网站搭建的完整、必要配置

1panel作为一款新生代系统运维（System O&M）面板，轻便、灵活、充分利用了docker的优秀特性，能够快速的搭建起Wordpress、Halo等各种动静态网站（webserver），1panel默认采用容器化（docker）方法管理应用，提供了必要的安全隔离。使用1panel建站的目的是发布内容，建站的同时，也可以使用1panel对网站进行必要的安全配置，让任何非技术人员能够简捷地实现网站的必要防护，少占用时间精力，将重心放在业务上而不是系统与网站技术运维上。

在上文『使用1panel快速搭建上线网站』后，使用1panel进行必要的完整配置大致分为访问控制与域名绑定、HTTPS、防火墙等3个方面，本文做简要介绍和操作指引。

1.访问控制

1panel的『面板设置』页中，『安全』选项卡下的重点配置项包括面板端口、安全入口、授权IP、域名绑定、面板SSL，其中安全入口是最主要的面板访问控制选项。

点开『安全入口』选项右侧的『设置』，可以刷新/变更安全入口的随机字符串，安全入口在这里是可见的，这样访问面板的URL地址就是“IP:port/安全入口字符串"或“域名:port/安全入口字符串"了。安全入口随机字符串可以由1panel自动生成，也可以手动输入。

面板端口可以修改自定义，授权IP则确定哪些IP地址可以访问、登录面板（注意是面板，不是网站），而面板SSL需要结合域名绑定和SSL配置使用，如果进行统一管理则还需要配置反向代理。

域名绑定仅仅是输入一个域名而已，但能够正常访问（包括80、443之外的非标准端口的使用）的前提是：

• 国内VPS需要完成域名备案，且DNS解析指向VPS的IP地址
• 国外VPS无备案限制，仅需保证正确解析DNS域名指向VPS

2.开启HTTPS

要开启网站的HTTPS，首先要配置好域名的DNS解析、申请SSL证书。域名解析本文略过，在1panel中，通过点开左侧导航栏的『网站』下的『证书』选项页面，就可以导入或生成网站证书。

这里需要注意的是，通过1panel提供的功能可以申请网站的ACME证书，需要有『ACME账户』，而『DNS账户』不是必须的，只有计划使用DNS验证方式申请证书的才需要在1panel中创建『DNS账户』，否则只能使用Host验证方式申请证书。

『ACME账户』的创建仅仅需要一枚邮箱即可。『DNS账户』的创建则需要提供相应DNS解析服务提供商账户的Access Key/API Key，总之是证书颁发机构需要通过API方式进行域验证。支持的DNS服务尚包括阿里云、DNSPod、Cloudflare。

有了ACME和DNS账户之后，才可以使用DNS验证方式申请证书，1panel中会自动识别并选择相应的账户，同时，会勾选自动续签。在『创建证书』页面，输入主域名、其他域名，其他域名建议采用通配符域名，点击『确认』即开始申请证书。1panel使用的证书颁发机构为Let's Encrypt，有效期90天。

证书申请完成后，我们还需要开启网站的HTTPS。通过点开左侧导航栏『网站』，打开的页面中点开网站代号，选择『HTTPS』，可以看到『启用HTTPS』选项默认是关闭的，打开即可。

3.防火墙

1panel提供了3个和防火墙相关的配置入口，分别为Openresty WAF、iptables和应用商店第三方WAF。

第一个入口是网站的WAF，由1panel使用的Openresty LUAJit集成，安装后即可用。

点开『网站』，点击右侧的『WAF』就可以打开网站应用防火墙配置。默认提供的WAF基本防护完全够用，将默认关闭的CC防护、文件扩展名黑名单等开启，无需再额外添加其他的规则就能够满足网站运行的基本安全需求。

第二个入口是基于iptables的主机防火墙，可通过『主机』导航下的『防火墙』进入，可配置端口过滤等基于ip、tcp、udp等的访问控制规则，前提是需要安装ufw、firewalld等系统程序。

第三个入口是通过应用商店安装南墙防火墙，需要注意的是，如果计划安装、使用南墙防火墙，需要提前进行好端口分配规划。南墙防火墙需要使用独立的HTTP或HTTPS端口，应避免和Openresty等服务端口重叠。

4.不推荐的配置

以上通过1panel进行的网站必要配置基本上覆盖了网站及面板的整体配置需求，完整照顾到了安全、访问便利性、访问控制等方面，并且由于1panel及其组件基于docker部署的特性，不会对系统有侵入性的影响。因此，老E并不推荐再修改LNMP各组件模块的配置文件，去满足一些并不存在的”前瞻性“需求。有问题解决问题，没有问题不能想象、制造问题，搭建的网站没有内容、没有访问量，哪里有什么威胁。

实操场景下，对于wordpress而言，xmlrpc.php 会带来一定的安全风险，因为站点多了一个附加访问点，但不熟悉系统的新手如果用拷贝来的垃圾脚本或命令去除了xmlrpc，很可能会带来额外的诸如301跳转问题等，会导致跨境cdn的应用失效。