网站服务器利用宝塔面板必须要做的几项设置要点
现在很多新手站长们的站点 Linux 服务器都装的是宝塔面板,毕竟宝塔面板非常适合新手,可以大概快速、方便、高效的搭建网站生产情况,明月在给客户代维也经常遇到利用宝塔面板的用户就发现不少新手大概是底子知识匮乏缘故原由不能很好的设置宝塔面板的初始设置,为此专门在视频号上开过直播讲过的,本日又重新整理汇总了一下,分享给大家,盼望可以帮助到新手站长们更好、更安全的运用宝塔面板。注:我们本日重要是讲 Linux 下的宝塔面板哦,不包罗 Windows 版的!
https://img-blog.csdnimg.cn/img_convert/5a669f5a6157d5207cfae70efa3c1876.png
一、Linux 发行版的选择
多年代维履历下来,明月一般都是发起 CentOS Linux 发行版作为站点服务器操作系统的,缘故原由其实很简单,主流选择永远不会错的,而且实践也证明宝塔面板在 CentOS 7、8 版上表现也是最稳定的。所以,新手来说 Linux 发行版就选择 CentOS 即可,至于版本 7.x 和 8.x 都是可以的。至于宝塔面板安装方式,我推荐在 Linux 控制终端接纳【Centos 安装脚本】,至于 LNMP(Linux+Nginx+MySQL+PHP)的安装发起有条件就接纳编译安装兼容性、稳定性最好(还能顺便评估一下服务器设置性能,无非就是有点儿花费时间,但利用 Linux 就是要担当编译安装这种情势,由于 Linux 下这黑白常常见和必要的安装方式)。
发起新手们通过百度、谷歌多搜刮和学习一些 Linux 以及 CentOS 发行版的底子命令、底子概念了解学习一下,这对你后期更好的利用宝塔面板有很大的助力。
二、LNMP 情况搭建的留意事项
LNMP 情况重要就是搭建站点的生产情况,对我们网站的上线、运行、安全防护都有很大的影响,所以要留意下面几个事项:
1、Nginx 设置优化
这里其实只有一点,就是根据你服务器内核 CPU 个数对 Nginx 进行设置,如下图:
https://img-blog.csdnimg.cn/img_convert/aad6ba095823083cae88bbb18d40c81e.png
你 2 核的就在修改 worker_processes 值为:2,上图所示服务器是 16 核的,所以就填上了 16,这里重要是为了让 Nginx 更好的利用并行多 CPU 运算本领,提高 Nginx 的效能。
一般出于安全上的考虑最好在 Nginx 设置文件防止默认设置导致暴漏域名,由于有些无良爬虫可通过 HTTPS 访问扫描全网 IP,袒露证书、同时袒露你的域名,纵然你套了 CDN 也逃不掉。只需要在 Nginx 设置文件里添加一段如下语句即可:
server
{
listen 443 ssl http2;
ssl_reject_handshake on;
}
具体位置如下图所示:
https://img-blog.csdnimg.cn/img_convert/62350c0faaa125dff430841ff607fe7d.png
最后生存设置即可。
留意:ssl_reject_handshake需要 Nginx 至少是 1.91.x 以上版本才支持哦!
2、一定要开启 Nginx 的站点日志
站点日志的作用非常重要,这点儿明月在【说说 Nginx 日志(Log)在网站安全上的重要性】一文里已经夸大过了,哪怕你自己看不懂也要记得开启站点的日志记载,由于这在出现题目、故障、安全防护需要的时间都能用上,便于更快的找到题目所在。
比力惋惜的是不知道宝塔官方是基于什么考虑竟然默认关闭了站点日志记载,只保存了error_log的记载,这明显是不够的,所以明月发起大家手动设置站点 Nginx 设置文件开启站点的日志也就是access_log,只需要在宝塔面板——【网站】——对应站点【设置】——【设置文件】里error_log /www/wwwlogs/www.mydomain.com.error.log;这段上面添加如下代码即可:
access_log /www/wwwlogs/www.mydomain.com.log;
完成后就是如下图这样:
https://img-blog.csdnimg.cn/img_convert/a720ccc8339810cd7c7ed520a594ab26.png
这就开启了www.mydomain.com站点的日志记载,生存设置文件后就可以在宝塔面板——【日志】——【网站日志】里看到这个域名站点的及时日志了,如下图所示:
https://img-blog.csdnimg.cn/img_convert/504b6881edf43f30102446d906cd1876.png
你宝塔里每个站点都发起参照这样开启日志记载功能,由于这对后期的维护真的非常非常重要。
最后,为了不让日志日积月累的越来越大占用服务器存储空间,还需要在宝塔面板——【计划任务】里添加一个叫【日志切割】的定时计划任务来防止日志文件过于巨大,详细设置可以参考如下图所示:
https://img-blog.csdnimg.cn/img_convert/e9b16eadb57364e775d8c969b0a8de43.png
然后“添加任务”就可以在下面的任务列表里看到这个计划任务了:
https://img-blog.csdnimg.cn/img_convert/70774e7077f6b14c21720e9ba4fceac4.png
详细切割行为很抽象,大家可以自行百度、谷歌搜刮学习理解,这里就不赘述了。总之,只要你开启了站点日志就一定要做日志切割,否则要不了多久你的服务器存储空间就报警了。
3、PHP 设置和扩展的选择
PHP 作为网站系统运行的表明语言,关乎网站系统运行效坦白接影响网站速度的响应速度的,所以服务器上 PHP 的设置也要留意,而且不必要的 PHP 扩展就不要随便安装,要遵照不利用就不安装的原则,常见的 WordPress 加速优化里一般只需要利用 PHP 扩展 OPCache 和 Memcached 即可,PHP 扩展里就只安装这两个扩展即可,很多新手还喜欢安装 Redis 扩展,这是完全没有必要的,甚至非常的画蛇添足带来很大的安全隐患,Redis 并不是单服务器利用的,就算利用也不见得比 Memcached 性能提升有多少,对于我们大部门站点来说 Memcached 足够用了。
https://img-blog.csdnimg.cn/img_convert/e850af97e6b781e57c2cc6476cdad20e.png
注:OPCache 重要是用来缓存 PHP 代码加速 PHP 代码运算性能的,所以一般保持默认设置即可,也是 PHP 必装的扩展。而 Memcached 扩展是需要 WordPress 插件如:WP Super Cache 的配合大概主题自身支持来利用的。
PHP 的设置无非就是根据你服务器的内存来机动调整的,理论上内存大于 4G 的话就发起接纳“静态”的运行模式,并发方案以内存的二分之一为最佳(全部内存的话会频仍出现 502 故障),详细设置可参考如下图所示:
https://img-blog.csdnimg.cn/img_convert/208c0f15022b923c54f89a5ef67fba97.png
一般就需要根据实际情况调整箭头所指的即可。
4、MySQL 发起关闭二进制日志
由于 MySQL 关系着 WordPress 网站系统的并发本领,所以发起关闭 MySQL 的二进制日志记载提高 MySQL 运行效率,如果服务器内存够大,发起给 MySQL 跟多的内存利用权限,详细设置如下图所示:
https://img-blog.csdnimg.cn/img_convert/b30e7f066bcbdee4c9764c17f420de73.png
https://img-blog.csdnimg.cn/img_convert/45aa4d401ff5bc851d5e18f44224dac9.png
WordPress 能出来多大内容的瓶颈其实就是在 MySQL 上的,所以 MySQL 不发起大家随意去调整,如需处理百万级、万万级内容的 WordPress 可以单独咨询明月咨询相干解决方案。
二、宝塔面板的安全设置
由于宝塔面板拥有你服务器最高 root 权限,所以一定要做好宝塔面板的安全设置,单独的宝塔面板账号暗码保护本领有限,有条件明月一般都是发起限制固定 IP 大概 IP 地址段才能访问宝塔面板的,这就需要大家要做到固定网络和固定电脑来访问宝塔面板,如果你固定电脑利用的是宽带 IP 地址每次路由器重启都会变化,可以借助ipip.net网站查询自己 IP 来获得你所在地宽带运营商的 IP 地址段(会有多个)并生存记载填写在宝塔面板——面板设置——授权 IP 里(如下图所示位置):
https://img-blog.csdnimg.cn/img_convert/a7ba93ca3e4a6d472f8f3041ceb51534.png
这里要留意如果你变更了宽带运营商的话,记得要及时修改哦,否则可就无法访问宝塔面板了,只能 SSH 登录服务器运行宝塔命令来重置了!
当然宝塔面板的安全另有很多方式,你也可以根据自己的情况机动选择哪个方式,这个授权 IP 明月感觉是本钱最低的,安全效果也是最好的。
1、端口的开放和关闭
一个服务器安全与否跟开放的端口有很大的关系,所以我们在利用宝塔面板的时间一定要留意端口安全,依旧是要遵照不必要的端口就不要开放的原则,像宝塔面板登录端口就不发起利用默认的,最好是自己指定一个只有自己知道的端口,而且这个端口也仅限固定的 IP 和 IP 地址段才能请求,就跟上面讲的一样。端口的设置在宝塔面板——安全——系统防火墙下就可以设置,如下图所示:
https://img-blog.csdnimg.cn/img_convert/e6cc34792559cb248393ba36f2f163e1.png
可以在上图这里修改宝塔面板登录端口(当前是 34720)和仅限指定 IP 大概 IP 地址段才能访问。
别的,如果你利用 Memcached 这个 PHP 扩展,就需要关闭 Memcached 默认端口 11211 的出/入请求,由于 Memcached 是服务器当地自用的,根本就不需要外界的访问请求,一旦开启了 11211 外部请求权限很容易被利用漏洞获取服务器 root 权限入侵的。所以明月一般都是发起关闭的,如下图所示:
https://img-blog.csdnimg.cn/img_convert/b4bb9360c6747db4a270ec04ab705620.png
同理如果你利用了 Redis 也是要关闭 Redis 默认端口的出/入请求。
如果你的站点已经申请了 SSL 证书实现 HTTPS 并逼迫 HTTPS 请求,明月发起最好直接关闭 80/8080 端口,由于这两个端口是恶意爬虫最喜欢扫描的,会带来很多的安全隐患,HTTPS 端口是 443,由于我们已经逼迫站点 HTTPS 了,所以只需要保存 443 端口即可,不给对方留任何的安全缝隙。
2、宝塔面板的 Nginx 防火墙
这个宝塔面板的 Nginx 防火墙其实非常的鸡肋,可以说当你用到的时间根本也就晚了,而且效果非常有限,尤其是在面临 CC 攻击的时间,一句话:弱爆了!缘故原由很简单,这个防火墙再牛逼依然是需要你服务器来运行和运算的,但凡攻击量轻微大一点就能让你服务器宕机,一个简单免费的 CC 攻击工具就能做到这个效果。所以在明月眼里这个防火墙就是形同虚设。
三、宝塔面板之外的安全防护意识
宝塔面板的最大作用就是让我们方便的设置、部署 Linux 服务器,绕过那繁琐的命令行,所以一个站点大概说服务器的安全更多的是要依赖于外部的安全防护措施,兵临城下从来都不是一个好的安全策略。这就要说到明月经常给大家推荐的带有 WAF 的 CDN 服务了,由于至今为止放眼全球也只有 CDN 服务是可以真正防御 CC 攻击甚至 DDoS 攻击的,唯一取决于 CDN 服务商愿不愿意而已,很幸运的是 CloudFlare 可以免费的给我们提供这种服务,所以大家要想让宝塔面板下的站点更加的安全最好是用 CloudFlare,本日受限于篇幅明月就不多做赘述了,我的博客上已经有很多 CloudFlare 相干的介绍和教程了。
总之,大家要明白的是宝塔面板最大的优点就是让新手可以方便的部署和利用 Linux 服务器来运行我们的站点,但要想更加的安全宝塔面板本领有限,这并不是宝塔的错,只能说是黑客技能的题目,所以说并不是用了宝塔面板让网站上线就可以高枕无忧了,就现在的网络安全趋势,我们照旧要更多的增强安全防御意识的。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]