寶塔面板在8月份發生了一起嚴重的PMA資料庫洩露事件,現在想起來,這個漏洞的嚴重性還是很大的,寶塔官方也在事件發生後,連夜緊急應急處理,緊接著對事件過程進行了全面的梳理和跟蹤,並對外發布了一篇公開信,公佈了對應的應對措施,避免類似情況的再次發生。
官方對待問題的態度還是很迅速的,當然,我們在平時的使用過程中,也不能忽視安全問題,基本的waf防護是必須要有的。
透過對市面一些waf防護的產品對比來看,公有云的費用還是很高的,起步就是上千塊錢一個月的價格。
可能大部分小站長的伺服器一年都不到一千塊錢,這樣的防護價格是很難接受的。
寶塔面板官方也提供waf安全防護外掛,如果不差錢的話,這個還是不錯的選擇,門檻低,上手快。
如果口袋緊張的話,寶塔還有一個隱藏的選擇,就是手動開啟ngx_lua_waf防護功能,一樣可以達到防護作用,具體操作流程如下:
1、進入寶塔面板,開啟 軟體管理 > Nginx > 設定 > 配置修改;
2、找到大約在第 13 行的 #include luawaf。conf;,去掉前面的 # 符號(“#”代表註釋),儲存並重啟 Nginx。
3、恭喜你,已經成功開啟了防火牆!
這時候,我們來拼接一個可疑的引數,訪問看看效果:
如果出現上圖提示,說明已經正確設定!
預設的配置效果已經能滿足基礎的防護功能了,無需做更多配置了,如果要檢視攔截記錄,可訪問:/www/wwwlogs/waf目錄檢視即可。
如果你想做其他更高階的配置,可參見:/www/server/nginx/waf 目錄,裡面的 config。lua 檔案就是防火牆的配置檔案。每一項的具體含義如下所示:
RulePath = “/www/server/panel/vhost/wafconf/” ——waf 詳細規則存放目錄(一般無需修改)attacklog = “on” ——是否開啟攻擊日誌記錄(on 代表開啟,off 代表關閉。下同)logdir = “/www/wwwlogs/waf/” ——攻擊日誌檔案存放目錄(一般無需修改)UrlDeny=“on” ——是否開啟惡意 url 攔截Redirect=“on” ——攔截後是否重定向CookieMatch=“off” ——是否開啟惡意 Cookie 攔截postMatch=“off” ——是否開啟 POST 攻擊攔截whiteModule=“on” ——是否開啟 url 白名單black_fileExt={“php”,“jsp”} ——檔案字尾名上傳黑名單,如有多個則用英文逗號分隔。如:{“字尾名1”,“字尾名2”,“字尾名3”……}ipWhitelist={“127。0。0。1”} ——白名單 IP,如有多個則用英文逗號分隔。如:{“127。0。0。1”,“127。0。0。2”,“127。0。0。3”……} 下同ipBlocklist={“1。0。0。1”} ——黑名單 IPCCDeny=“off” ——是否開啟 CC 攻擊攔截CCrate=“300/60” ——CC 攻擊攔截閾值,單位為秒。“300/60” 代表 60 秒內如果同一個 IP 訪問了 300 次則拉黑
postMatch開關開啟後,有可能出現文章釋出等功能被攔截的情況
