有不少的朋友搭建了外貿站的朋友想要限制自己的網站不讓國內的IP訪問,也有一些朋友網站存放的資源可能因為各種原因需要阻止特定的IP訪問,還有一些朋友看到攻擊源IP大多來自國外,想要阻止國外的IP造訪網站。
無論是出於什麼原因,屏蔽和阻止特定地區和國家的IP訪問都是我們日常建站中經常要用到的。如果你用的是PHP,比較簡單的方法就是在PHP檔案加入判斷IP的程式碼,利用IP函式庫進行比對,如果IP為限定存取範圍內,則阻止其繼續存取。
如果網站是Nginx,則可以直接使用Nginx-ngx_http_geoip_module模組,該模組可以精確到國家、省、市等一級的IP,並且全部由Nginx執行識別和阻止訪問,所以相對於PHP來說比較省資源,但Nginx編譯起來比較費事。
如果網站是搭建在VPS或獨立伺服器上,那麼可以直接使用Linux防火牆,利用iptables規則來阻止特定國家和省份的IP存取。當是,Wordpress用戶完全不用擔心Nginx、iptables等設定的問題,因為Wordpress早就有了各種限制IP存取的插件了。
關於Linux磁碟被佔滿的問題,之前在使用WDCP面板時有遇到過,因為在面板後台開啟了網站日誌,但是日誌沒有定期刪除,長此以往導致了VPS主機的磁碟空間被日誌佔滿了。當磁碟空間達到100%時,網站就會出現一些莫名的錯誤,例如後台無法登錄,無法評論以及頁面空白等等。
不過最近在維護網路監控平台ping.wzfou.com時,發現磁碟空間還有不少,但日誌中依然報No Space Left on Device錯誤。經過排查,終於發現是Linux磁碟的inode被用完了,導致網站無法繼續寫入新的數據,最終的後台就是Smokeping也運作不正常,報表都無法顯示。
不管是磁碟空間還有磁碟的inode空間,只要被佔用滿了都會造成網站的不穩定。有時候我們可能沒有懷疑到這一點,可能還會去尋找它的問題。磁碟被佔滿最嚴重可能還會導致S#S¥H也無法進入,這時需要我們從VPS面板中執行釋放磁碟空間的相關操作了。
一個朋友將自己的企業站放在其雲端否主機上,流量不大,但由於使用的是經常受到CC攻擊,主要表現就是IO和CPU爆增,最後就是資料庫掛掉導致網站無法存取。一開始啟用了Cloudflare,但是攻擊者瘋狂地掃描,防禦效果一般。
為了能夠精確地識別惡意IP,在啟用了Cloudflare CDN後需要在Nginx和Apache中啟用Real IP模組,然後利用腳本分析網站日誌,從日誌中蒐集異常IP,然後使用Cloudflare API批量將惡意IP添加到Cloudflare的防火牆當中。
當然,當網站遭遇非常強大的CC和DDoS攻擊時,我們可以啟用Cloudflare經典的5秒盾防攻擊,如果把握不了攻擊的頻率的話,可以設定一個定時任務,當系統負載超過某一個值(一般來攻擊會導致系統負載爆增),呼叫Cloudflare API啟用5秒盾。
最近有朋友在使用其雲端否主機時,發現SSH一直在被人暴力掃描,雖然說SSH帳號和密碼始終沒有被猜出來,但是老是被人盯著恐怕遲早要出事。於我幫他設定了S-S-H登入白名單,即只允許自己的IP登入訪問,其它的IP一概拒絕。
其實,要確保S-S-H不被破解,最簡單的方法就是修改預設的22端口,例如我們用的經典VPS,VPS在創建時就預設修改了22端口。最徹底的方法,是禁止使用帳號密碼登錄,而是改用金鑰登錄,只要確保金鑰安全,伺服器也沒有人能進入了。
本篇文章就來分享Linux VPS主機和伺服器安全防護一些基本的方法,例如修改SSH的端口;給SSH登錄添加白名單,僅允許自己的IP訪問;也可設置密鑰登錄,禁止密碼登錄,這樣破解者就「無門可入」了。
當然,有經驗的朋友還可以直接關閉S-S-H登錄,如果已經安裝了像寶塔BT面板WDCP面板,則可以直接在面板的後台選擇關閉S-S-H,或者手動關閉它們。有些商家例如阿里雲、騰訊雲等還自帶了安全組,你也可以在安全組中選擇臨時屏蔽22等端口,等到自己要用的時候再手動去開啟端口,雖然有點麻煩,但是卻是比較簡單方便的方法。
對於VPS主機建站新手來說,其實我一直推薦使用VPS主機控制面板。現在市面上免費的VPS主機控制面板很多,很多剛從虛擬主機過渡到VPS的朋友於指令還不是很熟悉,VPS主機控制面板上手容易,可以大大提高工作效率。
但是使用免費的VPS控制面板有一個致命的可能性就是存在安全問題,這幾天爆出的「VestaCP安全漏洞導致Digital Ocean上百台伺服器成為肉機」已經在VestaCP官網論壇和lowendtalk論壇上炸開了鍋,眾多的用戶開始吐槽VestaCP安全問題。
隨著大家上網安全意識的增強,以及各大主要網路公司對Https普及工作的推動,HTTPS SSL現在基本上成了建站的標配了。得益於Let’s Encrypt、Digicert、TrustAsia、Symantec等提供的免費SSL證書,現在不管是個人建站還是企業建站,上Https的成本可以忽略不計了。
為了安全,我們要上Https,但開啟 SSL 會增加記憶體、CPU、網路頻寬的開銷。相對於http,使用TCP 三次握手建立連接,客戶端和伺服器需要交換3個包,https除了 TCP 的三個包,還要加上 ssl握手需要的9個包,一共是12個包。所以,HTTPS優化得不少反而容易出現效能慢的問題。
當然,有人可能為會認為HTTPS與SSL增加的伺服器開銷基本上沒有感覺到,這是因為網站的流量比較少,加上伺服器的效能配置足以支撐起當前的流量。但對於大型的網站,例如百度、Google以及熱門APP,優化Https效能,減少資源消耗還是非常有用的。
由於挖站否免費CN2空間用戶增多,近期總是出現半夜Mysql進程掛掉的情況,查詢了一下Mysql的錯誤日誌,提示有:[ERROR] Error in accept: Too many open files,原來是因為open files不足導致資料庫掛掉了,尤其是晚上DirectAdmin系統備份時更是如此。
Linux系統預設的opens file是1024,可以使用ulimit -a 檢視,這個是系統級的限制,另外在mysql中預設的open files也是1024,很多時候這個數值無法滿足我們的建站需要,尤其是一個大型的網站和巨大型的資料庫中心,很容易就會出現Too many open files問題。
上次有朋友在挖站否論壇中提出一個關於英文圖片站存儲的問題,問題描述中有一句話讓我印象特別深刻——“我並不推薦VPS裸機給新手,就算你能熟練使用WP建站,你也不一定能搞的定伺服器管理。 。
對於大流量大儲存的圖片、影視網站以及訪問量大的部落格網站上VPS主機主機甚至是獨立伺服器自然是最好不過的,一來可以節省成本,二來可以分攤風險。至於說的伺服器維護的問題,只要前期搭建好了Web環境,後期的維護並不是別人所說的“難於上青天”,多學習多掌握幾個命令就好了。
本篇文章就來分享一下當伺服器流量出現異常時站長應該採取的操作步驟,挖站否遇到流量異常和網站打開緩慢的情況,最後基本上可以歸結為三種:一種是網站正在遭受DD或CC攻擊;一種是伺服器記憶體或CPU耗盡;最後一種就是伺服器被「掛馬」了。
越來越多的人使用VPS主機建站,但是與虛擬主機或管理型的伺服器相比,個人VPS主機基本上是無管理型的,即主機商只負責VPS主機的網路暢通,至於技術上的問題都得靠自己來解決。之前用阿里雲的VPS主機經常受到CC和DDOS攻擊,基本上每次一被攻擊就要進入阿里雲的「黑洞」。
阿里雲對待CC和DDOS的VPS主機一般不能防禦太多流量,一旦攻擊流量起來了基本上會清空路由,如果被攻擊的次數多了話甚至會長達一天或幾天的「黑洞」。現在挖站否搬家到了經典CN2 VPS搬運工上,之前有收到過熱心朋友的提醒,搬運工對待CC和DDOS的次數只有3次,超過3次直接封掉VPS。
這次的攻擊事件也讓我知道了將網站放在經典VPS主機上依然要保持一種小心謹慎的態度。在最開始挖站否無法打開,接著受到不少朋友發來的信息提醒,我馬上登錄到主機商後台查看,從監控圖表中可以看出VPS的CPU佔用超過100%,頻寬速度已經超過上百MB,顯然VPS是被主機商給斷網了。
這篇文章就來分享一下使用VPS主機建站的朋友,應對小型的CC和DDOS攻擊的基本步驟,基本上是圍繞防火牆阻止惡意IP來展開的。
很多人來到挖站否博客都會問一些關於網站伺服器配置資訊以及網站優化方法的問題,這篇文章就來匯總一下這些年來一直圍繞wzfou.com折騰過的技術以及特性,希望給有需要的朋友一個借鏡意義,本文也會一直更新,有最新的應用程式會及時更新在這裡。
本文更著重地「軟體」優化和提升Web伺服器效能,實際上有錢的話從「硬體」的角度優化網站效果是最好的,例如與其千方百計地優化伺服器加快網站存取速度,不如花錢購買大記憶體+SSD+BGP機房+大頻寬,這樣的配置是「軟體」最佳化所無法比擬的。
關於挖站否提供的主機、儲存等建站服務,請參考總專題:挖站否提供主機空間以及建站服務總表-免費空間,免費CDN及付費VPS主機。更多的關於網站優化匯總類別的文章,請參考:
