云服务器搭建翻墙
本文用来指导在AWS Linux 2023环境中安装WordPress, 包括安装Nginx, 配置Nginx,安装PHP,以及安装WordPress。
3.4.2服务器块配置
通过在/etc/nginx/conf.d.文件中创建以结尾的新配置文件,可以添加任何额外的服务器块(在Apache中称为虚拟主机)。启动Nginx时,将加载该目录中的conf。
3.4.3 Nginx全局配置
Nginx主配置文件位于/etc/nginx/nginx.conf。在这里,您可以更改设置,比如运行Nginx守护进程的用户,以及在Nginx运行时生成的工作进程的数量,等等。
注意1: 在更改配置文件之前,一定要注意备份配置文件,例如:
sudocp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.bak因未执行备份而导致的配置文件损坏/不起作用,从而导致的一切后果,请自负!
注意2:在更改Nginx 配置文件之后, 一定要先验证,再启用,禁止直接加载配置文件,验证脚本(这里假定nginx命令存在于/usr/sbin/nginx):
sudo/usr/sbin/nginx -t -c /etc/nginx/nginx.conf验证结果无错误之后,方可进行下一步操作,生产环境操作无小事,操作者切记切记。
配置信息:
worker_processes2;error_log/var/log/nginx/error.loginfo;pid/run/nginx.pid;worker_rlimit_nofile65535;参数
参数说明
worker_processes 2;
worker 数量: 根据操作系统cpu数量设置
error_log /data/nginx/logs/error.log info;
操作日志
pid /etc/nginx/logs/nginx.pid;
pid文件路径
worker_rlimit_nofile 65535;
检查打开文件最大限制数
ulimit -Hn
ulimit -Sn
修改/etc/security/limits.conf文件,在文件中添加如下行:
* soft noproc 65535
* hard noproc 65535
* soft nofile 65535
* hard nofile 65535
3.4.4 Nginx events配置
参考配置信息:
events{useepoll;worker_connections8192; }参数
参数说明
use epoll;
使用epoll的I/O 模型
阿里云香港服务器 速度
worker_connections 8192;
单个worker process进程的最大连接数数, 并发总数是worker_processes和worker_connections的乘积
3.4.5 Nginx 日志设置
配置日志文件位置,默认的日志目录设置在nginx/logs目录,
日志轮转:
vi/etc/logrotate.d/nginx该文件内容为:
/usr/local/nginx/logs/*.log{日志文件轮转周期,可用值为: daily/weekly/yearlydaily新日志文件的权限create0664workwork轮转次数,即最多存储7个归档日志,会删除最久的归档日志,生产环境需设置为90天rotate14以当前日期作为命名格式dateext轮循结束后,已归档日志使用gzip进行压缩compress与compress共用,最近的一次归档不要压缩delaycompress忽略错误信息missingok日志文件为空,轮循不会继续执行notifempty当日志文件大于指定大小时,才继续执行,单位为bytes(默认)/k/M/Gsize=100M将日志文件转储后执行的命令,以endscript结尾,命令需要单独成行postrotate重启nginx日志服务,写入到新的文件中去,否则会依然写入重命名后的文件中/bin/kill-USR1`cat/usr/local/nginx/logs/nginx.pid2>/dev/null`2>/dev/null||true默认logrotate会以root身份运行,如果想要以其他身份执行一个命令,可以这样使用:su - work -c /home/work/odp/webserver/loadnginx.sh restartendscript}演练,检查logrotate文件配置是否正确
logrotate-d -f /etc/logrotate.d/nginx输入如下,即说明配置正确:
手工执行:
logrotate-f /etc/logrotate.d/nginx3.4.6 Nginx 安全设置
为确保Nginx 服务器安全,需要采用以下配置:
(1)、禁用server 标记
server_tokens 启用的话,会暴露Nginx 版本信息,检查是否启用:
curl -I http://下面是未启用的示例:
启用:
结果验证:
(2)、自定义缓存
云服务器崩溃了
设置自定义缓存以限制缓冲区溢出攻击。nginx.conf配置如下:
http{......server{......client_body_buffer_size1K;client_header_buffer_size1k;client_max_body_size10m;large_client_header_buffers2 1k;......}(3)、设置timeout
设置timeout设低来防御DOS攻击,nginx.conf配置如下:
http{......client_body_timeout10;client_header_timeout30;keepalive_timeout30 30;send_timeout10;......}验证:
(4)、限制访问的方法
在目前的应用系统中值使用到POST、 GET和PUT方法,其他方式的请求均可拒绝。Nginx.conf配置如下:
server{......if($request_method !~ ^(GET|HEAD|PUT|POST)$) {return404; }......(5)、配置SSL证书加密套件
Nginx的默认配置允许您使用不安全的TLS协议旧版本(根据官方文档:ssl_协议TLSv1 TLSv1.1 TLSv1.2)。这可能会导致野兽攻击等攻击。因此,不要使用旧的TLS协议,并将配置更改为仅支持更新的安全TLS版本。
server{......ssl_certificate/etc/nginx/cert/ssl.pem;ssl_certificate_key/etc/nginx/cert/ssl.key;ssl_session_cacheshared:SSL:1m;ssl_session_timeout5m;ssl_ciphersECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:!NULL:!aNULL:!MD5:!ADH:!RC4;ssl_protocolsTLSv1.2 TLSv1.3;ssl_prefer_server_cipherson;......(5)、配置HTTP header
为了进一步增强nginx web服务器,可以添加几个不同的HTTP头。以下是 推荐的一些选项。
X-Frame-Options
可以使用X-Frame-Options HTTP响应头来指示是否允许浏览器在或中呈现页面。这可以防止点击劫持攻击。
为此,请在服务器部分的nginx配置文件中添加以下参数:
add_headerX-Frame-Options"SAMEORIGIN";CSP和X-XSS-Protection
内容安全策略(CSP)保护您的web服务器免受特定类型的攻击,包括跨站点脚本攻击(XSS)和数据注入攻击。
可以通过添加内容安全策略头 :
add_headerContent-Security-Policy"default-src self http: https: data: blob: unsafe-inline"always;IE和Safari支持HTTP X-XSS-Protection头,为了在旧浏览器(还不支持CSP)的情况下防止XSS,可以将X-XSS保护头添加到服务器部分:
add_headerX-XSS-Protection"1; mode=block";3.4.7配置Nginx用户
在AWS Linux上,将nginx 添加到Ec2-User 组:
sudousermod -a -G apache ec2-user执行结果:
3.4.8配置PHP组件
安装Nginx PHP 组件:
sudo dnfinstallphp-opcache php-gd php-xmlphp-mbstring 安装Wordpress3.1目的
本项目使用Wordpress 开发应用,为了部署前端代码,需要安装Wordpress 。
在服务器完成操作系统升级之后, 进行此项操作。
3.2下载wordpress并解压
在AWS Linux 上,首先到WordPress下载最新版本的wordpress:
wget https://wordpress.org/latest.tar.gz然后解压到本地:
tar-xzflatest.tar.gz执行结果:
之后,需要配置WordPress 数据库。
请参考文档《AWSLinux86- MariaDB数据库安装指南》 完成MariaDB的安装和初始化。
3.3 WordPress初始化
WordPress 安装文件夹包含一个名为 wp-config-sample.php 的示例配置文件。在此过程中, 需要复制此文件并进行编辑,以适应具体配置。
将 wp-config-sample.php 文件复制到名为 wp-config.php 的文件中。这将创建一个新的配置文件,并将原始示例文件保留为备份。
cp wordpress/wp-config-sample.php wordpress/wp-config.php使用常用的文本编辑器(例如 nano 或 vim)编辑 wp-config.php 文件,并输入安装所需的值。
vi wordpress/wp-config.php然后替换数据库和用户名、密码:
找到名为身份验证唯一密钥和盐的部分。这些密钥和盐值为 WordPress 用户存储在本地计算机上的浏览器 Cookie 提供了一层加密。基本上,在这里添加长随机值可以使网站更安全。
访问https://api.wordpress.org/secret-key/1.1/salt/ 随机生成一组密钥值,将其复制并粘贴到 wp-config.php 文件中。
将上面的值复制到wp-config.php,保存后关闭文件。
3.4 复制WordPress到Nginx目录
之前的步骤中已解压安装文件夹,创建了 MySQL 数据库和用户,并自定义了 WordPress 配置文件,接下来可以将安装文件复制到 Web 服务器的文档根目录,以便运行安装脚本完成安装。
WordPress 安装目录的内容(但不要复制目录本身),如下所示:WordPress 安装文件夹包含一个名为 wp-config-sample.php 的示例配置文件。在此过程中, 需要复制此文件并进行编辑,以适应具体配置。
将 wp-config-sample.php 文件复制到名为 wp-config.php 的文件中。这将创建一个新的配置文件,并将原始示例文件保留为备份。
cp wordpress/wp-config-sample.php wordpress/wp-config.php之后,访问http://:80, 就可以访问WordPress的初始配置页面了
ecs 云服务器配置
