标签网站优化下的文章 - playe玩家网-玩家官网-玩机交流学习-玩家博客

登录 / 注册

找到 6 篇与网站优化相关的结果

2025-01-05
提升网站安全-访问限制篇运维圈里有句话说的好，“国内业务屏蔽海外访问，能解决你99%的问题”，这次我们就试着从这里了解一下网站访问限制的各种实现方式。在运维圈中，确实存在这样的说法，即通过屏蔽海外访问可以解决很多网络问题。这种策略通常用于优化网络性能、提高安全性或遵守法律法规。以下是几种常见的实现网站访问限制的方式： 1. 地理IP限制：通过识别访问者的IP地址，并根据IP地址的地理位置信息来限制访问。例如，可以设置规则，允许国内IP访问，而阻止海外IP。 2. DNS解析控制：通过DNS解析策略，将海外用户的请求重定向到其他服务器或直接拒绝服务。 3. 防火墙规则：在网络防火墙上设置规则，允许或拒绝特定IP地址或IP地址范围的访问。 4. 内容分发网络（CDN）：使用CDN服务，可以设置访问控制策略，根据访问者的地理位置来提供不同的内容。 5. 访问控制列表（ACL）：在网络设备上配置ACL，允许或拒绝特定IP地址的访问。 6. 反向代理：使用反向代理服务器，可以控制哪些请求被转发到后端服务器，从而实现访问控制。 7. API网关：对于API服务，可以使用API网关来控制哪些客户端可以访问API，以及他们可以访问哪些资源。 8. 用户身份验证：通过要求用户登录或提供访问令牌，可以控制只有授权用户才能访问网站。 9. 速率限制：对特定IP地址或用户进行速率限制，以防止滥用或攻击。 10. SSL/TLS加密：使用SSL/TLS加密连接，可以确保数据在传输过程中的安全性，并可能限制某些类型的网络攻击。每种方法都有其优缺点，选择合适的方法取决于网站的具体需求、安全策略和性能要求。在实际操作中，可能需要结合多种方法来实现有效的访问控制。第一步：通过DNS解析厂商进行一般情况下扫描器会针对域名进行扫描，我们可以在dns解析处做第一层防御，将海外线路解析为127.0.0.1，配置完成后海外扫描器就几乎都失效了 1 第二步：通过Nginx进行限制通过域名解析后下一步会进入CDN，WAF网站防火墙，硬件设备或直接通往源站，此时我们可以对请求进行更细的过滤，这里主要讲一下通过网站防火墙配置和Nginx配置。 1.地区访问限制前面提到的是通过DNS解析来对域名进行禁海外访问，但如果攻击者使用IP来扫描就没办法了，所以我们需要在服务器或应用上进行限制。 Nginx实现根据国家/城市进行访问限制 Nginx使用模块 ngx_http_geoip_module 来实现对国家/城市访问限制安装方式如下： 1.1 安装maxminddb library（geoip2扩展依赖） Ubuntu apt install libmaxminddb0 libmaxminddb-dev mmdb-bin Centos yum install libmaxminddb-devel -y 1.2 下载ngx_http_geoip2_module模块进入root目录，然后克隆模块 cd root && git clone https://github.com/leev/ngx_http_geoip2_module.git 1.3 把模块编译到Nginx 手工编译方式 ./configure --add-module=/root/ngx_http_geoip2_module 1.4 下载Geoip数据库模块安装成功后，还要在 Nginx 里指定数据库，位于 /usr/share/GeoIP/ 目录下，一个只有 IPv4，一个包含 IPv4 和 IPv6：数据库地址： cd /usr/local/share/GeoIP wget http://geolite.maxmind.com/download/geoip/database/GeoLite2-City.mmdb.gz wget http://geolite.maxmind.com/download/geoip/database/GeoLite2-Country.mmdb.gz 1.5 添加配置到Nginx主配置文件 geoip2 /usr/local/share/GeoIP/GeoLite2-Country.mmdb {$geoip2_data_country_code country iso_code;}map $geoip2_data_country_code $allowed_country { default yes; CN no; } 1.6 修改Nginx虚拟主机的配置文件，在server段内添加后重载nginx if ($allowed_country = yes) { return 403; } 至此配置完成

网络安全 # 网站优化 # 网络安全 # 优化 # 宝塔 # 操作面板 # 渗透

爱坤 1月5日
0 16 0
2025-01-05
在Windows下使用TCPing工具监测端口稳定性 1. 下载TCPing工具。访问提供的URL下载tcping.exe：我用蓝奏浏览器分享了[tcping], 下载链接:https://wwp.lanzoup.com/i4EA71p7fash , 你可以不限速下载哦 2. 将下载的tcping.exe文件复制到Windows系统的System32目录下。打开文件资源管理器。导航到 C:\Windows\System32 。将tcping.exe文件复制到该目录下。 3. 打开命令提示符（CMD）。在Windows搜索栏中输入“cmd”。右键点击“命令提示符”，选择“以管理员身份运行”。 4. 使用TCPing命令测试端口。输入命令 tcping -t baidu.com 来测试baidu.com的80端口。若要测试其他端口，例如443端口，输入命令 tcping -t baidu.com 443 。对于IP地址，可以使用类似命令 tcping -t 192.168.1.1 来测试默认端口，或者 tcping -t 192.168.1.1 3389 来测试特定端口。 5. 分析结果。如果出现 time=2000.000ms ，表示端口丢包，如果连续出现这个值，则端口不通。如果没有出现 time=2000.000ms ，且返回时间值，则表示端口可达。请注意，TCPing工具需要网络权限才能运行，确保在测试时已经连接到网络

玩家网 # 网站优化 # 网络安全 # 原创 # 日常工具 # 知识 # 上网行为管理

爱坤 1月5日
0 9 0
2025-01-04
新服务器可能遇到的安全风险 1.检测是否限制密码重复使用次数检测类型：检查密码重复使用次数限制风险等级：中危风险描述：未限制密码重复使用次数解决方案：1、配置文件备份cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth.bak 2、在【/etc/pam.d/system-auth】文件【password sufficient】后面添加或修改remember=5 2.检查是否设置无操作超时退出检测类型：检查是否设置命令行界面超时退出风险等级：中危风险描述：未配置命令行超时退出解决方案：1、在文件【/etc/profile】中添加tmout=300，等保要求不大于600秒 2、执行命令source /etc/profile使配置生效 3.检测PHP是否关闭错误提示检测类型：PHP报错误信息提示风险等级：中危风险描述：未关闭错误信息提示的PHP版本有：7.4 解决方案：1、根据风险描述，在【软件商店】-【运行环境】找到对应版本的PHP插件，在【配置修改】页面，将display_errors设置为关闭并保存 4.检测当前服务器的MySQL端口是否安全检测类型：MySQL端口安全风险等级：中危风险描述：当前MySQL端口: 3306，可被任意服务器访问，这可能导致MySQL被暴力破解，存在安全隐患解决方案：1、若非必要，在【安全】页面将MySQL端口的放行删除 2、通过【系统防火墙】插件修改MySQL端口的放行为限定IP，以增强安全性 3、使用【Fail2ban防爆破】插件对MySQL服务进行保护 5.检查重要文件是否存在suid和sgid权限检测类型：检查拥有suid和sgid权限的文件风险等级：中危风险描述：以下文件存在sid特权，chmod u-s或g-s去除sid位："/usr/bin/chage、/usr/bin/gpasswd、/usr/bin/wall、/usr/bin/chfn、/usr/bin/chsh、/usr/bin/newgrp、/usr/bin/write、/usr/sbin/usernetctl、/bin/mount、/bin/umount、/sbin/netreport" 解决方案：1、使用chmod u-s/g-s 【文件名】命令修改文件的权限 6.检查是否允许空密码sudo提权检测类型：检查是否允许空密码sudo提权风险等级：中危风险描述：以下sudo文件存在NOPASSWD标记：【/etc/sudoers.d/90-cloud-init-users】解决方案：1、打开/etc/sudoers或是/etc/sudoers.d下的文件 2、删除或注释【NOPASSWD】标记所在行 3、或者使用一键修复处理安全风险 7.检测类型：检查SSH密码修改最小间隔风险等级：中危风险描述：【/etc/login.defs】文件中把PASS_MIN_DAYS大于等于7 解决方案：1、【/etc/login.defs】 PASS_MIN_DAYS 应设置为大于等于7 2、PASS_MIN_DAYS 7 需同时执行命令设置root 密码失效时间命令如下: chage --mindays 7 root 8.检测类型：TCP-SYNcookie保护检测风险等级：低危风险描述：未开启TCP-SYNcookie保护解决方案：1、在【/etc/sysctl.conf】文件中添加net.ipv4.tcp_syncookies=1 2、然后执行命令sysctl -p生效配置

网络安全 # 网站优化 # 网络安全 # 原创 # 渗透 # 知识

爱坤 1月4日
0 5 0
2025-01-04
怎样防止自己源IP暴露到互联网上--保护源站IP：避免CDN源IP暴露的策略在数字化时代，网络安全日益重要。对于服务器管理员来说，防止源站IP暴露是保障服务器安全的关键一环。本文将探讨如何通过配置错误证书、使用CDN服务、关闭邮件服务以及其他安全措施来保护源站IP，确保服务器的安全运行。在服务器管理中，源站IP的暴露可能导致严重的安全问题，如DDoS攻击、CC攻击等。即使使用了CDN服务，源站IP仍有可能被攻击者发现。为了有效避免这种情况，可以采取以下措施： 1.更换IP并使用大厂CDN服务：在更换IP地址时，选择信誉良好的服务商，确保新IP地址的安全性。选择大厂CDN服务，如Cloudflare或国内的阿里云CDN、腾讯云CDN等，这些服务提供商通常拥有更完善的安全防护措施。在CDN服务中设置正确的缓存策略，确保敏感数据不会缓存在CDN节点上，减少数据泄露的风险。定期监控CDN的日志文件，以便及时发现和应对潜在的安全威胁。 2. 配置错误证书：在服务器上安装一个自签名的SSL证书，这样即使有人尝试通过IP直接访问服务器，浏览器也会因为证书无效而阻止访问。在Web服务器软件（如Apache、Nginx）的配置文件中，将所有HTTP和HTTPS请求重定向到HTTPS，并确保HTTPS连接返回自签名证书。在宝塔面板中，创建一个新的站点，并给该站点添加一个自签名的SSL证书。将此站点设置为默认站点，这样所有的请求都会默认通过这个站点处理。确保服务器配置中的SSL设置正确，例如设置 listen 80 default_server; 和 listen 443 ssl http2 default_server; ，这样当请求到达80或443端口时，服务器会返回配置的证书。通过这些步骤，即使有人尝试通过IP访问服务器，他们也会因为证书无效而无法建立安全的连接。这有助于保护源站IP不被轻易发现。 3. 修改服务器配置：在Web服务器的配置文件中，设置默认的HTTP和HTTPS响应状态码为444，这是一个自定义状态码，表示服务器拒绝响应。这样，即使有人尝试通过IP访问服务器，也不会得到正常的页面内容。确保服务器配置文件中的 listen 指令正确配置，将80和443端口的默认服务器设置为之前创建的站点，这样所有的HTTP和HTTPS请求都会被正确地重定向到该站点。对于HTTPS请求，除了设置自定义状态码外，还应该确保服务器配置中禁用了HTTP到HTTPS的自动重定向，防止通过HTTP访问时泄露信息。定期检查服务器配置文件，确保没有未经授权的更改，保持服务器的安全性。通过这些配置，可以有效地防止通过IP直接访问服务器，从而保护源站IP不被暴露。 4. 关闭邮件服务：检查服务器上运行的邮件服务，如Sendmail、Postfix或Exim等，确保它们没有配置为监听公网IP地址。如果邮件服务不需要从互联网接收邮件，可以将其配置为仅监听内网IP地址。如果必须从互联网接收邮件，可以考虑使用第三方邮件服务提供商，并确保所有的邮件转发都是通过安全的通道进行，避免邮件头信息泄露服务器真实IP地址。对于SMTP服务，可以设置仅允许来自特定IP地址的连接，或者使用防火墙规则限制对邮件服务的访问，只允许来自已知的、可信的IP地址的连接。定期检查邮件服务的日志文件，监控任何异常的连接尝试，确保邮件服务不被用作攻击源。通过关闭或正确配置邮件服务，可以减少源站IP暴露的风险。 5. 实施基础安全操作：限制密码重复使用次数：在服务器管理中，确保密码策略要求用户创建强密码，并限制密码的重复使用，防止密码被猜测或暴力破解。设置无操作超时退出：配置服务器和用户会话超时设置，如果用户在一定时间内无操作，则自动退出登录，减少被攻击的风险。关闭PHP错误提示：在PHP配置中关闭错误报告，确保即使发生错误，也不会向用户显示详细的错误信息，避免泄露服务器配置和敏感数据。检查MySQL端口安全：确保MySQL数据库只监听内网IP，或者使用防火墙规则限制对MySQL端口的访问，只允许来自特定IP的连接。检查重要文件权限：定期检查服务器上关键文件的权限设置，确保没有不当的suid和sgid权限设置，这些权限可能会允许普通用户执行特权操作。定期更新和打补丁：保持操作系统、Web服务器软件、数据库和其他关键软件的最新状态，及时应用安全补丁，以防止已知漏洞被利用。使用防火墙和入侵检测系统：部署防火墙规则来限制不必要的端口和服务，使用入侵检测系统（IDS）和入侵防御系统（IPS）来监控和防御潜在的恶意活动。数据备份和恢复计划：定期备份服务器上的重要数据，并确保可以快速恢复，以防数据丢失或被加密勒索。员工安全意识培训：对服务器管理人员进行安全意识培训，确保他们了解最新的安全威胁和最佳实践。通过实施这些基础安全操作，可以大大增强新服务器的安全性，降低被攻击的风险。这些措施有助于创建一个更加安全的网络环境，保护服务器免受各种威胁第5点可以看一下，我之前发过的新服务器可能遇到的安全风险文字

网络安全 # 网站优化 # 网络安全 # 原创 # 优化 # 知识

爱坤 1月4日
0 60 0
2025-01-04
市面上小服务商cdn的基础使用 cdn系统市面上常用的cdn系统有cdnfly Cdnfly - 自建cdn|防CC攻击|cdn软件|cdn系统还有之前的触摸云开发的lecdn 触摸云LeCDN系统正式上线，超强WAF防火墙，独家URL级，5节点授权仅150元-网络安全学习-PLAYE - Powered by PLAYE 还有我们的老康乐系统GitHub上面有开源这个就不给出具体地址了 cdn的使用 1.在cdn系统当中添加站点，证书，以及源站ip 2.在cdn当中设置缓存和cc防护waf防护规则设置源站服务器如何记录真实访问ip请看之前的文章网站使用CDN的情况下nginx日志如何记录真实IP-杂文-PLAYE - Powered by PLAYE 目前cdn系统当中cdnfly已经持续很久了，lecdn也首当其冲，真正使用起来的话，系统是一个方面，真正的cdn效果还要看服务商提供的节点问题，很多人用aws，甲骨文，谷歌等海外信用卡账户白嫖机器充当节点，高峰期套了cdn之后反而有减速效果，得不偿失。cdn的节点每次更换都会有一些网络痕迹缓存上去，频繁更换节点可能也会导致，dns解析出现问题，最好的结果就是找一个稳点的cdn厂家，大部分的人选择了随时随地连接、保护和构建 | Cloudflare (cloudflare-cn.com)。海外公益cdn防护很好，很少打穿。但是根据实测，高峰期cf的网络护盾验证也会有一些问题，根据个人业务选择自己喜欢的cdn。国内业务CDN_内容分发网络_CDN网站加速-阿里云 (aliyun.com)阿里云的防护加速又被称为吞金兽，你想要防护的住，大厂肯定是可以的但是，花多少钱办多大事请也是肯定的。选择购买给的建议不多设置上cdn回源成功以后，加上cdn文件后缀或者文件目录缓存可以减少源站服务器的调用下面分享一下文件后缀大全缓存设置-文件后缀 mp4|ts|txt|js|css|jpg|jpeg|gif|png|bmp|psd|ttf|pix|tiff|doc|dot|xls|pdf|ico|swf|cur|mp3|docx|torrent|bytes|pict|csv|pls|ppt|tif|eps|ejs|midi|mid|eot|woff|otf|svg|svgz|webp|xlsx|pptx|ps|class|jar cdn回源错误解析 CDN访问异常篇之502/503/504错误-阿里云开发者社区 (aliyun.com)

玩家网 # 网站优化 # 原创 # linux # cdn # 优化 # 操作面板 # 日常工具

爱坤 1月4日
0 11 0