サーバーセキュリティ

外国貿易ウェブサイトを構築している多くの友人は、自分のウェブサイトが国内 IP からアクセスされることを制限したいと考えています。また、さまざまな理由で特定の IP からブロックする必要があるリソースをウェブサイトに保存している友人もいます。ソース IP のほとんどは海外からのものであるため、外国の IP が Web サイトにアクセスできないようにしたいと考えています。

理由が何であれ、特定の地域や国からのIPアクセスをブロックしたりブロックしたりすることは、日常のWebサイト構築でよく使用されます。 PHP を使用している場合、比較的簡単な方法は、PHP ファイルに IP を決定するコードを追加し、IP ライブラリを使用して比較することです。IP がアクセス制限範囲内にある場合は、アクセスの継続を禁止します。

Web サイトが Nginx の場合、Nginx-ngx_http_geoip_module モジュールを直接使用できます。このモジュールは国、地方、都市などの IP を正確に把握でき、アクセスの識別とブロックはすべて Nginx によって実行されます。 PHP に比べてリソースが節約されますが、Nginx はコンパイルが面倒です。

Linux ディスクがいっぱいになる問題については、パネルのバックグラウンドで Web サイトのログが有効になっていたため、WDCP パネルを使用しているときに以前にこの問題に遭遇しましたが、長期的にはログが定期的に削除されず、ディスク容量が不足していました。 VPS ホストがログでいっぱいになりました。ディスク容量が 100% に達すると、バックグラウンドでログインできない、コメントできない、ページが空白になるなど、Web サイトで不可解なエラーが発生します。

しかし、最近、ネットワーク監視プラットフォーム ping.wzfou.com をメンテナンスしていたときに、ディスク領域がまだたくさんあるにもかかわらず、「デバイスに空き領域がありません」エラーがログに報告されていることがわかりました。調査の結果、Linux ディスクの i ノードが使い果たされ、Web サイトが新しいデータの書き込みを続行できなくなり、最終的にバックグラウンドでの Smokeping が正常に実行されず、レポートが表示されなくなったことが判明しました。

友人は自分の会社の Web サイトをクラウド ホスト上に置きましたが、トラフィックはそれほど大きくありませんでしたが、頻繁に CC によって攻撃されたため、IO と CPU が急激に増加し、最終的にはデータベースがハングアップしました。ウェブサイトにアクセスできなくなりました。最初は Cloudflare が有効になっていましたが、攻撃者は必死にスキャンしており、防御効果は平均的でした。

悪意のある IP を正確に特定するには、Cloudflare CDN を有効にした後、Nginx と Apache で Real IP モジュールを有効にし、スクリプトを使用して Web サイトのログを分析し、ログから異常な IP を収集し、Cloudflare API を使用して悪意のある IP を追加する必要があります。ファイアウォール内のCloudflareにバッチで送信します。

最近、友人が Yunfu ホストを使用していたときに、SSH が他人によって激しくスキャンされていることを発見しました。SSH アカウントとパスワードが推測されたことはありませんが、誰かが彼を見つめ続ければ、遅かれ早かれ何かが起こるでしょう。私は彼が S-S-H ログイン ホワイトリストを設定するのを手伝いました。これは、彼自身の IP からのログイン アクセスのみを許可し、他のすべての IP を拒否します。

実際、S-S-H がクラックされていないことを確認する最も簡単な方法は、デフォルトのポート 22 を変更することです。たとえば、私たちが使用しているクラシック VPS では、VPS の作成時にデフォルトでポート 22 が変更されています。最も徹底した方法は、アカウントとパスワードによるログインを禁止し、キーを使用してログインすることです。キーが安全に保管されている限り、誰もサーバーに入ることができません。

新しい VPS ホスティング Web サイトビルダーの場合は、常に VPS ホスティング コントロール パネルを使用することをお勧めします。現在、仮想ホストから VPS に移行したばかりの多くの友人は、無料の VPS ホスト コントロール パネルをコマンドに慣れていないため、使いやすく、作業効率を大幅に向上させることができます。

ただし、無料の VPS コントロール パネルを使用する場合の致命的な可能性は、セキュリティ上の問題があることです。ここ数日で暴露された「VestaCP のセキュリティ脆弱性により、数百台の Digital Ocean サーバーがミートマシンになった」ことが <bpt0 で議論されています。 > VestaCP 公式 Web サイトのフォーラム と lowendtalk フォーラム が爆発的に増加し、多くのユーザーが VestaCP のセキュリティ問題について不満を言い始めました。

オンライン セキュリティに対する人々の意識が高まり、大手インターネット企業が HTTPS の普及を推進するにつれ、現在では HTTPS SSL が Web サイト構築の基本的な標準となっています。 Let’s Encrypt、Digicert、TrustAsia、Symantec などが提供する無料の SSL 証明書のおかげで、個人 Web サイトであっても企業 Web サイトであっても、HTTPS の使用コストは無視できるほどになりました。

セキュリティのために HTTPS を使用する必要がありますが、SSL を有効にすると、メモリ、CPU、ネットワーク帯域幅のオーバーヘッドが増加します。 TCP スリーウェイ ハンドシェイクを使用して接続を確立する http と比較すると、クライアントとサーバーは TCP の 3 パケットに加えて、SSL ハンドシェイクに必要な 9 パケットの合計 12 パケットを交換する必要があります。パケット。したがって、HTTPS が大幅に最適化されると、パフォーマンスが低下する傾向があります。

CN2 スペース ユーザーの増加により、最近、Mysql プロセスが夜中に必ずクラッシュするようになりました。Mysql エラー ログを確認すると、プロンプトは次のとおりでした。[エラー] 受け入れ中のファイルが多すぎます。開いているファイルが不足すると、特に DirectAdmin システムが夜間にバックアップされる場合にデータベースがハングアップする可能性があります。

Linux システムのデフォルトのオープン ファイルは 1024 です。これを表示するには ulimit -a を使用できます。また、mysql のデフォルトのオープン ファイルも 1024 です。多くの場合、この値は設定を満たすことができません。 Web サイト構築のニーズ、特に大規模なものでは、Web サイトや巨大なデータベース センターでは、開いているファイルが多すぎるという問題が簡単に発生します。

前回、友人が Web サイト発掘フォーラムで英語の画像サイトのストレージに関する質問をしました。その問題の説明の中に、特に印象に残った一文がありました。「 初心者には VPS ベアメタルをお勧めしません。 WP を使って Web サイトを構築する場合、サーバー管理を扱えない可能性があります。「」私は実際に Web サイトを構築し始めたときにこの文を聞いて、かなり遠回りしました。多くの「愚かな損失」を被った。

大量のトラフィックと大規模なストレージを伴う写真、映画、テレビの Web サイト、および大量のトラフィックを伴うブログ Web サイトの場合は、当然のことながら、VPS ホスティングまたは独立したサーバーが最適です。第一に、コストを節約でき、第二に、リスクを共有できます。サーバーのメンテナンスの問題に関しては、初期段階で Web 環境を構築しておけば、他の人が言うように、その後のメンテナンスは、さらに学習して、いくつかのコマンドをマスターするだけで、「難しい」ということはありません。

Web サイトを構築するために VPS ホストを使用する人が増えていますが、個人用 VPS ホストは、仮想ホストや管理対象サーバーと比較して、基本的に管理されていません。つまり、ホストプロバイダーは、VPS ホストのネットワークを円滑にすることにのみ責任を負います。自分でそれを理解する必要があります。これまで、Alibaba Cloud が使用していた VPS ホストは、CC や DDOS によって頻繁に攻撃されていました。基本的に、攻撃を受けるたびに、Alibaba Cloud の「ブラックホール」に侵入していました。

CC および DDOS 用の Alibaba Cloud の VPS ホストは、一般に、攻撃トラフィックが増加すると、基本的にルートがクリアされ、1 日または数日間「ブラック ホール」が発生することもあります。 。今、私は自分のウェブサイトを古典的な CN2 VPS ポーターに移動しました。以前、ポーターは CC と DDOS を 3 回しか処理しないと VPS を直接ブロックするという注意を受けました。

このブログには、Web サイトのサーバー構成情報や Web サイトの最適化方法について質問する人がたくさんいます。この記事では、長年にわたって wzfou.com に存在してきたテクノロジーと機能をまとめます。必要としている友人に役立つことを願っています。参考として、この記事は常に更新され、最新のアプリケーションはここで随時更新されます。

この記事では、「ソフトウェア」の最適化と Web サーバーのパフォーマンスの向上に焦点を当てます。実際、お金がある場合は、サーバーを最適化するためにあらゆることを行うのではなく、「ハードウェア」の観点から Web サイトを最適化するのが最善です。 Web サイトへのアクセスを高速化するには、お金を出して大容量メモリ + SSD + BGP コンピュータ ルーム + 大帯域幅を購入する方が良いです。この構成は、「ソフトウェア」の最適化とは比べものになりません。