修改博客默认页面&ssl小记

今日姜辰同学在评论提到了我的vps详细信息,包括使用lnmp一键安装包、服务器流量和linux内核版本,我这才发现当初在初始化vps的时候尚未解决一些安全性方面的问题。通过ping域名可以得到ip,直接访问ip能看到博客的lnmp安装完成页面,其中还有探针的链接,甚至还能遍历一遍我的服务器文件夹。我又打开了SEOIMO的文章,根据索引找到了lnmp搭建完后必要的操作,发现文章略有更新:phpmyadmin应该在安装完后马上修改名称。

# cd /home/wwwroot/default
# mv phpmyadmin anyothername

正犹豫wordpress已经搭建完成后修改phpmyadmin时,又在评论中找到答案:并不会受影响。接下来我又根据文章的评论,把/home/wwwroot/default下跟php有关的文件都妥善处理,过后就无法通过ip直接访问lnmp安装完成的页面和查看vps的详细信息了。现在访问ip地址会得到一张403 Forbidden的页面,文章中有ip访问网站教程但不推荐,我想就这么留着吧,403也挺好。

从现在的情况来看,网络安全对我来说是一片大空白,任重而道远啊。接下来的目标便是设置CDN隐藏真实ip,以及全站ssl。毕竟一个绿色的锁总比「不安全」三个字好看的多。


11.20更新

至于SSL的问题,我花了许多时间去摸索,google了各种工具和文章,在安装ssl证书报错,全站https出现nginx 404,修改conf则出现 “nginx: [warn] conflicting server name “imzm.im” on 0.0.0.0:443, ignored” ,每一项都让我头痛不已,修改了vhost下的conf,也修改过wordpress.conf,总是解决不了最终的问题。直到今天,我想起我使用的是lnmp一键安装包,看到一项lnmp ssl add,抱着侥幸的心理,走了一遍流程,结果竟然秒解决了……

但是这对我来说并没有多少帮助,因为我不是通过自己排查找出问题的原因然后解决它。这个能力非常重要,我需要复盘一下我的操作才行。

《修改博客默认页面&ssl小记》有29个想法

    1. 上Let’s encrypt吧,好像比SSL for free简单些,这个要看情况

  1. 哇,好可怕啊,遍历服务器文件夹,如果是收费主题作者什么的忘记了这些安全问题,岂不是(#滑稽)

    1. 我看了不少其他博主的博客,https开头的总是能给人更有安全感。

    1. lnmp还是很强大的,有必要花些时间去深入了解一下。前人栽树后人乘凉

  2. 我装的LAMP是源码编译安装的,因为一键安装包有些库和扩展不不支持,装的那个恶心,还有ssl我也搞了好久,使劲不能访问https

        1. 谢谢!前者听过,回头研究一下这俩的区别。比较担心二者的官网都在国内备案,有些不放心

发表评论

电子邮件地址不会被公开。 必填项已用*标注