编译安装nginx以支持TLSv1.3
在此之前,Firefox与Chrome已经使用支持Openssl draft 23的中间件启用TLSv1.3。所以在一周以前,我重新编译nginx,提前启用TLSv1.3。
我博客的nginx配置文件详解
我博客使用wordpress作为基础并使用Newspaper这个主题,主要记录我实验性的技术文档,但因为图片和内容比较大,对加载速度造成了一定的影响。
按月分割nginx访问日志-filebeat配置文件简介
复查操作记录发现早在12月11日我就将ELK套件升级到了最新版本,而我这个服务器因为是对外的,所以nginx的日志非常庞大,所以导致filebeat读取的时候性能顺好非常大。
centos7编译nginx以适配chrome的HTTP/2
因为太久没接触HTTP/2的相关设定,还不知道chrome对于HTTP/2的要求更加严格了,因为系统预设的openssl不支持ALPN使得chorme只能通过HTTP 1.1连接我的服务器。
centos7 nginx编译安装modsecurity v3
前些天我写了几篇关于modsecurity的文章,但和最新的nginx(openresty)并不兼容。经过查询了解后发现在modsecurity v3中已经解决了这些BUG。
Modsecurity 2.x 系列导致nginx POST报500错误
上周我用Modsecurity替换掉naxsi作为nginx的waf。但在实际应用中发现POST请求一直出现500错误,导致我无法正常登入后台与留言。
我网站区分国内外访客的解决方案
其实我本意并不是想区分国内外访客,只是我想使用又拍云的CDN服务分发静态文件。因此我购买了腾讯云的服务器并且完成备案,不用白不用,所以我区分了国内外访客。
ModSecurity因权限问题导致出现Permission denied日志
在安装完ModSecurity我发现日志里会出现Permission denied的内容,却并不影响服务的正常运行。经过多番查找,终于找到了问题点。
nginx编译安装ModSecurity作为高性能WAF
我目前使用naxsi作为我网站的waf,但是naxsi目前还没支持HTTP/2。虽然GitHub项目中已经有相关的分支,但回顾这项目的效率,估计还得等一段时间。
nginx使用DDNS域名作为反向代理的upstream
我配置所有的服务都喜欢在前面套一个nginx,然后加上SSL以保安全。在这过程中有一种情况比较特殊,就是upstream使用DDNS进行解析。
centos安装项目管理和BUG跟踪工具redmine
最近一段时间找到一款开源的项目管理与BUG跟踪工具:redmine,虽然界面不太好看,但功能强大,使用简单,但是安装有点繁琐。
nginx剔除反代服务器IP & 获取正确的访客IP
最近在为nginx调试与配置fail2ban,在检查日志的时候发现naxsi的日志中来自上游反代服务器的请求都是同一个IP:都是反代服务器自身的公网IP。
私有云集群配置使用zabbix proxy以便集中管控
你管理着一个或多个私有云,其中的服务器需要用zabbix进行监控,可是云中的服务器都无法直接连接公网,那怎样才能将数据汇总到一个zabbix server中呢?
利用naxsi屏蔽特定UA与屏蔽空UA的访客
仔细检查发现有些爬虫的流量非常大,爬行次数甚至超过Google,还有一些很明显是一些脚本、渗透软件或非正常用户的UA。这些都是我屏蔽的对象。对于一些另类的爬虫和商业爬虫,我都直接返还403。
nginx配置HPKP防范中间人攻击
世界上有许多CA机构,这些机构签发的证书都被我们的浏览器所信任。但并不是每个CA都十分安全,为了防止某些CA有意或无意地签发错误的证书,我们可以告诉浏览器:网站使用的是哪个CA,从而防止中间人攻击。
使用zabbix 3监控nginx的运行数据
nginx作为网站服务器的重要组成部分,对它的状态进行监控是十分必要的。监控的数据还可以为后期分析提供基础,能根据数据统计nginx的性能、瓶颈等等。
安装配置HttpGuard为nginx抵御CC攻击
HttpGuard和verynginx一样,主要通过技术手段检测访客是否为有效的浏览器以及是否支持跳转来判断是否需要拦截。但HttpGuard还有另一样特别本领,就是可以监测实时的连接数来判断是否需要开启防攻击模块。
安装并使用verynginx抵御CC攻击
verynginx是一款基于lua_nginx_module开发的一款开源的nginx拓展。它可以实现防火墙、统计、等功能,最重要的是它提供了非常简单的操作界面。
安装与初步配置IP地址管理工具phpipam
无论在家还是在公司,IP地址都非常重要,随着设备或虚拟机的增多会导致IP地址也随之增长。随着IP地址使用量的增长,会对管理人员造成很大的压力。
为处于后端的WordPress传递正确的用户IP
我的Wordpress是经过多重代理才到达后端的PHP,在网站刚上线的时候,在网站后台或日志中看到的所有来源日志都是源自IP:127.0.0.1,这肯定是不正确的,也不利于统计分析。