老E的博客

  • 首页
  • 关于
  • 技术应用
    • VPS相关
    • AI相关
    • 盒子相关
    • 其他
  • 订阅Youtube频道
  • 网络加速
    • expressvpnNo.1 ExpressVPN
    • 最佳免费VPN-PrivadoVPN
    • NordVPN
    • 廉价王者-Surfshark
    • PrivateInternetAccess
    • 解锁一切-PrivateVPN
  • 公益资源
    • AI导航
    • 工具下载
    • Docker镜像加速
  • 友情链接
    • tickcloudTickcloud
老E的博客
专注记录并分享跨境技术应用及随想
  1. 首页
  2. 技术应用
  3. VPS相关
  4. 正文

网站搭建的完整、必要配置

2023年12月1日 1632次阅读 0条评论
clawcloud
expressvpn best vpn
privado vpn
surfshark vpn
private vpn
pia vpn
nord vpn

1panel作为一款新生代系统运维(System O&M)面板,轻便、灵活、充分利用了docker的优秀特性,能够快速的搭建起Wordpress、Halo等各种动静态网站(webserver),1panel默认采用容器化(docker)方法管理应用,提供了必要的安全隔离。使用1panel建站的目的是发布内容,建站的同时,也可以使用1panel对网站进行必要的安全配置,让任何非技术人员能够简捷地实现网站的必要防护,少占用时间精力,将重心放在业务上而不是系统与网站技术运维上。

在上文『使用1panel快速搭建上线网站』后,使用1panel进行必要的完整配置大致分为访问控制与域名绑定、HTTPS、防火墙等3个方面,本文做简要介绍和操作指引。

1.访问控制

1panel的『面板设置』页中,『安全』选项卡下的重点配置项包括面板端口、安全入口、授权IP、域名绑定、面板SSL,其中安全入口是最主要的面板访问控制选项。

点开『安全入口』选项右侧的『设置』,可以刷新/变更安全入口的随机字符串,安全入口在这里是可见的,这样访问面板的URL地址就是“IP:port/安全入口字符串"或“域名:port/安全入口字符串"了。安全入口随机字符串可以由1panel自动生成,也可以手动输入。

面板端口可以修改自定义,授权IP则确定哪些IP地址可以访问、登录面板(注意是面板,不是网站),而面板SSL需要结合域名绑定和SSL配置使用,如果进行统一管理则还需要配置反向代理。

域名绑定仅仅是输入一个域名而已,但能够正常访问(包括80、443之外的非标准端口的使用)的前提是:

  • 国内VPS需要完成域名备案,且DNS解析指向VPS的IP地址
  • 国外VPS无备案限制,仅需保证正确解析DNS域名指向VPS

2.开启HTTPS

要开启网站的HTTPS,首先要配置好域名的DNS解析、申请SSL证书。域名解析本文略过,在1panel中,通过点开左侧导航栏的『网站』下的『证书』选项页面,就可以导入或生成网站证书。

这里需要注意的是,通过1panel提供的功能可以申请网站的ACME证书,需要有『ACME账户』,而『DNS账户』不是必须的,只有计划使用DNS验证方式申请证书的才需要在1panel中创建『DNS账户』,否则只能使用Host验证方式申请证书。

『ACME账户』的创建仅仅需要一枚邮箱即可。『DNS账户』的创建则需要提供相应DNS解析服务提供商账户的Access Key/API Key,总之是证书颁发机构需要通过API方式进行域验证。支持的DNS服务尚包括阿里云、DNSPod、Cloudflare。

有了ACME和DNS账户之后,才可以使用DNS验证方式申请证书,1panel中会自动识别并选择相应的账户,同时,会勾选自动续签。在『创建证书』页面,输入主域名、其他域名,其他域名建议采用通配符域名,点击『确认』即开始申请证书。1panel使用的证书颁发机构为Let's Encrypt,有效期90天。

证书申请完成后,我们还需要开启网站的HTTPS。通过点开左侧导航栏『网站』,打开的页面中点开网站代号,选择『HTTPS』,可以看到『启用HTTPS』选项默认是关闭的,打开即可。

3.防火墙

1panel提供了3个和防火墙相关的配置入口,分别为Openresty WAF、iptables和应用商店第三方WAF。

第一个入口是网站的WAF,由1panel使用的Openresty LUAJit集成,安装后即可用。

点开『网站』,点击右侧的『WAF』就可以打开网站应用防火墙配置。默认提供的WAF基本防护完全够用,将默认关闭的CC防护、文件扩展名黑名单等开启,无需再额外添加其他的规则就能够满足网站运行的基本安全需求。

第二个入口是基于iptables的主机防火墙,可通过『主机』导航下的『防火墙』进入,可配置端口过滤等基于ip、tcp、udp等的访问控制规则,前提是需要安装ufw、firewalld等系统程序。

第三个入口是通过应用商店安装南墙防火墙,需要注意的是,如果计划安装、使用南墙防火墙,需要提前进行好端口分配规划。南墙防火墙需要使用独立的HTTP或HTTPS端口,应避免和Openresty等服务端口重叠。

4.不推荐的配置

以上通过1panel进行的网站必要配置基本上覆盖了网站及面板的整体配置需求,完整照顾到了安全、访问便利性、访问控制等方面,并且由于1panel及其组件基于docker部署的特性,不会对系统有侵入性的影响。因此,老E并不推荐再修改LNMP各组件模块的配置文件,去满足一些并不存在的”前瞻性“需求。有问题解决问题,没有问题不能想象、制造问题,搭建的网站没有内容、没有访问量,哪里有什么威胁。

实操场景下,对于wordpress而言,xmlrpc.php 会带来一定的安全风险,因为站点多了一个附加访问点,但不熟悉系统的新手如果用拷贝来的垃圾脚本或命令去除了xmlrpc,很可能会带来额外的诸如301跳转问题等,会导致跨境cdn的应用失效。

本作品采用 知识共享署名-非商业性使用-禁止演绎 4.0 国际许可协议 进行许可
标签: 1panel Linux系统运维 建站
最后更新:2024年5月29日

老E

这个人很懒,什么都没留下

点赞
< 上一篇
下一篇 >

文章评论

razz evil exclaim smile redface biggrin eek confused idea lol mad twisted rolleyes wink cool arrow neutral cry mrgreen drooling persevering
取消回复

站内搜索
归档
  • 2025 年 5 月
  • 2025 年 4 月
  • 2025 年 3 月
  • 2025 年 2 月
  • 2025 年 1 月
  • 2024 年 12 月
  • 2024 年 11 月
  • 2024 年 10 月
  • 2024 年 9 月
  • 2024 年 8 月
  • 2024 年 7 月
  • 2024 年 6 月
  • 2024 年 5 月
  • 2024 年 4 月
  • 2024 年 3 月
  • 2024 年 2 月
  • 2024 年 1 月
  • 2023 年 12 月
  • 2023 年 11 月
  • 2023 年 10 月
  • 2023 年 9 月
  • 2023 年 8 月
  • 2023 年 7 月
  • 2023 年 6 月

Copyright ©2023-2025 Appscross. All Rights Reserved.