本文最后更新于5 天前
Nginx免费防火墙 8.3
作者:明国三年一场雨
有效防止sql注入/xss/一句话木马等常见渗透攻击
宝塔面板的 Nginx免费防火墙 8.3 是一款针对个人站长和小型网站的免费安全防护插件。它能有效拦截多种常见网络攻击,并且配置相对简单。下面是一个主要功能概览表,方便你快速了解:
核心功能
| 功能类别 | 具体功能点 | 简要说明 |
|---|---|---|
| 基础攻击防护 | SQL注入防护 | 有效防御SQL数据库注入攻击 |
| XSS跨站脚本防护 | 拦截跨站脚本攻击 | |
| 一句话木马防护 | 防止Webshell上传 | |
| 其他常见渗透攻击防护 | ||
| IP管理 | 禁止国外IP访问 | 可选只允许中国内地IP访问,减少境外攻击 |
| IP黑名单 | 手动添加或自动拦截的IP,禁止其访问 | |
| IP白名单 | 白名单IP绕过所有规则,享有最高优先级 | |
| CC攻击防护 | 频率阈值触发 | 例如:60秒内同一IP请求同一URL超过120次,则封锁该IP 300秒 |
| 日志与监控 | 攻击拦截日志 | 记录攻击时间、IP、攻击类型、目标URL等信息 |
| 攻击统计报表 | 展示攻击IP排行榜、被攻击URI排名等统计信息 | |
| 封锁记录管理 | 查看所有被封锁的IP及其原因,并可手动解封 | |
| 🔧 特色功能 | Webshell查杀 | 通过规则库扫描网站文件,发现潜在木马 |
| URL关键词拦截 | 拦截请求中含有特定敏感词的URL | |
| 敏感文字替换 | 替换网站响应内容中的敏感词 | |
| POST请求过滤 | 对POST类型的数据请求进行过滤检查 | |
| ⚙️ 配置灵活性 | 全局配置 | 设置所有站点的默认防护规则 |
| 站点单独配置 | 可为每个站点独立开启/关闭防护,并设置个性化规则 |
适用场景
Nginx免费防火墙8.3比较适合满足以下条件的用户:
-
个人博客、小型网站、测试或学习环境。
-
预算有限,暂时不需要付费版的高级功能。
-
愿意自行关注安全动态,对规则维护要求不高。
进程守护管理器 3.0.5
作者 宝塔官方
基于Supervisor开发的进程守护工具,可以让进程开机启动,异常关闭自动重启
Supervisor 是一款用 Python 编写的进程管理工具,专为类 Unix 系统设计。它的核心使命是确保关键进程持续稳定运行,能在进程意外退出时自动重启,并提供了丰富的管理功能。以下是它的主要功能介绍:
核心功能
- 进程守护与自动重启:Supervisor 的核心价值在于它能将普通命令行进程转换为后台守护进程,并实时监控其状态。当被管理的进程异常退出时,它会根据预设策略自动重启,极大提升了服务的可靠性。
- 集中式管理:通过一个统一的平台(命令行工具
supervisorctl或可选的 Web 管理界面)来启动、停止、重启和监控多个进程,无需分别操作每个服务。 - 日志管理:自动捕获并重定向被管理进程的标准输出(stdout)和标准错误(stderr)到指定的日志文件,支持日志文件按大小滚动和备份,方便问题排查。
- 权限与安全:支持以非 root 用户身份运行被管理进程,这有助于遵循最小权限原则,提升系统安全性。
典型应用场景
Supervisor 非常适合管理需要长期运行的非守护进程,常见于:
- 消息队列消费者:守护 RabbitMQ、Kafka 等消息队列的消费进程,确保消息不被遗漏。
- 定时任务(Cron 替代):确保重要的定时任务执行成功,失败后自动重试,如数据同步、报表生成。
- 应用服务守护:维持 Web 服务、API 接口等长时运行进程的可用性,例如 Flask/Gunicorn、Node.js 应用。
- 批处理脚本:监控数据处理、文件解析等批处理任务的执行状态。
linux 工具箱
核心功能
| 功能名称 | 主要操作 | 功能说明 | 注意事项 |
|---|---|---|---|
| DNS设置 | – 输入主要DNS和备用DNS – 点击【测试】验证 – 点击【保存】应用配置 |
配置服务器的DNS解析地址 | – 错误DNS会导致服务器无法解析域名 – 保存前务必测试有效性 |
| Swap/虚拟内存 | – 查看当前Swap状态(总容量/已用/可用) – 输入Swap大小(MB) – 点击【确定】 |
管理Linux虚拟内存空间 | – 推荐Swap大小为物理内存1.5倍 – 内存>4GB时建议设1-2GB – OVZ架构不支持 – 文件默认保存在/www/swap |
| 时区设置 | – 查看当前时间(支持【同步】) – 选择洲和城市 – 点击【确定】应用时区 |
配置服务器时区与时间同步 | – 时区错误会导致系统时间不准 – 北京时间需选择 Asia/Shanghai |
| 系统密码 | – 自动获取用户名(Ubuntu需手动输入) – 输入新密码并确认 – 点击【修改】 |
修改系统用户密码 | – Ubuntu系统需手动填写用户名 |
| 内存盘 | – 输入挂载目录和大小(MB) – 点击【添加】创建 – 表格管理现有内存盘 |
将物理内存挂载为高速临时磁盘 | – 读写速度远超物理磁盘 – 数据非持久化:重启/卸载后清空 – 需根据空闲内存合理分配容量 |
| Hosts管理 | – 表格显示现有规则(域名/IP) – 【添加hosts】绑定新域名 – 支持启用/禁用/修改 |
自定义域名与IP映射关系 | – 常用于本地开发环境域名解析 |
| 镜像源 | – Yum/Apt:选择系统软件源(如阿里源) – PIP:选择Python包源 |
切换软件包下载源 | – 更换yum源时避免频繁操作 – pip源用于Python包管理 |
| 常用命令 | – 表格列出工具(htop/iotop/ncdu) – 点击【立即安装】或【卸载】 |
快速安装/卸载实用命令行工具 | – htop:进程监控– iotop:磁盘I/O监控– ncdu:磁盘空间分析 |
数据库备份
核心功能
| 配置分类 | 配置项 | 选项/说明 |
|---|---|---|
| 基本设置 | 任务类型 | 备份数据库 (固定类型) |
| 任务名称 | 用户自定义输入 (用于标识此备份任务) | |
| 执行周期 | 可设置为每天在特定时间(例如 01:30)执行 | |
| 开启进程锁 | 可选,可能用于确保同一时间只有一个备份任务运行,避免冲突 | |
| 备份提醒 | 设置通知策略 (例如选择“不接收任何消息通知”) | |
| 备份源 | 数据库类型 | MySQL (此处为固定类型) |
| 数据库实例 | 选择要备份的具体数据库(例如 www_wuzhixiang_c[www.wuzhixiang.cn]) |
|
| 备份对象 | 可选择“所有”数据库或指定数据库 | |
| 备份目标 | 备份到 | 选择备份目的地,例如腾讯云COS(对象存储) |
| 保留最新 | 设置保留的备份份数,超出此数量的旧备份将被自动删除 | |
| 备份路径 | 指定备份文件在存储目标中的存放路径 | |
| 备份策略 | 文件拆分 | 选择是否拆分备份文件(例如“不拆分”,或按大小/数量拆分,提示大文件可拆分) |
| 同时保留本地备份 | 可选,在云存储备份的同时,在本地服务器也保留同样份数的备份副本 | |
| 使用数据库对应账号备份 | 可选,注明目前仅支持MySQL本地数据库备份 |
SSL证书自动续期
核心功能
宝塔面板为其内置申请的 Let’s Encrypt 免费SSL证书提供了自动续签功能,这能有效避免证书过期带来的麻烦。以下是关于该功能的概要:
| 功能方面 | 说明 |
|---|---|
| 支持证书类型 | 主要通过宝塔面板申请的 Let’s Encrypt 证书 (有效期90天) |
| 实现原理 | 依靠计划任务,定期执行续签脚本 (/www/server/panel/pyenv/bin/python /www/server/panel/class/acme_v2.py --renew=1) |
| 执行周期 | 默认任务为每天检查并续签即将过期的证书 |
| 关键路径 | 证书文件通常存放在 /www/server/panel/vhost/ssl/你的域名/ 目录下 |
| 重启服务 | 续签成功后,面板通常会自动重启 Nginx 或 Apache 服务以使新证书生效 |
自动续期如何工作
宝塔面板主要通过计划任务来实现自动续签。系统会默认创建或在用户申请证书时提示创建一条名为“续签Let’s Encrypt证书”的计划任务。这个任务通常是每天执行一次,它会检查所有通过宝塔申请的Let’s Encrypt证书,并在证书到期前(通常是到期前30天内)自动触发续签流程。
