分类网络安全下的文章 - playe玩家网-玩家官网-玩机交流学习-玩家博客

登录 / 注册

找到 12 篇与网络安全相关的结果

2025-01-30
常用“cdn”缓存后缀名分享常见图片后缀 JPEG|JPG|PNG|GIF|BMP|TIFF|SVG|WebP|RAW 我们做网站网站的时候避免不了做一些图片素材，引用外链图片的话还得保证图片失效问题，存在本地也会加重服务器的负荷，优选可以存在云储存做好分类储存，或者给网站加入内容分发cdn。让cdn的大宽带服务器缓存上图片，提高网站相应速度。常见的文件后缀 html|htm|shtml|xhtml|css|js|jpg|jpeg|png|gif|bmp|svg|ico|mp4|avi|mov|wmv|flv|mkv|mp3|wav|ogg|aac|flac|txt|doc|docx|pdf|zip|rar|tar.gz|7z|sql|mdb|db|xls|xlsx|csv|exe|dll|jar|php|py|java|log 文件后缀有很多，像论坛和博客涉及到用户上传文件，后缀需要逐渐完善，这是总结的一些文件后缀，很多都不常用，看需求添加。常用的“cdn”缓存文件后缀 js|css|txt|html|htm|yaml|xml|sql 并不是所有的文件都需要缓存的，我们需要把一些体积大的，静态文件缓存，这些就是常用的后缀文件名，可以直接抄去使用。论坛常用缓存文件后缀 ico|bmp|jpg|png|tif|gif|pcx|tga|exif|fpx|svg|psd|cdr|pcd|dxf|ufo|eps|ai|raw|wmf|webp|avif|apng|jpeg|mp3|mp4|woff2|woff|otf|ttf|gz|zip|apk|exe|webm|jpeg2000|pdf|docx|xlsx|pptx|odf|ods|odt|asp|aspx 总结附件文件，静态文件如果不大的话，还是尽量不要缓存。缓存的文件如果错误会导致显示不正常。有固定的附件目录的话可以直接用cdn缓存固定路径 m6j1lu6o.png图片

玩家网网络安全 seo # 网络安全 # 原创 # cdn # 优化 # 知识

爱坤 1月30日
0 14 0
2025-01-05
提升网站安全-访问限制篇运维圈里有句话说的好，“国内业务屏蔽海外访问，能解决你99%的问题”，这次我们就试着从这里了解一下网站访问限制的各种实现方式。在运维圈中，确实存在这样的说法，即通过屏蔽海外访问可以解决很多网络问题。这种策略通常用于优化网络性能、提高安全性或遵守法律法规。以下是几种常见的实现网站访问限制的方式： 1. 地理IP限制：通过识别访问者的IP地址，并根据IP地址的地理位置信息来限制访问。例如，可以设置规则，允许国内IP访问，而阻止海外IP。 2. DNS解析控制：通过DNS解析策略，将海外用户的请求重定向到其他服务器或直接拒绝服务。 3. 防火墙规则：在网络防火墙上设置规则，允许或拒绝特定IP地址或IP地址范围的访问。 4. 内容分发网络（CDN）：使用CDN服务，可以设置访问控制策略，根据访问者的地理位置来提供不同的内容。 5. 访问控制列表（ACL）：在网络设备上配置ACL，允许或拒绝特定IP地址的访问。 6. 反向代理：使用反向代理服务器，可以控制哪些请求被转发到后端服务器，从而实现访问控制。 7. API网关：对于API服务，可以使用API网关来控制哪些客户端可以访问API，以及他们可以访问哪些资源。 8. 用户身份验证：通过要求用户登录或提供访问令牌，可以控制只有授权用户才能访问网站。 9. 速率限制：对特定IP地址或用户进行速率限制，以防止滥用或攻击。 10. SSL/TLS加密：使用SSL/TLS加密连接，可以确保数据在传输过程中的安全性，并可能限制某些类型的网络攻击。每种方法都有其优缺点，选择合适的方法取决于网站的具体需求、安全策略和性能要求。在实际操作中，可能需要结合多种方法来实现有效的访问控制。第一步：通过DNS解析厂商进行一般情况下扫描器会针对域名进行扫描，我们可以在dns解析处做第一层防御，将海外线路解析为127.0.0.1，配置完成后海外扫描器就几乎都失效了 1 第二步：通过Nginx进行限制通过域名解析后下一步会进入CDN，WAF网站防火墙，硬件设备或直接通往源站，此时我们可以对请求进行更细的过滤，这里主要讲一下通过网站防火墙配置和Nginx配置。 1.地区访问限制前面提到的是通过DNS解析来对域名进行禁海外访问，但如果攻击者使用IP来扫描就没办法了，所以我们需要在服务器或应用上进行限制。 Nginx实现根据国家/城市进行访问限制 Nginx使用模块 ngx_http_geoip_module 来实现对国家/城市访问限制安装方式如下： 1.1 安装maxminddb library（geoip2扩展依赖） Ubuntu apt install libmaxminddb0 libmaxminddb-dev mmdb-bin Centos yum install libmaxminddb-devel -y 1.2 下载ngx_http_geoip2_module模块进入root目录，然后克隆模块 cd root && git clone https://github.com/leev/ngx_http_geoip2_module.git 1.3 把模块编译到Nginx 手工编译方式 ./configure --add-module=/root/ngx_http_geoip2_module 1.4 下载Geoip数据库模块安装成功后，还要在 Nginx 里指定数据库，位于 /usr/share/GeoIP/ 目录下，一个只有 IPv4，一个包含 IPv4 和 IPv6：数据库地址： cd /usr/local/share/GeoIP wget http://geolite.maxmind.com/download/geoip/database/GeoLite2-City.mmdb.gz wget http://geolite.maxmind.com/download/geoip/database/GeoLite2-Country.mmdb.gz 1.5 添加配置到Nginx主配置文件 geoip2 /usr/local/share/GeoIP/GeoLite2-Country.mmdb {$geoip2_data_country_code country iso_code;}map $geoip2_data_country_code $allowed_country { default yes; CN no; } 1.6 修改Nginx虚拟主机的配置文件，在server段内添加后重载nginx if ($allowed_country = yes) { return 403; } 至此配置完成

网络安全 # 网站优化 # 网络安全 # 优化 # 宝塔 # 操作面板 # 渗透

爱坤 1月5日
0 19 0
2025-01-05
ssl证书加载速度会有优劣之分吗是的，SSL证书的加载速度确实存在优劣之分，这主要取决于以下几个因素：证书类型： DV（域验证）证书：通常加载速度较快，因为它们只需要验证域名所有权，不需要额外的组织验证。 OV（组织验证）和EV（扩展验证）证书：需要更多的验证步骤，包括对组织的身份验证，因此加载速度可能稍慢。证书颁发机构（CA）：不同的CA可能提供不同级别的服务和技术支持，一些CA可能提供更快的验证和签发过程。证书链：如果证书链较长（即中间证书较多），浏览器需要下载更多的数据来构建完整的信任链，这可能会影响加载速度。证书大小：较大的证书文件（包含更多的信息或更高级的加密）可能需要更长的时间来传输和处理。网络条件：用户的网络连接速度也会影响证书的加载速度，包括服务器的响应时间和客户端到服务器的数据传输速度。服务器配置：服务器的配置，如SSL握手优化、启用OCSP Stapling、使用HTTP/2等，都会影响证书的加载速度。客户端浏览器：不同的浏览器对SSL证书的处理方式不同，这也会影响加载速度。为了优化SSL证书的加载速度，可以采取以下措施：使用DV证书，因为它们通常验证速度更快。选择提供快速签发服务的CA。精简证书链，尽可能减少中间证书的数量。使用较小的证书文件，如果可能，选择更高效的加密算法。优化服务器配置，如启用OCSP Stapling和HTTP/2。确保服务器有良好的网络连接和足够的带宽。通过这些优化措施，可以显著提高SSL证书的加载速度，从而提升网站的整体性能和用户体验。 SSL（Secure Sockets Layer）是一种安全协议，用于在Web服务器和浏览器之间建立加密连接，确保数据传输的安全性。SSL已经发展出了几个版本包括SSL 2.0、SSL 3.0、TLS 1.0、TLS 1.1、TLS 1.2和TLS 1.3。以下是这些协议的简要比较，从最新版本开始排序： TLS 1.3 - 最新且最安全的版本，提供了更快的握手过程和更强的加密算法。它旨在提高性能和安全性，同时减少握手过程中的延迟。 TLS 1.2 - 目前广泛使用的版本，提供了强大的安全性和性能。它支持多种加密算法，并且是许多现代Web服务和应用程序的默认安全协议。 TLS 1.1 - 较早的版本，提供了比TLS 1.0更好的安全性和性能。然而，由于存在已知的安全漏洞，它已经被许多现代浏览器和服务器弃用。 TLS 1.0 - 较早的TLS版本，尽管它已经被发现存在安全漏洞，但由于向后兼容性的原因，一些旧系统仍在使用它。 SSL 3.0 - 较旧的SSL版本，由于存在严重的安全漏洞，如POODLE攻击，它已经被大多数现代浏览器和服务器弃用。 SSL 2.0 - 最早的SSL版本，由于其设计上的缺陷和已知的安全问题，它已经被所有现代浏览器和服务器弃用。从最优和安全的角度来看，TLS 1.3是最佳选择，因为它提供了最新的安全特性和最快的性能。 TLS 1.2也是一个非常安全的选择，并且是目前大多数系统和服务支持的版本。SSL 3.0和SSL 2.0由于安全问题已经不再安全

网络安全

爱坤 1月5日
0 2 0
2025-01-05
简易的nginx负载均衡配置负载均衡相信很多人都知道，这里不做过多说明。配置: upstream backserver { server IP; # 后端服务器A server IP; # 后端服务器B }...负载转发 listen 80; # 监听80端口 server_name 域名; # 自己的域名 location / { proxy_pass http://backserver; # 将请求代理到上面定义的upstream proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; }...说明：节点跟负载机器数据保持一致，有数据库的站点可以采用一个数据库，比如负载机器的数据库，其他机器链接这个即可。解析负载IP即可注意：配置修改后重载配置，要学会举一反三，这个只是简单的轮询轮询策略是最基本的负载均衡方式，它会依次将请求转发到列表中的每个服务器。这样能确保每个服务器都有机会处理请求，从而提高系统的可用性和响应速度。这里有几个关键点需要注意： 1. 程序版本：确保所有服务器上运行的程序版本相同，以避免兼容性问题。 2. 静态文件：所有服务器上的静态文件（如HTML、CSS、JS、图片等）都应该一致，这样用户访问时看到的内容才不会因为服务器不同而有差异。 3. 数据库：如果应用依赖于数据库，那么所有服务器都应该访问同一个数据库实例或数据库集群，以保证数据的一致性。 4. 会话状态：如果应用需要维护用户会话状态，可能需要使用专门的会话管理机制，如会话复制或集中存储，确保用户状态在不同服务器间同步。 5. 缓存一致性：如果应用使用了缓存，需要考虑如何同步不同服务器之间的缓存数据。 6. 配置管理：使用配置管理工具（如Ansible、Puppet、Chef等）可以帮助自动化服务器配置的一致性。 7. 监控和日志：确保所有服务器的监控和日志记录设置相同，以便于管理和故障排查。保持这些方面的一致性，可以减少因服务器差异导致的问题，提高负载均衡的效果

网络安全 # 网络安全 # linux # 优化 # 操作面板 # 服务器 # vps

爱坤 1月5日
0 6 0
2025-01-04
新服务器可能遇到的安全风险 1.检测是否限制密码重复使用次数检测类型：检查密码重复使用次数限制风险等级：中危风险描述：未限制密码重复使用次数解决方案：1、配置文件备份cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth.bak 2、在【/etc/pam.d/system-auth】文件【password sufficient】后面添加或修改remember=5 2.检查是否设置无操作超时退出检测类型：检查是否设置命令行界面超时退出风险等级：中危风险描述：未配置命令行超时退出解决方案：1、在文件【/etc/profile】中添加tmout=300，等保要求不大于600秒 2、执行命令source /etc/profile使配置生效 3.检测PHP是否关闭错误提示检测类型：PHP报错误信息提示风险等级：中危风险描述：未关闭错误信息提示的PHP版本有：7.4 解决方案：1、根据风险描述，在【软件商店】-【运行环境】找到对应版本的PHP插件，在【配置修改】页面，将display_errors设置为关闭并保存 4.检测当前服务器的MySQL端口是否安全检测类型：MySQL端口安全风险等级：中危风险描述：当前MySQL端口: 3306，可被任意服务器访问，这可能导致MySQL被暴力破解，存在安全隐患解决方案：1、若非必要，在【安全】页面将MySQL端口的放行删除 2、通过【系统防火墙】插件修改MySQL端口的放行为限定IP，以增强安全性 3、使用【Fail2ban防爆破】插件对MySQL服务进行保护 5.检查重要文件是否存在suid和sgid权限检测类型：检查拥有suid和sgid权限的文件风险等级：中危风险描述：以下文件存在sid特权，chmod u-s或g-s去除sid位："/usr/bin/chage、/usr/bin/gpasswd、/usr/bin/wall、/usr/bin/chfn、/usr/bin/chsh、/usr/bin/newgrp、/usr/bin/write、/usr/sbin/usernetctl、/bin/mount、/bin/umount、/sbin/netreport" 解决方案：1、使用chmod u-s/g-s 【文件名】命令修改文件的权限 6.检查是否允许空密码sudo提权检测类型：检查是否允许空密码sudo提权风险等级：中危风险描述：以下sudo文件存在NOPASSWD标记：【/etc/sudoers.d/90-cloud-init-users】解决方案：1、打开/etc/sudoers或是/etc/sudoers.d下的文件 2、删除或注释【NOPASSWD】标记所在行 3、或者使用一键修复处理安全风险 7.检测类型：检查SSH密码修改最小间隔风险等级：中危风险描述：【/etc/login.defs】文件中把PASS_MIN_DAYS大于等于7 解决方案：1、【/etc/login.defs】 PASS_MIN_DAYS 应设置为大于等于7 2、PASS_MIN_DAYS 7 需同时执行命令设置root 密码失效时间命令如下: chage --mindays 7 root 8.检测类型：TCP-SYNcookie保护检测风险等级：低危风险描述：未开启TCP-SYNcookie保护解决方案：1、在【/etc/sysctl.conf】文件中添加net.ipv4.tcp_syncookies=1 2、然后执行命令sysctl -p生效配置

网络安全 # 网站优化 # 网络安全 # 原创 # 渗透 # 知识

爱坤 1月4日
0 5 0