最近有小伙伴反馈去不图床打开有一些慢，除了网络的问题外，页面处理速度多少也会有些影响，毕竟图床用户越来越多。经朋友的推荐，打算用 OpenLiteSpeed 替代 Nginx 以获取性能提升。软件简介OpenLiteSpeed 是 LiteSpeed EnterPrise 的社区版本，OpenLiteSpeed 的组件有官方进行主要维护和更新，提供商用企业级的体验。在性能上，LiteSpeed Tech 提供的 BenchMark 中，在 WordPress/Joomla/OpenCart/ModSecurity和HTTP/2以及小型静态文件的测试上都比 Apache HTTPD 和 Nginx 有这更好的表现：注意事项OpenLiteSpeed 兼容 Apache 的伪静态格式，也就是说，可直接读取.htaccess文件；OpenLiteSpeed 不支持低版本 PHP，如果您需要 PHP5.6以下版本，则不能使用 OpenLiteSpeed；请不要为 OpenLiteSpeed 的 PHP 安装 OPcache 扩展，实测证明安装后会降低效率；OpenLiteSpeed 相较 Nginx，PHP 的扩展性和可调配置略差。 ...继续阅读 (19)

现在 HTTPS 已非常普遍，很多网站都加了 SSL 证书，但仍然有许多访客使用 HTTP 的方式访问，今天杜老师分享下两种通过 Nginx 实现强制 HTTPS 访问方法。强制跳转访问12345#HTTP_TO_HTTPS_STARTif($server_port!~ 443){rewrite^(/.*)$https://$host$1permanent;}#HTTP_TO_HTTPS_END注意：将上面的代码无需任何编辑，直接复制到 Nginx 的配置文件中即可，当用户通过 HTTP 访问，会强制跳转到 HTTPS 的形式。强制安全访问1add_headerStrict-Transport-Security"max-age=31536000; includeSubDomains"always;注意：max-age 为强制最大时间，单位为秒，设置 31536000 则含义为一年内强制使用 HTTPS 的形式访问；includeSubDomains 含义为包含二级域名，如存在该设置，则dusays.com和cdn.dusays.com都要验证；always 为响应所有的请求头。 ...继续阅读 (18)

经过十多天的折腾，杜老师的私人技术博客终于和大家见面了。上线一个博客真的很困难吗？今天我们来聊聊吧！服务系统选择杜老师的学生大部分用的都是 CentOS 系统，这是一款重量级 Linux 操作系统，用作静态博客网站太过大材小用，所以杜老师选择了较为轻量的 Ubuntu 系统，这款麻雀虽小五脏俱全的系统深受杜老师喜爱。版本没有严格要求，杜老师选择了 18.04TLS 这一版，TLS 是技术长期支持，表示官方会在很长一段时间内维护系统的更新升级。运行环境搭建我们需要使用 npm 软件管理器安装 Hexo 命令行，所以需要先安装 npm：1apt -yinstallnpm然后通过 npm 软件管理器安装 Hexo 命令行：1npm install hexo-cli-g接下来就可以使用 Hexo 来配置博客网站，不过 Hexo 程序源码位于 GitHub，部署之前需要先安装 Git 工具：1apt -yinstallgit之后就可以使用 Hexo 命令来生成博客网站文件，命令执行后会自动创建一个目录为 blog，里面就是博客网站文件，你也可以将 blog 改成其它名称，不过不可以使用中文哦：1hexoinitblog生成博客网页上面的命令是生成博客程序文件，我们还需运行下面的命令生成可以访问的网页文件。首先生成网页文件：12cdblog/hexo g有个网页文件之后，我们还需要可以访问该网 ...继续阅读 (10)

当搭建非 80 端口服务时，是无法直接通过域名访问的。一般我们会通过 Nginx 的反向代理功能实现端口重定向，今天我们聊一下三种重定向解决方案。通过 Nginx 等反向代理123456789101112131415161718#PROXY-START/location/{proxy_passhttp://127.0.0.1:8080;proxy_set_headerHost$host;proxy_set_headerX-Real-IP$remote_addr;proxy_set_headerX-Forwarded-For$proxy_add_x_forwarded_for;proxy_set_headerREMOTE-HOST$remote_addr;add_headerX-Cache$upstream_cache_status;#Set Nginx Cacheadd_headerCache-Controlno-cache;expires12h;}#PROXY-END/注意：其它 Web 引擎的反向代理配置，可以参考《常见 Web 引擎的反向代理配置参考》一文。通过 CDN 指定源地址以阿里云 CDN 为例，演示如何配置实现反向代理：通过 IPTABLES 防火墙1iptables -t nat -APREROUTING -ptcp--dport80-j RE ...继续阅读 (15)

我们在搭建网站时，为了方便管理，常常会选用 PHP+MySQL 这种架构，Web 引擎可选择 Apache 或是 Nginx。今天杜老师说一下，选择 Nginx 时，主配置文件和站点配置文件如何改写！Nginx 主配置文件1234567891011121314151617181920212223242526272829303132333435363738394041424344454647userwww www;worker_processesauto;error_log/www/wwwlogs/nginx_error.logcrit;pid/www/server/nginx/logs/nginx.pid;worker_rlimit_nofile51200;events{useepoll;worker_connections51200;multi_accepton;}http{includemime.types;includeproxy.conf;default_typeapplication/octet-stream;server_names_hash_bucket_size512;client_header_buffer_size32k;large_client_header_buffers432k;client_max_body_size50m; ...继续阅读 (12)

大家好，我是熊猫，你的NAS领航员。NAS不只是存储那么简单，数码也可以是生活，关注我，给你的生活加点'技'趣！引言大家都知道极空间新版本已经分批更新SSH端口权限，而随着端口权限的放开，那自然就能扩展出很多更深的玩法。熊猫之前一直说过，NAS除了Docker以及虚拟机这种，还有很多有趣的项目，毕竟本身也是带Nginx的，但想要更好的使用Nginx我们就需要一个不错的UI，所以今天教大家如何在极空间部署Nginx UI，实现建站等各种有趣玩法。介绍首先介绍今天用到的设备—极空间Z423旗舰版，之前一直用Z423跑虚拟机和Docker，但一直没玩过建站，但Z423的性能的确是可以用来做一些建站的，即便是对性能要求比较高的站点也依然可以运行，例如用来部署游戏服务器、博客、论坛或者一些动态网页。当然了，Nginx并不需要太高的性能，所以Z2Pro、Z4Pro甚至T2这种也是可以尝试，只要支持Docker就行。恰好双十一极空间正在做活动，错过又要等一年，需要的可以直接下手。部署因为目前DockerHUB的墙越来越高了，所以现如今想要拉取镜像需要配置好Docker的加速地址。这里我们打开Docker，点击镜像再切到仓库界面，在右上角能看到设置，打开设置能看到仓库设置，在这里我们可以设置镜像加速。这里推荐一些比较不错的加速源，例如docker.1panel.live、dockerpull以及j ...继续阅读 (23)

在日常工作中，维护运行某些程序，需要通过配置文件，更改软件的行为逻辑，比如Nginx的配置文件、Prometheus的配置文件等。在较复杂的一些真实业务场景中，可能还涉及多机房的加载不同配置文件。阅读更多 ...继续阅读 (28)

我的 seafile 安装在内网，服务地址是http://10.10.10.5:8088，然后我使用 frp 将其暴露在了公网https://seafile.940304.xyz。正常情况下在任何联网设备上都可以通过域名seafile.940304.xyz访问，并且能够上传和下载。但是当我处于10.10.10.0/24家里的内网时，我发现上传文件走了公网（seafile.940304.xyz所在服务器），所以数据包兜了个圈再回到我家，这样的表现就是上传下载文件都非常缓慢，最大速率刚好是我的公网机器的带宽。我发现这是 seafile 系统设置当中FILE_SERVER_ROOT这个变量定义成了https://seafile.940304.xyz/seafhttp导致的，于是寻求解决办法。一个临时办法：当我处于家庭内网时，如果需要上传大文件，我可以手动改一下系统配置，将 FILE_SERVER_ROOT 改成http://10.10.10.5:8088/seafhttp，这样可以临时解决上传速度慢的问题。但是这样未免有点低效。我开始上网搜索解决办法，看到如下这些相似的帖子：做了ssh反向代理，内外网不能同时下载文件Seafile服务器FILE_SERVER_ROOT的问题请教公网映射后如何内网访问思索再三之后，配合 gpt-4o 对我的一些建议，我发现一个不错的解决办法，因为我的家庭网 ...继续阅读 (26)

我以前调试PHP代码，一直都是在真实环境中进行调试了，但这会影响到环境的运行，所以就想着本地安装个环境进行调试。 1、VMware® Workstation 17 Pro 17.5.2 build-23775571 2、Centos6.10 3、Debian12 4、PHP 7.0.33 (cli) (built: Oct 10 2024 09:07:20) ( NTS ) 5、Zend Engi... ...继续阅读 (21)

安装 Ubuntu 24.04 (LTS)， Webmin， Nginx， MariaDB， PHP8.3-FPM，Perl-Fastcgi 到 DigitalOcean 的 VPS在第一部分，DavidYin 介绍了如何在 DigitalOcean 创建新 VPS。并且完成基本的 Ubuntu 24.04 LTS的系统。第二部分介绍如何安装 Webmin 主机控制面板，SSH 的安全设置，时区设置和添加新用户 。下面 DavidYin 要说明一下如何用之前的新添加的用户来安装 Nginx Web 服务器和 MairaDB 数据库服务器。第三部分安装 Nginx Web 服务器Ubuntu 24.04 LTS server 版目前的 Nginx 还是 Legacy 版本，可以直接安装，当前的最新版本是 1.24.0。输入命令安装。sudo apt install nginx安装完成后，可以看一下安装后的版本以及编译信息davidyin@walnut:~$ nginx -V nginx version: nginx/1.24.0 (Ubuntu) built with OpenSSL 3.0.13 30 Jan 2024 TLS SNI support enabled configure arguments: --with-cc-opt='-g -O2 -fno-omit-frame ...继续阅读 (13)

最近好多小伙伴的博客都被镜像，包括杜老师的。整理了多种方式放置网站被镜像，需要的小伙伴可以试试。虽说被镜像会增加流量，但却减少了域名的权重，还是要避免的！检查域名1234vardomain= "dusays.com";if(location.href.indexOf(domain) ===-1) {window.location='https://dusays.com';}注意：在前端使用 JavaScript 判断当前域名是否合法，如果不是授权域名，则会跳转到原域名。为增强安全性，可对这段代码进行混淆处理，以防止被替换。设置头部12add_header X-Frame-Options"DENY";add_header Content-Security-Policy"frame-ancestors 'none'";注意：使用X-FRAME-OPTIONS和Content-Security-Policy头部来防止网站被嵌入到 iframe 中，可在 Nginx 配置中添加上面内容。限制访问定期分析访问日志，将可疑的 IP 地址加入黑名单，或者限制访问频率。这可以通过 Nginx 的limit_conn和limit_req指令实现。过滤爬虫123if($http_user_agent~* "curl|wget|python") ...继续阅读 (19)

我本来是用1panel跑Adguard Home，也就想着用1panel来运行technitium，可是如果直接进行递归解析，容器没有ipv6。我想过让1panel的docker支持ipv6，可是1panel官方文档导入需要一个ipv6的ip段，可我的v6地址是/128的，所以也不行。于是不用docker容器，直接运行。需要做三件事情安装technitium，在官网找到一键安装脚本即可，面板默认端口是5380。进去后台用户名是admin，不能改，它会弹框让修改密码。之后在setting – optional protocols中打开DNS over HTTP（注意不是DNS over HTTPS），这个可以直接反代来用，更灵活。安装acme.sh来申请ssl证书以及自动更新。官方的文档很详细了，我用的cloudflare来验证，需要token, zone id,account id#安装acme.sh curl https://get.acme.sh | sh -s email=my@example.com #导入环境变量 export CF_Token="填DNS token" export CF_Zone_ID="填区域ID" export CF_Account_ID="填账户ID" #申请命令 acme.sh --issue --dns dns_cf ...继续阅读 (70)

项目介绍 该项目是用 Go+Vue.js 构建的 Nginx 在线管理平台，它开箱即用、功能丰富，支持流量统计、在线查看 Nginx 日志、编辑 Nginx 配置文件、自动检查和重载配置文件等功能。 项目截图 项目特性 ...继续阅读 (63)

CC 攻击是一种网络攻击手段，属于 DDoS 攻击的一种形式。CC 攻击的主要目的是通过发送大量看似合法的请求到目标服务器，耗尽服务器的资源，使得服务器无法处理正常的用户请求，从而导致网站服务无法访问。限制请求速度123456limit_req_zone$binary_remote_addrzone=one:10mrate=30r/m;server{location /login.html {limit_reqzone=one;}}注意：在安装 Nginx 时加载 ngx_http_limit_req_module 模块，通过limit_req_zone指令定义请求速率限制的区域，并使用limit_req指令在特定的location中应用这些限制。这样设置可限制每个客户端 IP 每分钟最多发起30个请求。限制连接数量123456limit_conn_zone$binary_remote_addrzone=addr:10m;server{location/store/ {limit_connaddr10;}}注意：在安装 Nginx 时加载 ngx_http_limit_conn_module 模块，通过limit_conn_zone指令定义连接数量限制的区域，并使用limit_conn指令在特定的loc ...继续阅读 (24)

防盗链技术主要用于防止未经授权的网站直接链接到另一个网站上的资源，如图片等。这种技术通过各种方法验证请求的合法性，以确保只有授权的用户或网站才能访问特定的资源。解决思路在 Nginx 中配置防盗链主要是通过验证 HTTP 请求中的 Referer 头部来实现。如果请求的 Referer 头部不满足特定的条件，则 Nginx 可以拒绝服务。可使用valid_referers指令，这指令用来定义哪些 Referer 是有效的。可以使用none来拒绝所有没有 Referer 的请求，或blocked来拒绝所有 Referer 被屏蔽的请求。可使用if语句和return指令，在server块中，可使用if语句来检查$invalid_referer变量，如果这个变量为 true，则返回一个403禁止访问的状态码。配置文件打开 Nginx 的配置文件，通常这个文件位于：1/etc/nginx/nginx.conf或者某个特定的站点配置文件中，比如：1/etc/nginx/sites-available/default配置方法下面是一个简单的配置示例：123456789101112server{listen80;server_namedusays.com;location~ .*\.(jpg|jpeg|gif|png|js|css)${valid_referersnonebl ...继续阅读 (25)

ModSecurity 是一个开源、跨平台的 Web 应用程序防火墙引擎，适用于 Apache 和 Nginx。具有强大的基于事件的编程语言，可抵御针对 Web 应用程序的一系列攻击，并允许进行 HTTP 流量监控、日志记录、实时分析。安装步骤首先，需要安装一些必要的依赖包，例如 libxml2/libpcre3/libapr1 等。可以通过包管理器完成，例如在 Debian 或 Ubuntu 系统上使用apt：12sudo aptupdatesudo apt -y install libxml2 libxml2-devlibpcre3 libpcre3-devlibapr1 libapr1-devlibaprutil1 libaprutil1-dev接着，从 GitHub 克隆 ModSecurity 源代码，编译安装：123456gitclone--recursive https://github.com/owasp-modsecurity/ModSecurity ModSecuritycdModSecurity./build.sh./configuremakesudo make install安装模块然后，下载 Nginx ModSecurity 模块并编译 Nginx 以包含模块：12345git clone https://github.com/owasp-modsecu ...继续阅读 (22)

原来IPV4的监听端口：listen 80; listen 443 ssl http2;要开启IPV6访问，添加IPV6监听端口，需要在宝塔网站的配置文件中找到如上代码，并在下边添加IPV6监听端口，添加后如下：listen 80; listen 443 ssl http2; listen [::]:443 ssl http2; listen [::]:80; ...继续阅读 (32)

最近给本站升级 HTTP3，这个东西出来有两年了，浏览器和很多平台都支持完毕，可惜本站所用的Node.js 仍没支持，没办法还得在前头整个 Nginx。升级完成之后的效果还是很可观的：可以看出 h3 协议的首屏图片加载用时在 200ms 左右，而 h2 的在 400ms 到 500ms 之间，说实话提升这么大我是没想到的，应该跟本站服务器在美国有关，这也展现出了 HTTP3 的威力，新技术，赶紧冲！Nginx 配置开启 HTTP3 的过程其实不复杂，本文以本站使用的 Nginx 反代为例，同时它也是最流行的 HTTP 服务器，要是你用的库还没支持的话也可以搞一个放前面反代。Nginx 从 1.25 版本开始才支持 HTTP3，可以使用以下命令先检查一下：nginx -V 2>&1打印的输出中有--with-http_v3_module即支持 HTTP3，也可以用grep命令来搜索。在写本文时 Nginx 官方源的版本是 1.26，Debian stable 才到 1.24，如果你的源太旧可以切过去。至于怎么反代就不讲了，教程到处都是，这里仅说下如何开启 HTTP3 。给反代加上 HTTP3 只需两行：# 这是 Nginx 的站点配置文件。 server { server_name blog.kaciras.com; listen 443 ssl; + listen 443 ...继续阅读 (32)

简介kubernetes: k8s 是谷歌在2014年开源的容器化集群管理系统PodPod 是可以在 Kubernetes 中创建和管理的、最小的可部署的计算单元网络控制器ApiServer: Uniform interface for access by all servicesControllerManager: Maintaining Copy Expectationskubeadm: the command to bootstrap the cluster.kubelet: the component that runs on all of the machines in your cluster and does things like starting pods and containers.kubectl: the command line util to talk to your cluster.搭建方式kubeadminkubeadm环境安装master和nodes 均需要执行一下步骤进行安装cat <# 查看 pod 下，某个容器日志kubectl logs-c# 删除某个 podkubectl delete pod# 删除所有 deploymentkubectl delete deployment --all# 删除所有 podkubectl delete p ...继续阅读 (37)

公司的服务器，每个人部署的环境都不一样，光一个 nginx 都能玩出花来，找半天找不到可执行文件在哪里。当然是在不行可以用 find 命令。但是这个 find 效率太低了，得 tm 搜索半天。ps xua | grep nginx看下进程信息，这尼玛，./nginx 这个.表明是切换到目录下去运行的，搜索一下可能有历史记录吧，直接 historyhistory | grep nginxnice，这一下都能看出来 nginx 是通过源码编译安装的了，真就是符合 centos 的风格啊。那如果 history 没有 呢？那就下一步，既然 linux 一切皆文件，那就直接去进程找呗 数字为进程 pid。ls -la /proc/22935/exe这样就找到 nginx 的二进制文件路径了：/usr/local/nginx/sbin/nginx。为啥不用 which 命令呢，因为直接执行 nginx 运行不了，which 命令自然也无法定位文件： ...继续阅读 (35)

应 LiuShen 童鞋需求，更新一篇 Nginx 可视化编辑工具部署及使用的教程。类似的工具有很多，本篇主要介绍下 Nginx UI，有关于其特性、安装、使用等的说明，感兴趣的小伙伴可以试一下！写在前面Nginx 在 Web 引擎占比中越来越高，原因在于 Nginx 的特性，如轻量性、高性能和反代理的能力。现在云主机的用户越来越多，相比 Apache 这种重量级，Nginx 的轻量性成为了众多站长首选。加上很多站长越来越青睐通过 Docker 部署服务，同 Nginx 的反代功能配合提高了配置效率。但因为平时常用 Windows 系统，很多小伙伴不太会使用 Linux 部署网站的环境，所以绝大多数站长都选择了各类面板。现有的面板功能性越来越强，体量也愈发的臃肿。有些小伙伴开始摒弃了面板部署，选择自行搭建、配置。而 Nginx 的配置项比较多，徒手修改无疑增加了站点的维护压力。这时 Nginx 可视化编辑工具可以极大降低配置成本。Nginx UI 的简介Nginx UI 是一个全新的 Nginx 网络管理界面，旨在简化 Nginx 服务器的管理和配置。它提供实时服务器统计数据、一键部署、Let’s Encrypt 证书自动续签以及用户友好的网站配置编辑工具。此外，Nginx UI 还提供了在线访问 Nginx 日志、配置文件的自动测试和重载、网络终端、深色模式和自适应网页设计功能。 ...继续阅读 (121)

在更新上一篇文章时有提到，类似 Nginx 可视化编辑的工具有很多。上篇提到的 Nginx UI 最近的更新还是一年前，本篇分享另一款可视化编辑工具，该工具更新较频繁，且功能也比较完善，感兴趣的小伙伴们可以试试！写在前面Nginx 可视化编辑工具的出现主要是为了简化 Nginx 配置复杂性，提高配置效率，降低运维成本。Nginx 是一个功能强大的 Web 服务和反向代理服务器，但这也意味着它的配置项繁多且复杂，对于新手来说可能难以掌握。使用可视化的编辑工具，用户可以通过图形界面进行配置，无需直接编辑配置文件，这样可以减少出错的可能性，同时也提高配置的效率。如 nginxWebUI 这样工具，它不仅提供了配置 Nginx 的界面，还包括服务器指标监控、证书管理、日志查看功能。使用工具，用户可轻松实现如反向代理、负载均衡、SSL 证书的申请与续签等高级功能，而且它们通常还提供了一些额外的便利性功能，比如配置文件版本控制、一键部署和自动续期等。可视化工具的应用场景非常广泛，无论是对于需快速搭建环境的开发者，还是对于需管理多个 Nginx 服务器的运维人员，都能大大提高工作效率。例如，nginxWebUI 就支持集群管理，允许用户在一台机器上管理所有 Nginx 服务器配置文件，进行统一的修改与重启。nginxWebUI 的简介nginxWebUI 是一款图形化管理 Nginx 配置工具， ...继续阅读 (88)

前言js13kGames 是一项年度游戏开发比赛，特色是源代码限制为 13KB，详见介绍。本篇是 js13kGames 2017 年作品选辑，包含174款游戏。实例地址http://js13kgames-2017.dujun.eu.org实例配置配置描述系统Debian服务器Nginx程序js13kGames 2017 选辑实例部署权限要求具有系统读写权限已安装 Nginx安装程序官网地址：https://js13kgames.com移植官网页面，用每款游戏的开源代码独立部署。实例体验进入实例深度体验后记本实例仅供参考，不定期重置数据。体验更多开源实例 ...继续阅读 (26)

项目介绍 该项目底层基于 Nginx 的 Web 网关，作为反向代理接入网络。采用智能语意分析算法，清洗来自黑客的恶意流量，保护你的网站不受黑客攻击。它安装简单、免费版功能够用，但项目仅开源了核心算法和底层引擎。 Slogan: 不让黑客越雷池一步。 项目截图 ...继续阅读 (73)

k3s集群私有负载均衡的另一种选择tailscale在阅读此文实践前需要阅读多云组网部署 k3s 集群的另一种选择Tailscale要求基于tailscale实现k3s集群部署有私有负载均衡场景已经安装helm本文默认已经满足上述条件了。历史选择在tailscale之前，我是利用MetalLB实现负载均衡的，然后再由tailscale某个节点广播负载均衡路由的。如今在tailscale v1.50版本之后，增强了对k8s的支持，Kubernetes operator诞生了，带来了很多新功能:代理访问k8s控制平面API向k8s集群公开内部服务/k8s集群服务暴露给内部(集群内部和集群外部互通有无，甚至是跨集群互通)打通saas云服务在 Kubernetes 上部署出口节点和子网路由控制器其中2、4比较我用的比较多安装部署准备工作编辑ACL策略, 新增如下配置"tagOwners": { "tag:k8s-operator": [], "tag:k8s": ["tag:k8s-operator"], },创建Oauth客户端备用， 选择Devices读写权限，并绑定tag:k8s-operator点击创建后，会弹出Client ID和Client secret记得留存一下，只会显示一次，后续步骤会使用安装添加到本地 Helm 存储库：https://pkg ...继续阅读 (48)

前段时间接到一个需求，希望可以监控 Nginx 的运行状态。我们都知道 Nginx 作为一个流行的 Web 服务器提供了多种能力，包括反向代理、负载均衡；也支持了许多协议，包括：gRPChttpWebSocket 等作为一个流量入口的中间件，对其的监控就显得至关重要了。市面上也有一些现成的产品可以监控 Nginx，比如知名的监控服务商datadog也提供了 Nginx 的监控。但是我这是一个内网服务，并不能使用这些外部的云厂商，所有就只能在内部搭建 Nginx 的监控服务了。不过 Nginx 默认情况下并没有提供/metrics的 endpoint，但好在它提供了一个额外的模块：stub_status可以用于获取监控数据。12345678910111213server{listen80;server_name_;location/status{stub_statuson;access_logoff;}location/{root/usr/share/nginx/html;indexindex.htmlindex.htm;}}这样访问http://127.0.0.1:80/status就可以拿到一些基本的运行数据。但这个格式明显不是 Prometheus 所支持的 metrics 格式，无法直接将数据采集到 Promethe ...继续阅读 (52)

项目介绍 该项目是用 Python 开发的 Web 应用防火墙，可以无缝集成至现有环境（Linux、Docker、K8s 等）。它基于 Nginx 构建、默认配置安全，拥有简单易用的 Web 界面，支持自动配置 HTTPS A+ 评级、安全 Header 和丰富的插件系统，可检测常见的攻击模式、限制 ...继续阅读 (70)

前言通过https协议访问网站时，SSL证书确保了数据传输的安全性。目前，大多数云服务提供商提供的免费证书有效期只有90天，想要更长时间的证书则需要付费。这意味着每隔90天就需要重新签发并替换证书文件。折腾一番后，我找到了一个免费且优雅的方案，只需要在服务器上安装相关脚本，就能申请到免费的域名证书，它会定期检查证书的有效期，实现到期自动续期与更新，从而有效地获得了一个“永久”的证书。本文就跟大家详细分享下这个方案，欢迎各位感兴趣的开发者阅读本文。环境搭建我们需要用到ACME这个程序来完成证书的申请与签发。程序安装首先，我们需要通过SSH连接到服务器，通过以下命令来安装：curl https://get.acme.sh | sh安装程序会自动做以下操作：自动把acme.sh安装到你的 home 的.acme.sh目录下，即~/.acme.sh/自动创建一个bash的别名，方便命令行的直接使用:alias acme.sh=~/.acme.sh/acme.sh自动为你创建cron任务， 每天 0:00 点自动检测所有的证书， 如果快过期了， 需要更新，则会自动更新证书。更改默认证书因为acme已经被ZeroSSL收购，其默认的证书方式为ZeroSSL，但此证书生成时会携带邮箱，因此需要更换为letsencryptacme.sh --set-default-ca --server l ...继续阅读 (43)

闺蜜圈的后台服务使用 gunicorn 运行，对外接口通过 nginx 进行反代。但是反代有个问题，那就是 gunicorn 获取到的服务器的 ip 地址都是 127.0.0.1。作为一个强迫症能忍受这个？那自然不行啊。在 nginx 配置文件中增加 proxy_set_headerproxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;修改 gunicorn 启动参数，修改日志格式为：--access-logformat='%({X-Real-IP}i)s %(l)s %(u)s %(t)s "%(r)s" %(s)s %(b)s "%(f)s" "%(a)s"'重启 nginx 以及 gunicorn 服务,就可以记录真实 ip 地址了：参数说明：h is the remote address l is - (not used) u is - (not used, reserved) t is the time stamp r is the status line s is the status of the request b is length of response f ...继续阅读 (58)

前两天收到一个来自去不图床用户的反馈，说在香港区域访问图床时出现了 502 Bad Gateway 的错误，经过排查后发现是 Nginx 反代 SSL_do_handshake 出现问题，这里分享一下该问题的解决思路。问题说明是否遇到过使用 Nginx 反代网站时出现 502 Bad Gateway，明明正常访问都没问题 , 可是反代就 502 Bad Gateway , 查看错误日志显示：12024/07/1517:14:08[error]245105#0: *1324376SSL_do_handshake()failed(SSL:error:1408F10B:SSLroutines:ssl3_get_record:wrong version number)whileSSLhandshakingtoupstream,client:69.162.124.229,server:7bu.top,request: ＂GET/HTTP/1.1＂,upstream: ＂https://211.101.237.240:443/＂, host: ＂7bu.top＂, referrer: ＂https://7bu.top＂初步分析问题发现是由于网站启用 SNI，Nginx 反代时默认没有加入以下参数，故无法成功 handshake 上游的 SSL，则导致 502 Bad Gateway 错误：1p ...继续阅读 (53)