博客 (158)

1. 使 lua 支持 resty.http

2. 在 access_by_lua_block 代码块中实现远程鉴权：

   #鉴权-START
   resolver 223.5.5.5;  # 使用公共 DNS
   access_by_lua_block {
       local http = require("resty.http")
       local httpc = http.new()
       httpc:set_timeout(500)  -- 连接超时
       local res, err = httpc:request_uri("https://鉴权地址/", {
           method = "GET",
           headers = {
               ["X-Real-IP"] = ngx.var.remote_addr,
               ["User-Agent"] = ngx.var.http_user_agent,
               ["X-Forwarded-Host"] = ngx.var.host,
               ["X-Forwarded-Uri"] = ngx.var.request_uri,
           },
           ssl_verify = false, -- 禁用 SSL 验证
           timeout = 500,     -- 读取超时
       })
   
       if not res then
           ngx.log(ngx.ERR, "Failed to request: " .. err)
       end
           
       if res and res.status == 403 then
           ngx.exit(ngx.HTTP_FORBIDDEN)
           -- return ngx.redirect("https://一个显示403友好信息的页面.html")
       end
   }
   #鉴权-END

   注意更改接口地址和友情显示 403 页面地址。

   本示例仅捕获 403 状态码，500、408 等其它异常情况视为允许访问，请根据业务需求自行添加状态码的判断。

   若超时也会进入 if not res then 代码块。

   建议将此代码部署在 nginx 主配置文件的 http 代码块中（宝塔面板中的路径：/www/server/nginx/nginx/conf/nginx.conf），如果你只想为单个网站鉴权，也可以放在网站配置文件的 server 块中。
   

3. 若鉴权接口在私网中，建议将鉴权接口域名和私网 IP 添加到 hosts 文件中。

附

1. 直接输出字符串

   ngx.header.content_type = "text/plain";
   ngx.say("hello world!")

2. 输出到日志

   ngx.log(ngx.ERR, "Response status: " .. res.status)

   日志在网站的 站名.error.log 中查看。

   宝塔面板查看方式：日志 - 网站日志 - 异常

3. 若想获取服务器 CPU 使用率等信息并传递给远程鉴权接口，请参考此文。

4. 常见问题

   no resolver defined to resolve

   原因：没有定义 DNS 解析器

   解决方法：在 http 块或 server 块中添加 resolver 8.8.8.8 valid=30s;，当然使用接入商自己的公共 DNS 可能更合适。

   unable to get local issuer certificate

   原因：没有配置 SSL 证书信息

   解决方法：添加 request_uri 参数：

   ssl_verify = true,  -- 启用 SSL 验证
   ssl_trusted_certificate = "证书路径",  -- 指定 CA 证书路径

   或

   ssl_verify = false,  -- 禁用 SSL 验证

5. 若您不想用 lua，可以用 nginx 原生自带的  auth_request 模块来实现。

1. 安装依赖

   sudo yum install -y epel-release
   sudo yum install -y lua lua-devel gcc make

2. 下载安装 LuaRocks

   访问 LuaRocks 的官方网站 获取最新版本的 LuaRocks。你可以使用 wget 命令下载：

   wget https://luarocks.org/releases/luarocks-x.x.x.tar.gz
   tar zxpf luarocks-x.x.x.tar.gz
   cd luarocks-x.x.x
   ./configure && make && sudo make install

3. 设置环境变量（可选）

   通常，LuaRocks 会自动处理这一步，但如果需要手动设置，可以编辑 ~/.bash_profile 或 ~/.bashrc 文件，添加以下行：

   export PATH=$PATH:/usr/local/bin

   然后运行以下命令使更改生效：

   source ~/.bash_profile

4. 验证安装

   luarocks --version

鉴权方式有许多，譬如可以用 lua 的 access_by_lua 来实现，这里用 nginx 自带的 auth_request，虽然功能简单，但效率更高。

第一步，确保 nginx 已编译安装 auth_request 模块，见此文。

第二步，打开需要鉴权的网站的 nginx 配置文件，添加以下代码块：

    #鉴权-START
    location / {
        auth_request /auth;
        error_page 403 = @error403;
        
        #PHP-INFO-START  PHP引用配置，可以注释或修改
        include enable-php-**.conf;
        #PHP-INFO-END
    }
    location = /auth {
        internal;
        proxy_pass https://鉴权地址;
        proxy_pass_request_body off;
        proxy_set_header Content-Length "";
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header User-Agent $http_user_agent;
        proxy_set_header X-Forwarded-Host $host;
        proxy_set_header X-Forwarded-Uri $request_uri;
        proxy_intercept_errors on;
        #proxy_read_timeout 1s; # 超时会报 500
    }
    location @error403 {
        #default_type text/plain;
        #return 403 'forbidden';
        return 302 https://一个显示403友好信息的页面.html;
    }
    #鉴权-END

一般放在所有的 location 之前。

这里自定义请求头 X-Forwarded-Host 与 X-Forwarded-Uri 用来传递 host 与 uri。API 应从 Header 中相应取值。

宝塔面板中是通过 include enable-php-**.conf; 的方式调用 PHP ，那么可以将此行移入上面的 location / 代码块中，因为此代码块能匹配所有的请求路径。

最后，若鉴权接口在私网中，将鉴权接口域名和私网 IP 添加到 hosts 文件中。

首先使用命令查看是否已安装所需要的模块

nginx -V

若没有找到需要的模块，则需要编译安装。但是宝塔面板中安装的 nginx 如果像自行安装的 nginx 一样的方式去编译可能会出问题。宝塔面板有自己的添加模块方式。

在宝塔面板的软件商店找到 nginx，如果已安装则需要先卸载，卸载不会删除已有网站的配置文件（保险起见可以先备份一下），且安装时原有的模块不需要重新填写。

选择编译安装，添加自定义选装模块：

以添加“--with-http_auth_request_module”模块为例，名称按格式填写即可，模块参数填写--with-http_auth_request_module，如添加其它模块，按需填写前置脚本。添加完成后，启用它：

开始安装，等待完成。

要在 Alibaba Cloud Linux 3 上设置开机启动 ossftp，你可以通过创建一个系统服务来实现。以下是具体步骤：

安装 ossftp：

按照阿里云官方文档安装 ossftp。

创建服务文件：

首先，你需要创建一个服务文件。使用以下命令创建一个新的服务文件：

sudo nano /etc/systemd/system/ossftp.service

编辑服务文件：

在打开的编辑器中，添加以下内容：

[Unit]
Description=OSS FTP Service
After=network.target

[Service]
ExecStart=/bin/bash /root/ossftp-1.2.0-linux-mac/start.sh
Restart=always
User=root

[Install]
WantedBy=multi-user.target

这里的 ExecStart 指向你的 start.sh 脚本的路径。

保存并退出。

重新加载系统服务：

运行以下命令以重新加载系统服务，使新创建的服务生效：

sudo systemctl daemon-reload

启用服务开机启动：

使用以下命令启用服务，使其在系统启动时自动运行：

sudo systemctl enable ossftp.service

启动服务：

你可以立即启动服务以测试其是否正常工作：

sudo systemctl start ossftp.service

检查服务状态：

使用以下命令检查服务的状态，确保它正在运行：

sudo systemctl status ossftp.service

如果一切设置正确，ossftp 应该会在每次系统启动时自动运行。

如果在你的系统上没有安装 nano 编辑器，你可以使用其他文本编辑器，比如 vi 或 vim。

如果你需要安装 nano，可以使用以下命令：

sudo yum install nano

1. 登录 UCenter，添加应用

   

   选择 DiscuzX，并填写名称和密钥等信息

2. 正常的话，提交后会自动更新缓存文件 /uc_server/data/cache/apps.php，如果没有更新，检查添加这个文件的写入权限，并在后台更新缓存。

3. 在编辑应用界面底部可以看到“应用的 UCenter 配置信息”

   
   

4. 复制这段内容，粘贴到 /config/config_ucenter.php。

5. 在 Discuz! 控制面板 - 站长 - UCenter 设置 中可以看到这些配置信息。标签名为灰色的是从配置文件读取的，无法在此修改。

6. 返回 UCenter 中心的应用列表可以看到“通信成功”

   
   

今天早上同事反映论坛某管理账号无法登录，于是我尝试用创始人账号登录，也不行，第一反应就是中招了。

于是进阿里云控制台，发现云安全中心有许多安全警告，类型是网站后门，幸好 nginx 中设置了仅部分文件可执行 PHP，这些后门文件无法被执行。

尝试在 config_global_default.php 文件中添加创始人，但账号必须是副站长等管理账号才能成为创始人。

于是借用一个小号，从表 pre_ucenter_members 中将这个小号的 password 和 salt 复制到创始人账号中，这样创始人账号就可以用这个小号的密码登录了。

进入论坛后台，在 工具-运行记录-系统记录-后台访问 中查看入侵时间段的记录（操作、时间、IP 等），可搜索。

发现基本上在操作模板管理和专题管理。

对比时间，发现进入后台操作在先，上传后门在后。

查询 web 访问日志，通过访问文件路径或 IP 查询，在进入论坛后台之间，他进入了 UCenter 的后台，但是再往前就没有记录了。

因此基本可以确定：

黑客从 UCenter 修改了某管理员账号的密码（可能是利用漏洞），然后登录论坛后台修改了创始人的密码（可能也是用 UCenter 改的），通过模板管理和专题管理功能的上传功能上传了后门文件。

索性他没有对数据进行破坏性处理，也没有挂马，只是发现后门文件无法执行就放弃了。

要将一个服务公开给外部访问，必须开放端口，例举一些场景的端口映射：

• VMware 实现宿主机端口映射到虚拟机端口：

  打开 VMware 的菜单中的 编辑 - 虚拟网络编辑器，

  在弹出窗口中表格中的选中“NAT”项，点击下方的“NAT设置”（若无法操作需要先点击“更改设置”允许）

  在“NAT设置”中“添加”，填写主机端口和虚拟机端口、虚拟机IP地址。

  这样，宿主机就能访问到虚拟机中的服务了。

• 在 Windows 11 的防火墙中允许端口：

  在“设置”或“控制面板”中打开防火墙，“高级设置”

  在“入站规则”中“新建规则”

  选择“端口”并填写，完成。

  这样，局域网的其它电脑就能访问到这台 Windows 的服务了。

• 小米路由器：

  登录路由器，进入“高级设置”，

  切换到“端口转发”，添加规则，

  这样，外网就能通过路由器的外网IP来访问局域网中的内网服务了。
  

• 华为路由器 AX3 Pro：

  登录路由器，进入“更多功能”，

  展开“安全设置”，选择“NAT服务”，

  点击“+”号设置端口映射。

  这样，外网就能通过路由器的外网IP来访问局域网中的内网服务了。

• H3C ER3200G2 路由器：

  登录路由器，展开“高级设置”，“地址转换”，

  切换到“虚拟服务器”，“新增”，

  填端口和内部服务器IP，完成。

  这样，外网就能通过路由器的外网IP来访问局域网中的内网服务了。

云服务器 ECS

云服务器 ECS - 安全组

云服务器 ECS - 快照 - 自动快照策略 - 关联云盘

云监控

云监控 - 应用分组：添加对应的服务器

云监控 - 主机监控 - 主机与插件操作 - 安装/升级Agent

云安全中心

云安全中心 - 漏洞管理 - 漏洞管理设置：根据操作系统勾选对应的 ECS

云安全中心 - 漏洞管理：一键扫描

云安全中心 - 防勒索：安装客户端并配置策略资产

云安全中心 - 主机规则管理：配置主机和防御策略，防暴力破解编辑策略

* 本文提及的部分功能可能需要付费

相关内容

如何搭建一台阿里云 ECS（Alibaba Cloud Linux / CentOS）

如何搭建一台阿里云 ECS（Windows Server）

宝塔面板中-安全-系统防火墙 功能非常丰富，特别是“地区规则”用来屏蔽来自国外的请求非常有用，那些通过 URL 来找网站漏洞的恶意请求大多来自国外。但是添加规则经常无反应

于是找到这个功能对应的配置文件：/etc/firewalld/zones/public.xml

<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="ssh"/>
  <service name="dhcpv6-client"/>
  <port protocol="tcp" port="80"/>
  <port protocol="tcp" port="443"/>
  <masquerade/>
  <rule family="ipv4">
    <source address="43.131.232.135"/>
    <drop/>
  </rule>
  <rule family="ipv4">
    <source address="103.150.11.45"/>
    <drop/>
  </rule>
  <rule>
    <source ipset="US"/>
    <drop/>
  </rule>
  <rule>
    <source ipset="GB"/>
    <drop/>
  </rule>
</zone>

修改完成后重启防火墙。

但是看到的效果好像并不一致，甚至有时候服务器重启后防火墙是关闭的，但是有时候又是生效的。

关键的问题是CPU占用异常高。

反正宝塔的系统防火墙功能挺好挺强大，但是用起来不稳定不顺手，有些暴殄天物了。

相关阅读：

系统防火墙添加规则转圈卡死

2024年8月30日补充 ：宝塔面板中配置禁用IP等规则时，提示保存成功或未提醒是否成功，但效果是未成功。其实在宝塔自己的配置里已经记录了（包含备注），但在系统防火墙配置文件中未更改成功，手动修改系统防火墙配置文件就能完全修改成功。（系统防火墙配置文件中没有备注信息，根据IP地址等规则与宝塔自己的配置文件里的记录关联后，在宝塔面板安全模块中展示出来就有备注了。）

2024年8月30日下午补充：在宝塔的软件商店找到这个应用，看到红色的说明，啥都明白了：

于是果断关闭了系统防火墙，开始研究其它替代方案。