VPS部署网站前准备工作

已于 2024-08-06 10:58:27 修改
阅读量445 收藏 6
点赞数 5
分类专栏: VPS 相关 文章标签: css 前端 linux centos
于 2024-06-02 23:43:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41923691/article/details/139397335
版权

文章目录

前言

基于宝塔面板

一、配置防火墙

1. Nginx免费防火墙

全局配置

  • 403 页面:
<!doctype html>
<html>
    <head>
        <meta charset="utf-8">
        <title>403 Forbidden</title>
        <style>
            @import url("https://fonts.googleapis.com/css?family=Press+Start+2P");html, body {width: 100%;height: 100%;margin: 0;}* {font-family: 'Press Start 2P', cursive;box-sizing: border-box;}#app {padding: 1rem;background: black;display: flex;height: 100%;justify-content: center;align-items: center;color: #54FE55;text-shadow: 0px 0px 10px;font-size: 6rem;flex-direction: column;}#app .txt {font-size: 1.8rem;}@keyframes blink {0% {opacity: 0;}49% {opacity: 0;}50% {opacity: 1;}100% {opacity: 1;}}.blink {animation-name: blink;animation-duration: 1s;animation-iteration-count: infinite;}
        </style>
    </head>
    <body>
        <div id="app">
            <div>403</div>
            <div class="txt">
                Forbidden<span class="blink">_</span>
            </div>
        </div>
    </body>
</html>
  • 404 页面:
<!doctype html>
<html>
    <head>
        <meta charset="utf-8">
        <title>404 Not Found</title>
        <style>
            body{display:flex;flex-flow:row wrap;align-content:center;justify-content:center}
            div{width:100%;text-align:center}
            .number{background:#fff;position:relative;font:900 30vmin "Consolas";letter-spacing:5vmin;text-shadow:2px -1px 0 #000,4px -2px 0 #0a0a0a,6px -3px 0 #0f0f0f,8px -4px 0 #141414,10px -5px 0 #1a1a1a,12px -6px 0 #1f1f1f,14px -7px 0 #242424,16px -8px 0 #292929}
            .number::before{background-color:#673ab7;background-image:radial-gradient(closest-side at 50% 50%,#ffc107 100%,rgba(0,0,0,0)),radial-gradient(closest-side at 50% 50%,#e91e63 100%,rgba(0,0,0,0));background-repeat:repeat-x;background-size:40vmin 40vmin;background-position:-100vmin 20vmin,100vmin -25vmin;width:100%;height:100%;mix-blend-mode:screen;-webkit-animation:moving 10s linear infinite both;animation:moving 10s linear infinite both;display:block;position:absolute;content:""}
            @-webkit-keyframes moving{to{background-position:100vmin 20vmin,-100vmin -25vmin}
            }@keyframes moving{to{background-position:100vmin 20vmin,-100vmin -25vmin}
            }.text{font:400 5vmin "Courgette"}
            .text span{font-size:10vmin}
        </style>
    </head>
    <body>
        <div id="app">
            <div class="number">404</div>
            <div class="text">
                <span>Ooops...</span>
                <br>page not found
            </div>
        </div>
    </body>
</html>

  • 规则覆盖:
    1.下载规则包,备份原规则 /www/server/free_waf/rule/www/server/free_waf/rule.bak
    2.将下载的规则包解压到 /www/server/free_waf/rule

  • 拦截 Censys
    1.将 Censys IP 添加到黑名单,或直接导入:
    2.User-Agent 拦截添加 (censys|Censys)

附 Censys 的 IP 导入数据

206.168.34.0-206.168.34.255
199.45.155.0-199.45.155.255
199.45.154.0-199.45.154.255
167.248.133.0-167.248.133.255
167.94.146.0-167.94.146.255
167.94.145.0-167.94.145.255
167.94.138.0-167.94.138.255
162.142.125.0-162.142.125.255

站点配置

  • 网站启用了 CDN 记得把 CDN 勾选
  • 附启用 CDN 后获取真实 IP 的 nginx 配置:
server {
  ...
  #获取cdn真实ip
  set_real_ip_from 0.0.0.0/0;
  real_ip_header X-Forwarded-For;
  ...
}

2. 宝塔防火墙

Censys IP 添加到黑名单

二、禁止 IP 直接访问

1. 添加自签证书

添加一张自签证书,不能颁发给自己的域名

mkdir -p /www/server/panel/vhost/cert/default
vi /www/server/panel/vhost/cert/default/ban.pem

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

vi /www/server/panel/vhost/cert/default/ban.key

-----BEGIN PRIVATE KEY-----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-----END PRIVATE KEY-----

2. Nginx 默认配置

添加以下内容:

server
{
    listen 80;
    listen 443 ssl ;
    listen 443 quic;
    listen [::]:443 ssl;
    listen [::]:443 quic;
    listen [::]:80;
    server_name _;

    return 444;

    #SSL-START SSL相关配置,请勿删除或修改下一行带注释的404规则
    #error_page 404/404.html;
    ssl_certificate    /www/server/panel/vhost/cert/default/ban.pem;
    ssl_certificate_key    /www/server/panel/vhost/cert/default/ban.key;
    ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
    ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
    ssl_prefer_server_ciphers on;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;
    add_header Strict-Transport-Security "max-age=31536000";
    add_header Alt-Svc 'quic=":443"; h3=":443"; h3-29=":443"; h3-27=":443";h3-25=":443"; h3-T050=":443"; h3-Q050=":443";h3-Q049=":443";h3-Q048=":443"; h3-Q046=":443"; h3-Q043=":443"';
    error_page 497  https://$host$request_uri;
}

宝塔在添加任意站点后会自动生成一个 0.default.conf
位于 /www/server/panel/vhost/nginx/0.default.conf
可能会和上面的默认 nginx 配置冲突,解决方案有两种:

  1. 0.default.conf 文件内容全部注释
  2. 0.default.conf 里的内容替换成上面的配置,但要确保默认配置里包含
    include /www/server/panel/vhost/nginx/*.conf;

重启 nginx

三、 PhpMyAdmin

  • 非必要不要启用公共访问权限
  • 最好更换掉默认的 888 端口
buffcow
关注
专栏目录
利用nginx宝塔免费防火墙实现禁止国外IP访问网站
猿小白的博客
01-25 2136
本章教程,主要介绍,如何利用nginx宝塔面板中的插件免费防火墙,实现一键禁止国外IP访问网站
将群晖部署到托管服务器上
cava15的博客
08-10 390
群晖,可以直接部署在云端,即托管服务器上面,省电,24小时在线
服务器被攻击,我的网站没有挂,ip限流,nginx免费防火墙
qq_41200621的博客
09-15 248
通过pm2 monit命令在后台看到有一个ip在不停的请求我的音频接口,我赶紧停掉了我的这个服务,可是这个人不知道是从什么时候就开始攻击我的网站,不知道为什么,我的宝塔免费的防火墙并没有拦截到这个人的请求,我设置的是10秒内超过5次就封所这个人的ip理论上是不会造成请求过多的。9月12号下午3点,我看到微信群里面说我的小程序音乐不能播放了,我打开我的也是一样报错,我就立即打开了宝塔面板,看到我的服务器遭到个人ip疯狂请求,由于我在宝塔里面配置了这些,能拿到用户的ip地址。
【宝塔面板防火墙设置】宝塔面板防火墙怎么设置 可以有效抵御部分CC攻击
m0_74399178的博客
04-24 862
好的教程开始 我们这次是宝塔面板里面那个免费的防火墙设置教程 搭建看图 (服务器推荐 www.46yun.com)第三步就是 我们打开下面那个 全局配置 去设置防CC规则 按照以下图片设置 点击应用就好了。第二步开始 : 安装完防火墙以后我们 打开这个插件的 设置 看图 打开防火墙。第一步 : 应用商店 搜索防火墙 安装图中那个免费防火墙
nginx防火墙在哪设置_想免费还要网站安全 可以考虑这个防火墙
weixin_39628186的博客
12-22 2426
宝塔面板免费nginx防火墙是宝塔面板为用户提供的免费使用的防火墙,仅限 nginx服务使用。大家都知道我们的网站暴露在互联网中,如果不安装一个防火墙就要裸奔,面对各种入侵、CC/DDOS攻击、渗透、恶意上传等等,服务器容易被各路人马打出千疮百孔。所以老魏会在本文中分享关于宝塔面板免费nginx防火墙安装使用的图文教程。之写过类似宝塔面板免费版Nginx防火墙插件如何安装部署,写的太简...
【Cloudcone】以ipv6登录VPS设置防火墙
风高秋月白,雨霁晚霞红
01-30 3738
使用Cloudcone的ipv6地址登录VPS设置防火墙
云服务器部署k3s
qq_23138349的博客
12-03 1537
云服务器部署k3s并使用docker作为默认容器 准备k3s的相关文件,这里我都放在百度网盘了,也可以去Github下载最新文件 下载地址:https://pan.baidu.com/s/1r-XAAE9Or3_kep2Mue5I8g 提取码:4xyk 上传文件到服务器 安装docker(master和agent节点都需要) 参考:https://www.chenmx.net/?p=31 设置hostname...
1Panel速成技巧:轻松部署Ollama WebUI Docker版
qq_44103359的博客
05-23 702
通过以上步骤,您已经成功使用1Panel部署了Ollama WebUI。现在,您可以开始使用这个基于Llama模型的文本生成服务了。1Panel的直观界面和Docker的强大功能使整个部署过程变得简单而高效。
Stable Diffusion 云服务部署
愚者不惑的博客
05-19 341
Stable Diffusion 云服务部署教程。
网页建站部署萌新向详细教程 - 让别人访问你的主页非常简单
LoliJa的博客
08-18 7186
目录 写在面 为什么想到写部署教程 不讲什么、会讲什么 置 网页部署基本概念 服务器 域名 DNS服务 详细部署流程实例 Step 0. 准备静态网页 本地网页编写 示例 Step 1. 租借虚拟主机 进入Vultr官网注册充值 购买租借套餐 等待主机配置完毕 查看服务器设置并获取密码 Step 2. 搭建后端、上传网页 登入服务器端 打开服务...
宝塔面板防火墙安装和使用教程详解
yundashi168.com
07-03 5652
宝塔面板防火墙主要有Nginx防火墙,Apache防火墙。你的网站是采用LNMP开发环境安装的,那你就使用Nginx防火墙。如果你网站环境是LAMP搭建的,那就使用Apache防火墙。现在绝大多数网站都是用Nginx(LNMP)搭建的,所以大部分使用Nginx防火墙。宝塔面板网站防火墙是基于nginx/apache模块开发的一套应用层防火墙,能有效阻止大部分渗透攻击,且提供高度自由的规则自定义功能,为站点加一道铜墙铁壁。主要目的是从源头阻止站点被挂马的事情发生。目宝塔官网和官方论坛一直都在使用宝塔网站防火
Nginx使用Lua编写简易防火墙防止CC攻击
zzsxxy的专栏
05-30 330
首先保证你的Nginx的Lua模块正常安装,如果没有安装,请百度一下【Nginx安装lua-nginx-module】服务器性能很菜,麻烦大哥扫描能不能加上点限制,比如每秒扫一次之类的。日志分析,网站遭到了锲而不舍的CC扫描。注意:/nginx/waf这个目录要替换成你保存防火墙程序的目录。查看日志,惊呆了,这样一个小站点居然产生了1G多的日志?我们对服务器进行一些改造吧!保存,重载Nginx,你的防火墙已经生效了。接着,写一个配置文件:cc.conf。天,服务器突然异常高负荷运行。
宝塔的安全防范-服务器防火墙配置经验分享
惠惠软件
03-09 1694
大多数企业认为防火墙是一种成熟的技术,且通常安全专家也不会过多考虑防火墙。在审计或评估防火墙时,企业通常只是简单地勾选表明防火墙在保护网络的选项就完事。 测量防火墙的整体效能,而了解防火墙有效性的唯一方法是查看丢弃数据包的数量。毕竟,部署防火墙的原因是让它阻止应该被阻止的流量。基于这个评估,企业需要回答这个问题:“防火墙每天有多少丢弃数据包,如果出现异常情况,防火墙能否检测得到。 关于宝塔、防火墙网站搭建、小程序制作等,大家如果有需要帮忙的,就请联系我们吧。
开源免费的WEB应用防火墙
云博客_资源宝分享
02-10 3120
开源免费的WEB应用防火墙
Nginx 实战:Firewalld防火墙
qq_33240556的博客
03-25 660
在使用Nginx的同时,往往还需要配合防火墙设置来确保服务器的安全性。Firewalld是Linux系统中的一款动态防火墙管理工具,在Linux发行版如RHEL/CentOS 7及其之后的版本中作为默认防火墙守护程序。
网站服务器使用宝塔面板必须要做的几项配置要点
草根博客站长明月登楼的CSDN博客
05-10 3302
大家要明白的是宝塔面板最大的优点就是让新手可以方便的部署和使用 Linux 服务器来运行我们的站点,但要想更加的安全宝塔面板能力有限,这并不是宝塔的错,只能说是黑客技术的问题,所以说并不是用了宝塔面板让网站上线就可以高枕无忧了,就现在的网络安全趋势,我们还是要更多的加强安全防御意识的。
宝塔面板Nginx防火墙安装
特网云计算
05-10 1681
这不同于CC防御,恶意请求有可能是SQL注入、XSS等恶意传参、CC,当此IP的访问行为达到了设置的阈值,nginx防火墙就会做出封锁动作。比如:POST渗透、GET渗透、CC攻击、恶意User-Agent、Cookie渗透、恶意扫描、恶意HEAD请求、网址自定义拦截、网址保护、恶意文件上传、禁止的扩展名、禁止PHP脚本等信息。宝塔Linux面板专业版的nginx防火墙试用了一下,发现功能还是很丰富的,使用起来也很简单,这篇文章就来说说收费版的Nginx防火墙如何设置,算是给初次设置的同学一个参考。
保护你的 Linux VPS:入门指南
rubys007的博客
02-12 1342
掌控自己的 Linux 服务器是一个尝试新事物并利用强大平台的机会。然而,Linux 服务器管理员必须像对待任何网络连接的机器一样谨慎,以保持其安全性和稳定性。有许多不同的安全主题属于“Linux 安全”这一总类,并且对于 Linux 服务器的适当安全级别有许多不同的看法。最重要的是,你将不得不自行决定哪些安全保护措施是必要的。在这之,你应该意识到风险和权衡,并决定对于你来说,可用性和安全性之间的平衡是合理的。本文旨在帮助你了解 Linux 服务器环境中一些最常见的安全措施。
利用Nginx可视化管理工具+Cpolar实现本地服务远程访问
沐雨风栉
10-19 679
openGauss是一款开源关系型数据库管理系统,采用木兰宽松许可证v2发行。openGauss内核深度融合华为在数据库领域多年的经验,结合企业级场景需求,持续构建竞争力特性.结合cpolar 内网穿透工具,即可实现远程访问本地openGauss,实现远程访问,下面介绍从Linux安装到远程访问的方式.
VPS部署Viper,请确认VPS防火墙开放了60000端口及后续监听需要的端口
最新发布
10-01
为了部署Viper并让它正常工作,你需要做以下几个步骤: 1. **打开60000端口**: 在VPS防火墙规则里,添加一条策略来允许来自任何来源的TCP连接到60000端口。命令行通常会像这样配置(取决于你的防火墙软件,如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

buffcow

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值