最近有朋友在使用他的云主机时,发现主机的SSH一直在被人暴力扫描,虽然说SSH账号和密码始终没有被猜出来,但是老是被人盯着恐怕迟早要出事。于我帮他设置了SSH登录白名单,即只允许自己的IP登录访问,其它的IP一概拒绝。
其实,要保证SSH不被破解,最简单的方法就是修改默认的22端口,例如我们用的VPS在创建时就默认修改了22端口。最彻底的方法,是禁止使用账号密码登录,而是改用密钥登录,只要保证密钥安全,服务器也没有人能进入了。
本篇文章就来分享一下Linux VPS主机和服务器安全防护一些基本的方法,例如修改SSH的端口;给SSH登录添加白名单,仅允许自己的IP访问;也可设置密钥登录,禁止密码登录,这样破解者就“无门可入”了。 ….[阅读全文]
越来越多的人使用VPS主机建站,但是与虚拟主机或者管理型的服务器相比,个人VPS主机基本上是无管理型的,即主机商只负责VPS主机的网络畅通,至于技术上的问题都得靠自己来解决。之前用阿里云的VPS主机经常受到CC和DDOS攻击,基本上每次一被攻击就要进入阿里云的“黑洞”。
阿里云对待CC和DDOS的VPS主机一般不能防御太多流量,一旦攻击流量起来了基本上会清空路由,如果被攻击的次数多了话甚至会长达一天或几天的“黑洞”。在经典CN2 VPS搬工上,搬工对待CC和DDOS的次数只有3次,超过3次直接封掉VPS。
这次的攻击事件也让我知道了将网站放在经典VPS主机上依然要保持一种小心谨慎的 ….[阅读全文]
有不少的朋友搭建了外贸站的朋友想要限制自己的网站不让国内的IP访问,也有一些朋友网站存放的资源可能因为各种原因需要阻止特定的IP访问,还有一些朋友看到攻击源IP大部分来自国外,想要阻止国外的IP访问网站。
无论是出于什么原因,屏蔽和阻止特定地区和国家的IP访问都是我们日常建站中经常要用到的。如果你用的是PHP,比较简单的方法就是在PHP文件加入判断IP的代码,利用IP库进行比对,如果IP为限定访问范围内,则阻止其继续访问。
如果网站是Nginx,则可以直接使用Nginx-ngx_http_geoip_module模块,该模块可以精确到国家、省、市等一级的IP,并且全部由Nginx执 ….[阅读全文]
虽然本站使用了自动生成sitemap.xml的插件,但是由于种种原因让一些诸如:360搜索、搜狗搜索、神马搜索等国内奇葩搜索引,因为对于https加密网站的支持性不好导致无法获取到sitemap.xml。
所以我决定使用使用php代码生成sitemap.xml然后在通过Linux内部任务计划将其下载到一个http节点,随后提交到各个搜索引擎的站长平台。该php代码可以同时生成首页、文章、单页面、分类和标签的 sitemap.xml,现在分享给大家! ….[阅读全文]
网站搬家是一件相当麻烦的事情,尤其是不同的VPS主机的环境配置还是比较繁琐的。所以我还是比较热衷于Linode的克隆、阿里云快照服务、Vultr的自定义ISO,因为这些服务可以完整将一台VPS主机镜像到另一台VPS主机,几乎可以在几分钟内就可以完成网站数据的迁移。
而对于没有提供此类服务的VPS主机,我们可以充分利用VPS主机带宽充足的优势,不再使用本地中转,直接实现在不同的VPS主机之间实现数据传输转移。这对于大型的网站或者有大量数据的网站搬家将是一件非常轻松的事情,几百MB和几百GB的数据迁移也就是时间问题了。
本篇文章就来归纳整理一下Linux VPS主机三个十分有用的命令工具:Rsync,SCP,Tar。Rsync命令是一个远程数据同步工具,可通过LAN/WAN快速同步多台主机间的文件,Rsync还用作同步工具,初次会在本地和远程之间拷贝所有内容,后面的话只会传输发生改变的块或者字节,实现增量同步。 ….[阅读全文]
最近折腾的毛病的又严重了,搞了好几台VPS主机,建了几个网站在不同的VPS上,还差点搞个服务器。又因为自己没有太多的时间,所以好多的VPS主机基本上都荒废了,几个网站也好久没有备份,想着不备份的话万一VPS跑路的话,自己辛苦做来的数据就没了。
如果要给网站备份的话,又要定期到VPS主机里将数据下载下来,觉得麻烦,况且VPS主机又太多了,根本应付不过来。于是,Lsyncd这个适合“懒人”的同步备份工具就派上用场了。Lysncd即Live Syncing Daemon,它是开源的数据实时同步工具(后台进程),基于inotify和rsync。
lsyncd会密切监测本地服务器上的参照目录,当发现目录下有文件或目录变更后,立刻通知远程服务器,并通过rsync 或rsync+ssh方式实现文件同步。这样做的好处就是,你可以利用Lsyncd搭建一个VPS同步镜像,应用场景例如CDN镜像、网站数据备份、网站搬家等等。 ….[阅读全文]
因为已经修改了后台地址感觉算是相对比较安全吧,所以自从建站以来就没怎么关注过网站被非法登陆的日志。
今天因为华为云报警说是内存低,经过优化和排查之后问题已经解决,但是根据以往的经验来说网站会不会是被扫描/暴力破解了,结果一看日志,吼吼吼,非法登陆状态已经刷屏了好几百页好吗!!!(如下图)
好吧,那么这次我们集中处理一下这个问题。
….[阅读全文]
Redis是个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value型NoSQL数据库。凭借自身丰富的API、超高的性能以及支持持久化存储等特点,Redis成为数据库缓存领域的优质选择。
为了提升网站速度,降低MySQL的负载,通常都需要将数据缓存到内存中,常用的就是memcached、redis,但是相对来说Redis更符合需求,而且也更通用。于是就选择了Redis,而WordPress常用的redis缓存插件就是Redis Object Cache了,直接搜索名称安装即可。
….[阅读全文]
之所以想起要启用HSTS,主要是最近不少的朋友说网站打不开了,虽然Ping值一切正常,但是就是网页无法访问。猜测可能是DNS解析这一环节出了问题。另外自己本地的DNS劫持已经到了“丧心病狂”的地步了,不加Https访问京东淘宝等全部被加入各种推广。
启用HSTS后自然想要加入HSTS Preload List了,这是各大浏览器都遵循的一个强制使用Https访问的网站列表,只要加入到这个列表中,所有的通过浏览器访问请求都会强制走Https,这在很大程度上可以杜绝“第一次”访问的劫持,最大限度地提高Https访问的安全性。 ….[阅读全文]
现在好多网站已经开始上线Https加密访问了,SSL证书用于加密HTTP协议,也就是HTTPS。给网站添加SSL证书并不复杂,像以前分享的Oneinstack、LNMP、宝塔面板、WDCP面板等都支持自定义SSL证书或者一键申请安装Let’s Encrypt证书。
自从Let’s Encrypt推出了各大浏览器支持和认可的免费SSL证书后,之前那些SSL巨头们开始放下了“姿态”推出了不少的域名型SSL证书(DV SSL)。现在申请一个免费的SSL证书已经非常简单的了,只要验证域名后就可以签发SSL证书了。 ….[阅读全文]