写在前面
这里默认您已经部署好了宝塔环境,不多赘述
环境要求
操作系统:Linux 指令架构:x86_64 软件依赖:Docker 20.10.6 版本以上 软件依赖:Docker Compose 2.0.0 版本以上 最小化环境:1 核 CPU / 1 GB 内存 / 10 GB 磁盘
使用脚本安装雷池
请在您的服务器终端内输入指令进行安装,中途需要您手动确认两次,请注意
bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/setup.sh)"
使用牧云助手安装雷池
打开牧云助手,点击绑定主机
根据您的服务器位置选择,然后点击复制
稍等一分钟之后刷新页面,点击主机名
点击应用市场,找到雷池,点击安装
如果看不懂的话,在b站有个视频教程,您可以进行查看 传送门
配置动态密码
根据界面提示,使用支持TOTP的认证软件扫描二维码,然后输入动态口令登录,可以选择Microsoft Authenticator或者腾讯身份验证器
无法正常登录
在Linux系统中,校准时间可以通过使用ntpdate命令来实现。请注意,以下操作需要root权限。
- 打开终端,以root身份登录。
- 输入以下命令以安装ntpdate(如果尚未安装):
sudo apt-get install ntpdate
- 使用以下命令校准时间:
sudo ntpdate time.nist.gov
这将使用time.nist.gov服务器的时间来校准您的系统时间。您可以替换time.nist.gov为其他可用的NTP服务器。
- 完成后,您的系统时间将被校准为准确的时间。
请注意,时间校准可能需要一些时间来完成,取决于网络延迟和服务器访问性能。建议在定期时间间隔内对时间进行校准,以确保您的系统时间保持准确。
修改配置
打开宝塔面板,点击设置
这里有个坑,各位注意了,如果你用的是Typecho,那么一定要源站也配置SSL,否则无法登陆! 源站不配置SSL情况:选择配置文件,将原先的80修改为8080或其他 源站配置SSL情况:选择配置文件,将原先的443修改为8443或其他
部署WAF反代
打开雷池后台,点击防护站点,添加站点
输入域名、证书等信息,如果没有证书可以先去申请一个
IP暴露被恶意解析
如果您在搜索引擎搜索自己的博客/CMS名称时,搜索到了别的域名 那么有可能是您被恶意解析了,这时候我们创建一个站点 域名是您的外网IP,端口443,SSL证书自签即可! 源站随意解析,如解析至127.0.0.1:80,会显示宝塔默认页面
IP暴露缓存问题
注意!如果你的博客正在使用插件缓存博客/CMS内容,请尝试清空缓存后访问HTTPS://IP刷新 然后再打开您的域名,如果网页正常显示,那么可以跳过 如果显示异常,CSS等文件无法加载,可能是因为恶意bot扫描导致的 操作和上方的恶意解析方法相同,创建一个站点 域名是您的外网IP,端口443,SSL证书自签即可! 源站随意解析,如解析至127.0.0.1:80,会显示宝塔默认页面
配置UA白名单
打开雷池WAF,点击新增一个白名单 不知道怎么配置可以看看下面的
配置手机浏览器UA
这里以via浏览器为例,IOS可选择alook浏览器 点击设置-通用-浏览器标识 点击加号,输入你想要的UA,例如IKUN
配置电脑浏览器UA
去安装这个插件
然后输入自己喜欢的,建议在您的博客内设置,每次打开的时候就可以了,不建议选择all
配置IP白名单
这个一定要配置,或者配置上面的UA白名单也行 不然后期修改网站很容易误判
你可以去下方网站查找你的IP
ip.skk.moe
ip138.com
ip.sb
在配置中选择模糊匹配,假如你的IP为114.114.114.114 那么配置为114.114.114.*或114.114.*.*都可以
关键目录设置人机验证
假如你的博客/CMS等等程序需要用到访客注册、登录操作,可以设置一个人机验证,防止机器人批量扫描爆破
CDN真实IP配置
把它添加进去即可 X-Forwarded-For 当然阿里云CDN配置与这个不同,可以百度看看
仅允许CDN访问源站配置
如果你使用的是CDN,那么你可以设置仅支持CDN IP访问源站,有效阻挡CC攻击源站的情况 这样做可以在网站被CC攻击时,有效提高您的欠费金额(bushi)
常见问题
Q:部署完成后,面板无法访问 A:请查看防火墙是否放行 Q:部署站点时显示端口占用 A:请查看是否所有站点都把443端口修改为其他端口 Q:开启CDN之后面板显示数据不正确 A:请参照上方进行修改,如修改无效,请发工单给您使用的CDN商家咨询
