1panel作为一款新生代系统运维(System O&M)面板,轻便、灵活、充分利用了docker的优秀特性,能够快速的搭建起Wordpress、Halo等各种动静态网站(webserver),1panel默认采用容器化(docker)方法管理应用,提供了必要的安全隔离。使用1panel建站的目的是发布内容,建站的同时,也可以使用1panel对网站进行必要的安全配置,让任何非技术人员能够简捷地实现网站的必要防护,少占用时间精力,将重心放在业务上而不是系统与网站技术运维上。
在上文『使用1panel快速搭建上线网站』后,使用1panel进行必要的完整配置大致分为访问控制与域名绑定、HTTPS、防火墙等3个方面,本文做简要介绍和操作指引。
1.访问控制
1panel的『面板设置』页中,『安全』选项卡下的重点配置项包括面板端口、安全入口、授权IP、域名绑定、面板SSL,其中安全入口是最主要的面板访问控制选项。
点开『安全入口』选项右侧的『设置』,可以刷新/变更安全入口的随机字符串,安全入口在这里是可见的,这样访问面板的URL地址就是“IP:port/安全入口字符串"或“域名:port/安全入口字符串"了。安全入口随机字符串可以由1panel自动生成,也可以手动输入。
面板端口可以修改自定义,授权IP则确定哪些IP地址可以访问、登录面板(注意是面板,不是网站),而面板SSL需要结合域名绑定和SSL配置使用,如果进行统一管理则还需要配置反向代理。
域名绑定仅仅是输入一个域名而已,但能够正常访问(包括80、443之外的非标准端口的使用)的前提是:
- 国内VPS需要完成域名备案,且DNS解析指向VPS的IP地址
- 国外VPS无备案限制,仅需保证正确解析DNS域名指向VPS
2.开启HTTPS
要开启网站的HTTPS,首先要配置好域名的DNS解析、申请SSL证书。域名解析本文略过,在1panel中,通过点开左侧导航栏的『网站』下的『证书』选项页面,就可以导入或生成网站证书。
这里需要注意的是,通过1panel提供的功能可以申请网站的ACME证书,需要有『ACME账户』,而『DNS账户』不是必须的,只有计划使用DNS验证方式申请证书的才需要在1panel中创建『DNS账户』,否则只能使用Host验证方式申请证书。
『ACME账户』的创建仅仅需要一枚邮箱即可。『DNS账户』的创建则需要提供相应DNS解析服务提供商账户的Access Key/API Key,总之是证书颁发机构需要通过API方式进行域验证。支持的DNS服务尚包括阿里云、DNSPod、Cloudflare。
有了ACME和DNS账户之后,才可以使用DNS验证方式申请证书,1panel中会自动识别并选择相应的账户,同时,会勾选自动续签。在『创建证书』页面,输入主域名、其他域名,其他域名建议采用通配符域名,点击『确认』即开始申请证书。1panel使用的证书颁发机构为Let's Encrypt,有效期90天。
证书申请完成后,我们还需要开启网站的HTTPS。通过点开左侧导航栏『网站』,打开的页面中点开网站代号,选择『HTTPS』,可以看到『启用HTTPS』选项默认是关闭的,打开即可。
3.防火墙
1panel提供了3个和防火墙相关的配置入口,分别为Openresty WAF、iptables和应用商店第三方WAF。
第一个入口是网站的WAF,由1panel使用的Openresty LUAJit集成,安装后即可用。
点开『网站』,点击右侧的『WAF』就可以打开网站应用防火墙配置。默认提供的WAF基本防护完全够用,将默认关闭的CC防护、文件扩展名黑名单等开启,无需再额外添加其他的规则就能够满足网站运行的基本安全需求。
第二个入口是基于iptables的主机防火墙,可通过『主机』导航下的『防火墙』进入,可配置端口过滤等基于ip、tcp、udp等的访问控制规则,前提是需要安装ufw、firewalld等系统程序。
第三个入口是通过应用商店安装南墙防火墙,需要注意的是,如果计划安装、使用南墙防火墙,需要提前进行好端口分配规划。南墙防火墙需要使用独立的HTTP或HTTPS端口,应避免和Openresty等服务端口重叠。
4.不推荐的配置
以上通过1panel进行的网站必要配置基本上覆盖了网站及面板的整体配置需求,完整照顾到了安全、访问便利性、访问控制等方面,并且由于1panel及其组件基于docker部署的特性,不会对系统有侵入性的影响。因此,老E并不推荐再修改LNMP各组件模块的配置文件,去满足一些并不存在的”前瞻性“需求。有问题解决问题,没有问题不能想象、制造问题,搭建的网站没有内容、没有访问量,哪里有什么威胁。
实操场景下,对于wordpress而言,xmlrpc.php 会带来一定的安全风险,因为站点多了一个附加访问点,但不熟悉系统的新手如果用拷贝来的垃圾脚本或命令去除了xmlrpc,很可能会带来额外的诸如301跳转问题等,会导致跨境cdn的应用失效。
文章评论