Serveur Apache HTTP Version 2.4
Ce document compl�te la documentation de r�f�rence des modules
mod_cache
, mod_cache_disk
,
mod_file_cache
et du programme htcacheclean.
Il d�crit l'utilisation des fonctionnalit�s de mise en
cache du serveur HTTP Apache
pour acc�l�rer les services web et proxy, tout en �vitant les probl�mes
courants et les erreurs de configuration.
Le serveur HTTP Apache offre tout un ensemble de fonctionnalit�s de mise en cache qui ont �t� con�ues pour am�liorer les performances du serveur de diff�rentes mani�res.
mod_cache
et son module de fournisseur
mod_cache_disk
proposent une mise en cache
intelligente de niveau HTTP. Le contenu proprement dit est
stock� dans le cache, et mod_cache vise � respecter tous les
en-t�tes HTTP, ainsi que les options qui contr�lent la mise en
cache du contenu comme d�crit dans la Section
13 de la RFC2616. mod_cache
peut g�rer des
configurations de mise en cache simples, mais aussi complexes
comme dans les cas o� vous avez � faire � des contenus mandat�s,
� des contenus locaux dynamiques, ou lorsque vous avez besoin
d'acc�l�rer l'acc�s aux fichiers locaux situ�s sur disque
suppos� lent.
mod_file_cache
offre la possibilit� de
pr�charger des fichiers en m�moire au d�marrage du serveur,
et peut am�liorer les temps d'acc�s et sauvegarder les
gestionnaires de fichiers pour les fichiers qui font l'objet
d'acc�s fr�quents, �vitant ainsi d'avoir � acc�der au disque
� chaque requ�te.
Pour tirer parti efficacement de ce document, les bases de HTTP doivent vous �tre famili�res, et vous devez avoir lu les sections Mise en correspondance des URLs avec le syst�me de fichiers et N�gociation sur le contenu du guide de l'utilisateur.
Modules Apparent�s | Directives Apparent�es |
---|---|
Le module mod_cache
permet de tirer avantage du
m�canisme de mise en cache en ligne faisant partie
int�grante du protocole HTTP, et d�crit dans la section
13 de la RFC2616.
A la diff�rence d'un cache simple cl�/valeur � deux �tats o� le contenu est supprim� lorsqu'il est p�rim�, un cache HTTP comporte un m�canisme permettant de conserver temporairement un contenu p�rim�, de demander au serveur original si ce contenu p�rim� a �t� modifi�, et dans le cas contraire de le rendre � nouveau valide.
Une entr�e d'un cache HTTP peut se pr�senter sous un de ces trois �tats :
Si le contenu est trop ancien (plus vieux que sa dur�e de fra�cheur), il est consid�r� comme p�rim�. Un cache HTTP doit contacter le serveur original pour v�rifier si le contenu, m�me s'il est p�rim�, est encore � jour avant de le servir au client. Soit le serveur original va r�pondre en envoyant un contenu de remplacement si le contenu p�rim� n'est plus � jour, soit dans le cas id�al il renverra un code pour signaler au cache que le contenu est encore � jour, et qu'il est inutile de le g�n�rer ou de l'envoyer � nouveau. Le contenu repasse � l'�tat "frais" et le cycle continue.
Le protocole HTTP permet au cache de servir des donn�es
p�rim�es dans certaines circonstances, comme lorsqu'une
tentative de rafra�chir une entr�e depuis un serveur original
se solde par un �chec avec un code d'erreur 5xx, ou lorsqu'une
autre requ�te est d�j� en train d'essayer de rafra�chir la m�me
entr�e. Dans ces cas, un en-t�te Warning
est ajout�
� la r�ponse.
Le fonctionnement d�taill� d'un cache HTTP est d�crit dans la Section 13 de la RFC2616.
Le module mod_cache
interagit avec le serveur
� deux niveaux possibles en fonction de la directive CacheQuickHandler
:
Cette phase se d�roule tr�s t�t au cours du traitement de la requ�te, juste apr�s l'interpr�tation de cette derni�re. Si le contenu se trouve dans le cache, il est servi imm�diatement et pratiquement tout le reste du traitement de la requ�te est court-circuit�.
Dans ce sc�nario, le cache se comporte comme s'il avait �t� "boulonn�" � l'entr�e du serveur.
Ce mode poss�de les meilleures performances car la majorit� des traitements au niveau du serveur sont court-circuit�s. Cependant, il court-circuite aussi les phases d'authentification et d'autorisation du traitement au niveau du serveur, et il doit donc �tre utilis� avec prudence lorsque que ces phases sont importantes.
Cette phase se d�roule tr�s tard au cours du traitement de la requ�te, en fait apr�s toutes les phases de ce traitement.
Dans ce sc�nario, le cache se comporte comme s'il avait �t� "boulonn�" � la sortie du serveur.
Ce mode offre la plus grande souplesse, car il permet de faire intervenir la mise en cache en un point pr�cis�ment sp�cifi� de la cha�ne de filtrage, et le contenu issu du cache peut �tre filtr� ou personnalis� avant d'�tre servi au client.
Si l'URL ne se trouve pas dans le cache,
mod_cache
ajoutera un filtre � la cha�ne de filtrage afin
d'enregistrer la r�ponse dans le cache, puis passera la main
pour permettre le d�roulement normal de la suite du traitement
de la requ�te. Si la mise en cache du contenu est autoris�e, il
sera enregistr� dans le cache pour pouvoir �tre servi � nouveau
; dans le cas contraire, le contenu sera ignor�.
Si le contenu trouv� dans le cache est p�rim�, le module
mod_cache
convertit la requ�te en
requ�te conditionnelle. Si le serveur original
renvoie une r�ponse normale, elle est enregistr�e dans le cache
en lieu et place du contenu p�rim�. Si le serveur original
renvoie une r�ponse "304 Not Modified", le contenu repasse �
l'�tat "frais" et est servi par le filtre au lieu d'�tre
sauvegard�.
Lorsqu'un serveur virtuel est connu sous la forme d'un des
nombreux alias du serveur, la d�finition de la directive
UseCanonicalName
�
On
peut augmenter de mani�re significative le nombre
de correspondances positives dans le cache. Ceci est du au fait
que la cl� du cache contient le nom d'h�te du serveur virtuel.
Avec UseCanonicalName
positionn�e
� On
,
les h�tes virtuels poss�dant plusieurs noms de serveur ou alias ne
g�n�reront pas d'entit�s de cache diff�rentes, et le contenu sera mis en
cache en faisant r�f�rence au nom d'h�te canonique.
Un contenu bien form� destin� � �tre mis en cache doit d�clarer
explicitement une dur�e de fra�cheur via les champs
max-age
ou s-maxage
de l'en-t�te
Cache-Control
, ou en incluant un en-t�te
Expires
.
De plus, un client peut passer outre la dur�e de fra�cheur
d�finie pour le serveur original en ajoutant son propre en-t�te
Cache-Control
� la requ�te. Dans ce cas, c'est la
dur�e de fra�cheur la plus basse entre la requ�te et la r�ponse
qui l'emporte.
Lorsque cette dur�e de fra�cheur est absente de la requ�te ou
de la r�ponse, une dur�e de fra�cheur par d�faut s'applique. La
dur�e de fra�cheur par d�faut des entr�es du cache est d'une heure
; elle peut cependant �tre facilement modifi�e � l'aide de
la directive CacheDefaultExpire
.
Si une r�ponse ne contient pas d'en-t�te Expires
mais
inclut un en-t�te Last-Modified
, mod_cache
peut d�duire une dur�e de fra�cheur en se basant sur une
heuristique, qui peut �tre contr�l�e via la directive CacheLastModifiedFactor
.
Pour les contenus locaux, ou les contenus distants qui ne
sp�cifient pas leur propre en-t�te Expires
,
mod_expires
permet de r�gler finement la dur�e de
fra�cheur via les param�tres max-age
et
Expires
.
On peut aussi contr�ler la dur�e de fra�cheur maximale en utilisant
la directive CacheMaxExpire
.
Lorsqu'un contenu du cache est p�rim�, httpd modifie la requ�te pour en faire une requ�te conditionnelle
Lorsque la r�ponse originale du cache contient un en-t�te
ETag
, mod_cache
ajoute un en-t�te
If-None-Match
� la requ�te envoy�e au serveur
d'origine. Lorsque la r�ponse originale du cache contient un en-t�te
Last-Modified
, mod_cache
ajoute un en-t�te
If-Modified-Since
� la requ�te envoy�e au serveur
d'origine. Dans ces deux cas, la requ�te devient une requ�te
conditionnelle.
Lorsqu'un serveur d'origine re�oit une requ�te conditionnelle, il v�rifie si le param�tre Etag ou Last-Modified a �t� modifi� en fonction des param�tres de la requ�te. Si ce n'est pas le cas, il r�pondra avec le message lapidaire "304 Not Modified". Ceci informe le cache que le contenu est p�rim� mais encore � jour, et peut �tre utilis� tel quel pour les prochaines requ�tes jusqu'� ce qu'il atteigne � nouveau sa date de p�remption.
Si le contenu a �t� modifi�, il est servi comme s'il s'agissait d'une requ�te normale et non conditionnelle.
Les requ�tes conditionnelles offrent deux avantages. D'une part, il est facile de d�terminer si le contenu du serveur d'origine correspond � celui situ� dans le cache, et ainsi d'�conomiser la consommation de ressources n�cessaire au transfert du contenu dans son ensemble.
D'autre part, un serveur d'origine bien con�u sera configur� de
telle mani�re que les requ�tes conditionnelles n�cessitent pour
leur production bien moins de ressources qu'une r�ponse compl�te.
Dans le cas des fichiers statiques, il suffit en g�n�ral d'un
appel syst�me de type stat()
ou similaire pour
d�terminer si la taille ou la date de modification du fichier a
�t� modifi�e. Ainsi, m�me un contenu local pourra �tre servi plus
rapidement depuis le cache s'il n'a pas �t� modifi�.
Il serait souhaitable que tous les serveurs d'origine supportent les requ�tes conditionnelles, car dans le cas contraire, ils r�pondent comme s'il s'agissait d'une requ�te normale, et le cache r�pond comme si le contenu avait �t� modifi� et enregistre ce dernier. Le cache se comporte alors comme un simple cache � deux �tat, o� le contenu est servi s'il est � jour, ou supprim� dans le cas contraire.
La liste compl�te des conditions n�cessaires pour qu'une r�ponse puisse �tre enregistr�e dans un cache HTTP est fournie dans la section 13.4 Response Cacheability de la RFC2616, et peut se r�sumer ainsi :
CacheEnable
et CacheDisable
.CacheIgnoreNoLastMod
ne pr�cise d'autres contraintes.CacheStorePrivate
ne pr�cise d'autres contraintes.CacheStoreNoStore
n'ait �t� utilis�e.Le client qui cr�e la requ�te ou le serveur d'origine qui
g�n�re la r�ponse doit �tre � m�me de d�terminer si le contenu
doit pouvoir �tre mis en cache ou non en d�finissant correctement
l'en-t�te Cache-Control
, et
mod_cache
sera alors en mesure de satisfaire les
souhaits du client ou du serveur de mani�re appropri�e.
Les contenus qui varient au cours du temps, ou en fonction de
particularit�s de la requ�te non prises en compte par la
n�gociation HTTP ne doivent pas �tre mis en cache. Ce type de
contenu doit se d�clarer lui-m�me "� ne pas mettre en cache" via
l'en-t�te Cache-Control
.
Si le contenu change souvent, suite par exemple � une dur�e de fra�cheur de l'ordre de la minute ou de la seconde, il peut tout de m�me �tre mis en cache, mais il est alors fortement souhaitable que le serveur d'origine supporte correctement les requ�tes conditionnelles afin que des r�ponses compl�tes ne soient pas syst�matiquement g�n�r�es.
Un contenu qui varie en fonction d'en-t�tes de requ�te fournis
par le client peut �tre mis en cache, sous r�serve d'une
utilisation appropri�e de l'en-t�te de r�ponse Vary
.
Lorsque le serveur d'origine est configur� pour servir des contenus diff�rents en fonction de la valeur de certains en-t�tes de la requ�te, par exemple pour servir une ressource en plusieurs langages � partir d'une seule URL, le m�canisme de mise en cache d'HTTP permet de mettre en cache plusieurs variantes de la m�me page � partir d'une seule URL.
Pour y parvenir, le serveur d'origine ajoute un en-t�te
Vary
pour indiquer quels en-t�tes doivent �tre pris
en compte par un cache pour d�terminer si deux variantes sont
diff�rentes l'une de l'autre.
Si par exemple, une r�ponse est re�ue avec l'en-t�te Vary suivant,
Vary: negotiate,accept-language,accept-charset
mod_cache
ne servira aux demandeurs que le contenu
mis en cache qui correspond au contenu des en-t�tes accept-language et
accept-charset de la requ�te originale.
Plusieurs variantes d'un contenu peuvent �tre mises en cache
simultan�ment ; mod_cache
utilise l'en-t�te
Vary
et les valeurs correspondantes des en-t�tes de
la requ�te sp�cifi�s dans ce dernier pour
d�terminer quelle variante doit �tre servie au client.
Le module mod_cache
s'appuie sur des
impl�mentations de stockage en arri�re-plan sp�cifiques pour g�rer
le cache ; � ce titre, mod_cache_disk
fournit le
support de la mise en cache sur disque.
En g�n�ral, le module se configure comme suit :
CacheRoot "/var/cache/apache/" CacheEnable disk / CacheDirLevels 2 CacheDirLength 1
Il est important de savoir que, les fichiers mis en cache �tant stock�s localement, la mise en cache par l'interm�diaire du syst�me d'exploitation sera en g�n�ral aussi appliqu�e � leurs acc�s. Si bien que m�me si les fichiers sont stock�s sur disque, s'il font l'objet d'acc�s fr�quents, il est probable que le syst�me d'exploitation s'appliquera � ce qu'ils soient servis � partir de la m�moire.
Pour stocker des entit�s dans le cache,
le module mod_cache_disk
cr�e une empreinte (hash) de 22
caract�res de l'URL qui a fait l'objet d'une requ�te. Cette empreinte
comprend le nom d'h�te, le protocole, le port, le chemin et tout argument
de type CGI associ� � l'URL, ainsi que les �l�ments
sp�cifi�s dans l'en-t�te Vary afin d'�tre sur que plusieurs URLs
n'interf�rent pas entre elles.
Chaque position de l'empreinte peut contenir un caract�re
choisi parmi 64 caract�res diff�rents, il y a donc
64^22 possibilit�s pour une empreinte. Par exemple, une URL peut poss�der
l'empreinte xyTGxSMO2b68mBCykqkp1w
. Cette empreinte est
utilis�e pour pr�fixer les noms de fichiers sp�cifiques � cette URL �
l'int�rieur du cache; cependant, elle est tout d'abord plac�e dans les
r�pertoires du cache selon les directives
CacheDirLevels
et
CacheDirLength
.
La directive
CacheDirLevels
d�finit le nombre de niveaux de sous-r�pertoires, et
CacheDirLength
le nombre de caract�res composant le nom des sous-r�pertoires. Dans
l'exemple donn� plus haut, l'empreinte se trouvera � :
/var/cache/apache/x/y/TGxSMO2b68mBCykqkp1w
.
Cette technique a pour but principal de r�duire le nombre de
sous-r�pertoires ou de fichiers contenus dans un r�pertoire particulier,
car le fonctionnement de la plupart des syst�mes de fichiers est ralenti
quand ce nombre augmente. Avec la valeur "1" pour la directive
CacheDirLength
,
il peut y avoir au plus 64 sous-r�pertoires � un niveau quelconque.
Avec la valeur "2", il peut y en avoir 64 * 64, etc...
A moins d'avoir une bonne raison pour ne pas le faire, l'utilisation de
la valeur "1" pour la directive
CacheDirLength
est recommand�e.
Le param�trage de la directive
CacheDirLevels
d�pend du nombre de fichiers que vous pensez stocker dans le cache.
Avec une valeur de "2" comme dans l'exemple donn� plus haut,
4096 sous-r�pertoires peuvent �tre cr��s au total. Avec 1 million de
fichiers dans le cache, cela �quivaut � environ 245 URLs mises en cache
dans chaque r�pertoire.
Chaque URL n�cessite au moins deux fichiers dans le cache. Ce sont en g�n�ral un fichier ".header", qui contient des meta-informations � propos de l'URL, comme la date de son arriv�e � expiration, et un fichier ".data" qui est la copie exacte du contenu � servir.
Dans le cas d'un contenu n�goci� via l'en-t�te "Vary", un r�pertoire ".vary" sera cr�� pour l'URL en question. Ce r�pertoire contiendra de multiples fichiers ".data" correspondant aux diff�rents contenus n�goci�s.
Le module mod_cache_disk
n'effectue aucune
r�gulation de l'espace disque utilis� par le cache, mais s'il
s'arr�te en douceur en cas d'erreur disque et se comporte alors
comme si le cache n'avait jamais exist�.
Par contre l'utilitaire htcacheclean fourni avec httpd vous permet de nettoyer le cache p�riodiquement. D�terminer la fr�quence � laquelle lancer htcacheclean et la taille souhait�e pour le cache est une t�che relativement complexe et il vous faudra de nombreux essais et erreurs pour arriver � s�lectionner des valeurs optimales.
htcacheclean op�re selon deux modes. Il peut s'ex�cuter comme d�mon r�sident, ou �tre lanc� p�riodiquement par cron. htcacheclean peut mettre une heure ou plus pour traiter de tr�s grands caches (plusieurs dizaines de Gigaoctets) et si vous l'ex�cutez � partir de cron, il vous est conseill� de d�terminer la dur�e typique d'un traitement, afin d'�viter d'ex�cuter plusieurs instances � la fois.
Il est aussi conseill� d'attribuer un niveau de priorit� "nice" appropri� � htcacheclean de fa�on � ce qu'il n'effectue pas trop d'acc�s disque pendant le fonctionnement du serveur.
Figure 1: Croissance
typique du cache / s�quence de nettoyage.
Comme mod_cache_disk
ne tient pas compte de l'espace
utilis� dans le cache, vous devez vous assurer que
htcacheclean est configur� de
fa�on � laisser suffisamment d'"espace de croissance"
� la suite d'un nettoyage.
Modules Apparent�s | Directives Apparent�es |
---|---|
Le serveur HTTP Apache fournit un cache d'objets partag�s de bas niveau pour la mise en cache d'informations comme les sessions SSL ou les donn�es d'authentification dans l'interface socache.
Pour chaque impl�mentation un module suppl�mentaire est fourni qui offre les services d'arri�re-plan suivants :
mod_socache_dbm
mod_socache_dc
mod_socache_memcache
mod_socache_shmcb
Modules Apparent�s | Directives Apparent�es |
---|---|
Le module mod_authn_socache
permet la mise en
cache des donn�es issues d'une authentification, diminuant ainsi
la charge des serveurs d'authentification en arri�re-plan.
Modules Apparent�s | Directives Apparent�es |
---|---|
Le module mod_ssl
utilise l'interface
socache
pour fournir un cache de session et un cache
de base.
Modules Apparent�s | Directives Apparent�es |
---|---|
Sur les plateformes o� le syst�me de fichiers peut �tre lent, ou lorsque les descripteurs de fichiers sont gourmands en ressources, il est possible de pr�charger des fichiers en m�moire au d�marrage du serveur.
Sur les syst�mes o� l'ouverture des fichiers est lente, il est possible d'ouvrir le fichier au d�marrage du serveur et de mettre en cache le descripteur de fichier. Ces options peuvent vous aider sur les syst�mes o� l'acc�s aux fichiers statiques est lent.
Le processus d'ouverture d'un fichier peut �tre en soi une source de ralentissement, en particulier sur les syst�mes de fichiers sur le r�seau. httpd permet d'�viter ce ralentissement en maintenant un cache des descripteurs de fichiers ouverts pour les fichiers souvent servis. Actuellement, httpd fournit une seule impl�mentation de mise en cache des descripteurs de fichiers.
La forme la plus basique de mise en cache que propose httpd
est la mise en cache des descripteurs de fichiers fournie par le
module mod_file_cache
. Plut�t que de mettre en
cache le contenu des fichiers, ce cache maintient une table des
descripteurs de fichiers ouverts. Les fichiers devant faire
l'objet d'une mise en cache de ce type sont sp�cifi�s dans le
fichier de configuration via la directive CacheFile
.
La directive CacheFile
informe httpd
qu'il doit ouvrir le fichier lors de son d�marrage et qu'il doit
r�utiliser le descripteur de fichier mis en cache pour tous les
acc�s futurs � ce fichier.
CacheFile /usr/local/apache2/htdocs/index.html
Si vous d�sirez mettre en cache un grand nombre de fichiers de cette mani�re, vous devez vous assurer que le nombre maximal de fichiers ouverts pour votre syst�me d'exploitation est d�fini � une valeur suffisante.
Bien que l'utilisation de la directive CacheFile
n'entra�ne pas de
mise en cache du contenu du fichier proprement dit, elle
implique que si le fichier est modifi� pendant l'ex�cution du
serveur, ces modifications ne seront pas prises en compte. Le
fichier sera toujours servi dans l'�tat o� il se trouvait au
moment du d�marrage du serveur.
Si le fichier est supprim� pendant l'ex�cution du serveur, ce dernier conservera le descripteur de fichier ouvert associ� et servira le fichier dans l'�tat o� il se trouvait au moment du d�marrage du serveur. Cela signifie aussi que m�me si le fichier a �t� supprim�, et n'appara�t donc plus dans le syst�me de fichiers, l'espace disque lib�r� ne sera disponible qu'une fois le serveur httpd arr�t� et donc le descripteur de fichier ferm�.
Servir un contenu directement depuis la m�moire syst�me est universellement reconnu comme la m�thode la plus rapide. Lire des fichiers depuis un contr�leur de disque ou pire, depuis un r�seau distant est plus lent de plusieurs ordres de grandeur. Les contr�leurs de disque r�alisent en g�n�ral des op�rations m�caniques, et l'acc�s au r�seau est limit� par la bande passante dont vous disposez. Par contre, les temps d'acc�s � la m�moire sont de l'ordre de la nano-seconde.
Cependant la m�moire syst�me n'est pas bon march�; � capacit� �gale, c'est de loin le type de stockage le plus co�teux et il est important de s'assurer qu'elle est utilis�e efficacement. Le fait de mettre en cache des fichiers en m�moire diminue d'autant la quantit� de m�moire syst�me disponible. Comme nous le verrons plus loin, ce n'est pas un probl�me en soi dans le cas de la mise en cache par l'interm�diaire du syst�me d'exploitation, mais si l'on utilise la mise en cache en m�moire propre � httpd, il faut prendre garde � ne pas allouer trop de m�moire au cache. Sinon le syst�me sera contraint d'utiliser le swap, ce qui d�gradera sensiblement les performances.
Dans la plupart des syst�mes d'exploitation modernes, c'est le noyau qui g�re directement la mise en cache en m�moire des donn�es relatives aux fichiers. C'est une fonctionnalit� puissante, et les syst�mes d'exploitation s'en acquittent fort bien pour la plus grande partie. Consid�rons par exemple, dans le cas de Linux, la diff�rence entre le temps n�cessaire � la premi�re lecture d'un fichier et le temps n�cessaire � sa deuxi�me lecture;
colm@coroebus:~$ time cat testfile > /dev/null real 0m0.065s user 0m0.000s sys 0m0.001s colm@coroebus:~$ time cat testfile > /dev/null real 0m0.003s user 0m0.003s sys 0m0.000s
M�me pour ce petit fichier, il y a une grande diff�rence entre les temps n�cessaires pour lire le fichier. Ceci est du au fait que le noyau a mis en cache le contenu du fichier en m�moire.
Du fait de toujours pouvoir disposer de m�moire syst�me, vous pouvez �tre assur� qu'il y aura de plus en plus de contenus de fichiers stock�s dans ce cache. Ceci peut s'av�rer une m�thode de mise en cache en m�moire tr�s efficace, et ne n�cessite aucune configuration suppl�mentaire de httpd.
De plus, comme le syst�me d'exploitation sait si des fichiers ont �t� supprim�s ou modifi�s, il peut effacer automatiquement des contenus de fichiers du cache lorsque cela s'av�re n�cessaire. Ceci constitue un gros avantage par rapport � la mise en cache en m�moire de httpd qui n'a aucune possibilit� de savoir si un fichier a �t� modifi�.
En d�pit des performances et des avantages de la mise en cache automatique par le syst�me d'exploitation, la mise en cache en m�moire peut �tre effectu�e plus efficacement par httpd dans certaines circonstances.
La directive MMapFile
fournie par le module mod_file_cache
vous permet de
demander � httpd de charger un contenu de fichier statique en m�moire
lors de son d�marrage (� l'aide de l'appel
syst�me mmap). httpd
utilisera le contenu charg� en m�moire pour satisfaire ult�rieurement
toutes les demandes d'acc�s � ce fichier.
MMapFile /usr/local/apache2/htdocs/index.html
Comme dans le cas de la directive
CacheFile
, toute
modification du fichier ne sera plus prise en compte par httpd une fois
ce dernier d�marr�.
La directive
MMapFile
ne gardant
pas la trace de la quantit� de m�moire qu'elle alloue, vous devez prendre
garde de ne pas en abuser. Chaque processus enfant de httpd utilisant
sa propre r�plique de la m�moire allou�e, il est donc d'une importance
critique de s'assurer que les fichiers charg�s ne sont pas d'une taille
trop importante afin d'�pargner au syst�me l'utilisation du swap.
Utiliser mod_cache
revient sensiblement � la m�me
chose qu'avoir un mandataire inverse int�gr� (reverse-proxy). Les requ�tes
seront servies par le module de mise en cache sauf si ce dernier
d�termine qu'un processus d'arri�re-plan doit �tre appel�. La mise en
cache de ressources locales modifie consid�rablement le mod�le de
s�curit� de httpd.
Comme le parcours de la hi�rarchie d'un syst�me de fichiers pour
examiner le contenu d'�ventuels fichiers
.htaccess
serait une op�ration tr�s co�teuse en ressources,
annulant partiellement de ce fait l'int�r�t de la mise en cache
(acc�l�rer le traitement des requ�tes),
mod_cache
ne se pr�occupe pas de savoir s'il a
l'autorisation de servir une entit� mise en cache. En d'autres termes,
si mod_cache
a mis en cache un certain contenu, ce
dernier sera servi � partir du cache tant qu'il ne sera pas arriv� �
expiration.
Si par exemple, votre configuration autorise l'acc�s � une ressource
en fonction de l'adresse IP, vous devez vous assurer que ce contenu n'est
pas mis en cache. Ceci est possible en utilisant la directive
CacheDisable
, ou le module
mod_expires
. Livr� � lui-m�me,
mod_cache
- pratiquement comme un mandataire inverse -
mettrait en cache le contenu lors de son service, et le servirait ensuite
� tout client, vers n'importe quelle adresse IP.
Lorsque la directive CacheQuickHandler
est d�finie �
Off
, toutes les phases du traitement de la requ�te
sont ex�cut�es et le mod�le de s�curit� reste le m�me.
Etant donn� que les requ�tes des utilisateurs finaux peuvent �tre servies depuis le cache, ce dernier est une cible potentielle pour ceux qui veulent d�figurer un contenu ou interf�rer avec lui. Il est important de garder � l'esprit que l'utilisateur sous lequel tourne httpd doit toujours avoir l'acc�s en �criture dans le cache. Ceci est en contraste total avec la recommandation usuelle d'interdire � l'utilisateur sous lequel tourne Apache l'acc�s en �criture � tout contenu.
Si l'utilisateur sous lequel tourne Apache est compromis,
par exemple � cause d'une
faille de s�curit� dans un processus CGI, il est possible que le cache
fasse l'objet d'une attaque. Il est relativement ais� d'ins�rer ou de
modifier une entit� dans le cache en utilisant le module
mod_cache_disk
.
Cela repr�sente un risque relativement �l�v� par rapport aux autres
types d'attaques qu'il est possible de mener sous l'utilisateur apache.
Si vous utilisez mod_cache_disk
, vous devez garder ceci
� l'esprit : effectuez toujours les mises � jour de
httpdquand des
correctifs de s�curit� sont annonc�s et ex�cutez les processus CGI sous
un utilisateur autre qu'apache en utilisant
suEXEC dans la mesure du possible.
Si vous utilisez httpd comme serveur mandataire avec mise en cache, vous vous exposez aussi � un �ventuel "Empoisonnement du cache" (Cache poisoning). L'empoisonnement du cache est un terme g�n�ral pour d�signer les attaques au cours desquelles l'attaquant fait en sorte que le serveur mandataire renvoie � un contenu incorrect (et souvent ind�sirable) suite � en provenance du serveur d'arri�re-plan.
Par exemple, si les serveur DNS qu'utilise votre syst�me o� tourne httpd sont vuln�rables � l'empoisonnement du cache des DNS, un attaquant pourra contr�ler vers o� httpd se connecte lorsqu'il demande un contenu depuis le serveur d'origine. Un autre exemple est constitu� par les attaques ainsi nomm�es "Dissimulation de requ�tes HTTP" (HTTP request-smuggling).
Ce document n'est pas le bon endroit pour une discussion approfondie � propos de la Dissimulation de requ�tes HTTP (utilisez plut�t votre moteur de recherche favori); il est cependant important de savoir qu'il est possible d'�laborer une s�rie de requ�tes, et d'exploiter une vuln�rabilit� d'un serveur web d'origine de telle fa�on que l'attaquant puisse contr�ler enti�rement le contenu renvoy� par le mandataire.
Le m�canisme utilis� via l'en-t�te Vary permet de mettre en
cache simultan�ment plusieurs variantes d'une ressource avec la
m�me URL. Le cache s�lectionne la variante correcte � envoyer au
client en fonction des valeurs d'en-t�te fournies par ce dernier.
Ce m�canisme peut devenir un probl�me lorsqu'on tente d'appliquer
le m�canisme des variantes � un en-t�te connu pour pouvoir
poss�der un grand nombre de valeurs
possibles en utilisation normal, comme par exemple l'en-t�te
User-Agent
. En fonction de la popularit� du site web,
des milliers ou m�me des millions d'entr�es de cache dupliqu�es
peuvent �tre cr��es pour la m�me URL, submergeant les autres
entr�es du cache.
Dans d'autres cas, il peut �tre n�cessaire de modifier l'URL
d'une ressource particuli�re � chaque requ�te, en g�n�ral en lui
ajoutant une cha�ne "cachebuster". Si ce contenu est d�clar� comme
pouvant �tre mis en cache par un serveur avec une dur�e de
fra�cheur significative, ces entr�es peuvent submerger les entr�es
l�gitimes du cache. Alors que mod_cache
fournit
une directive CacheIgnoreURLSessionIdentifiers
,
cette derni�re doit �tre utilis�e avec prudence pour s'assurer que
les caches du navigateur ou du mandataire le plus proche
(downstream proxy) ne sont pas victimes du m�me probl�me de D�ni de
service.