội ngũ chun kiểm tra lỗi bảo mật nên trang web thường có nhiều lỗ hổng Phát triển ứng dụng Web từ ứng dụng mở khác người phát triển thường không kiểm tra lỗi bảo mật ứng dụng cũ trước phát triển tiếp, nên tồn lỗi bảo mật Ngày phát triển bùng nổ Internet, nên ứng dụng web sử dụng rộng rãi nhiều lĩnh vực báo điện tử, trang giao dịch trực tuyến, trang quảng cáo điện tử, web thông tin doanh nghiệp hay phủ Chính phát triển rộng rãi nên ứng dụng web ln bị người ta tìm cách khai thác lỗ hổng với mục đích khác 1.1.4 Các thuật ngữ thường dùng a) HTTP header HTTP header phần đầu (header) thông tin mà trình khách trình chủ gửi cho Những thơng tin trình khách gửi cho trình chủ gọi HTTP requests (u cầu) cịn trình chủ gửi cho trình khách HTTP responses (trả lời) Thơng thường, HTTP header gồm nhiều dòng, dòng chứa tên tham số giá trị Một số tham số dùng header yêu cầu header trả lời, cịn số khác dùng riêng loại b) Session Session phiên làm việc Ở web, ta duyệt từ trang sang trang khác, vấn đề đặt để mang thơng tin từ trang sang trang khác (Ví dụ ta login với user A, ta sang trang x, y , z ta A) Session đời để giải vấn đề Lần đầu ta ghé thăm website, website tạo cho ta session với ID riêng, duyệt website session hết hạn Website dùng session để lưu số thông tin giúp thuận tiện duyệt website (như ví dụ trước lưu trữ thông tin người dùng login vào website ai).Việc tạo session định session hết hạn hoàn toàn server quản lý c) Cookie Cookies phần liệu nhỏ có cấu trúc chia sẻ server Web browser người dùng Cookie cung cấp cho server thông tin để nhận biết người dùng, sở thích, thói quen họ Cookies sử dụng biểu mẫu yêu cầu người dùng điền vào họ đến thăm Web site có hỗ trợ chúng Khơng phải browser hỗ trợ cookie Cookie file liệu nhỏ, 4K byte Chúng site World Wide Web tạo để truy tìm người ghé thăm site vùng mà họ qua site Cookie browser người dùng chấp nhận cho lưu đĩa cứng máy (máy khách) Trong phiên truy cập sau, server Web truy cập thông tin cookie, có tên đăng nhập password, nên người dùng làm thủ tục đăng nhập họ thăm Web site Nhưng vấn đề chỗ Web site dùng thơng tin cá nhân bạn để phục vụ cho mục đích quảng cáo Netscape Communications Corp hãng sử dụng cookie browser sau đó, Microsoft chấp nhận kỹ thuật Nhưng browser hỗ trợ cookie, đặc biệt phiên cũ Nhưng rõ ràng cookie chứa đựng nguy bảo mật Ví dụ, tay hacker ngân hàng để cookie hệ thống sửa cho tái tạo liệu máy người khác Sau đó, sử dụng liệu để truy cập account người Những trình duyệt cho phép người dùng khóa cookie xin phép họ trước lưu lại cookie hệ thống Một số phần mềm hãng thứ ba giúp quản lý cookie Nhưng người dùng, thật khó biết cookie lại có mặt hệ thống họ cookie chứa đựng thơng tin d) Proxy Proxy cung cấp cho người sử dụng truy xuất Internet nghi thức đặt biệt tập nghi thức thực thi dual_homed host basion host Những chương trình client người sử dụng qua trung gian proxy server thay cho server thật mà người sử dụng cần giao tiếp Proxy server xác định yêu cầu từ client định đáp ứng hay không đáp ứng, yêu cầu đáp ứng, proxy server kết nối với server thật thay cho client tiếp tục chuyển tiếp yêu cầu từ client đến server, trả lời server đến client Vì proxy server giống cầu nối trung gian server client - Nhờ tổ chức CA cấp, tổ chức có độ tin cậy cao, quyềncấp chứng nhận SSL - Self-signed SSL: tự server cấp, tự ký, tự xác thực (khơng an tồn vàtin tưởng nhờ bên thứ 3) Dưới cấu hình cho self-signed SSL nginx (Hình 6) Hình Cấu hình SSL nginx 2.4 Cân tải a Khái niệm Khi có hay nhiều máy chủ có chức hệ thống, sử dụng cân tải để phân phối lưu lượng truy cập tới máy chủ b Lợi ích sử dụng cân tải - Tăng khả mở rộng/thu nhỏ: Có thể tăng giảm số lượng máy server linh hoạt - Khả dự phịng: Khi có máy chủ gặp trục trặc phần cứng, yêu cầu gửi tới server khác để xử lý - Giảm thời gian bảo trì, tăng hiệu quả: Thực bảo trì server mà bảo đảm dịch vụ cung cấp - Quản lý lỗi hiệu quả: Khi phát lỗi server giảm thiểu lỗi xảy server chưa bị ảnh hưởng, giảm thiểu đổ vỡ hệ - Bảo mật cho hệ thống máy chủ: Người dùng tương tác thông qua máy chủ Cân tải không trực tiếp truy cập vào hệ thống, đặt lớp bảo mật máy chủ Cân tải c Cấu hình Hình Cấu hình cân tải cho Nginx Hình Lựa chọn thuật tốn cân tải 2.5 Stress test Có nhiều định nghĩa kiểm thử hiệu năng, kiểm thử hiệu hay performance test định nghĩa loại phần mềm kiểm thử sử dụng để đảm bảo ứng dụng phần mềm hoạt động hiệu khoảng công việc dự kiến ứng dụng Các tính chức hệ thống phần mềm mối quan tâm Hiệu ứng dụng phần mềm thời gian phản hồi (response time), độ tin cậy (reliability), sử dụng tài nguyên (resource usage) khả mở rộng (scalability) điều đáng ý Trong trọng tâm kiểm thử hiệu là: Thời gian phản hồi: xác định xem ứng dụng phản hồi nhanh hay chậm Khả mở rộng: Xác định tải người dùng tối đa mà ứng dụng phần mềm xử lý Tính ổn định: Xác định xem ứng dụng có ổn định tải khác hay không Mục tiêu Kiểm thử hiệu để tìm lỗi, hoạt động cần thiết cho việc phát triển giải pháp tối ưu hóa hiệu cho phần mềm Kiểm thử hiệu giúp tránh tình khơng lường trước triển khai ứng dụng môi trường thực tế ... dịch với đối thủ cạnh tranh Firewall phần mềm phần cứng nằm mạng để bảo vệ kiểm soát liên kết hai mạng 1. 2 Tổng quan web server 1. 2 .1. 1 Định nghĩa web server Web server gì? Có thể hiểu theo mặt... Internet Information Service (IIS) ưu tiên hàng đầu Phiên IIS 1. 0 giới thiệu cách 11 năm với Windows NT 4.0 vào năm 19 96 Đến năm 19 99, IIS 5.0 (trên Windows 2000 Server) nhanh chóng trở thành... chủ Nếu dùng chức FTP ứng dụng quản lý file (như Total Commander), bạn tiến hành tác vụ xử lý file máy chủ giống máy tính 1. 4 Các giao thức bảo mật web server 1. 4 .1 Giao thức SSL a Lịch sử phát