Archive for January, 2018

作者:AngryFox 分类: Uncategorized January 6th, 2018 暂无评论

使用 Certbot 工具让你的网站秒配 HTTPS 证书。
Certbot
Certbot is an easy-to-use client that fetches a certificate from Let’s Encrypt—an open certificate authority launched by the EFF, Mozilla, and others—and deploys it to a web server.
Certbot是由 Let’s Encrypt 一个开放免费证书颁发机构的EFF、Mozilla和其他开发者推出的,易于客户端获取网站加密证书。
特点

简单易用、免费
自动化配置
证书无限免费续签
效率极高,一次安装,再配置其他站点 https 证书只需要 3 分钟
PS: 因为测试服务器站点过多,每次使用 acme-tiny 脚本配置证书都要十多分钟时间,为了提高效率,就使用了 Let’s Encrypt 官网推荐的自动部署脚本。

官方网站: https://certbot.eff.org
选择自己的服务器和操作系统环境,Certbot 官方会给出详细的安装过程和使用方法,我的环境是 Nginx + Ubuntu 14.04,安装过程如下
$ sudo apt-get update
$ sudo apt-get install software-properties-common
$ sudo add-apt-repository ppa:certbot/certbot
$ sudo apt-get update
$ sudo apt-get install python-certbot-nginx
or sudo apt-get update;sudo apt-get install software-properties-common;sudo add-apt-repository ppa:certbot/certbot;sudo apt-get update;sudo apt-get install python-certbot-nginx;
安装成功之后把 certbot 加入系统全局变量 PATH 中。

获取证书前需要先停止 Nginx 服务
service nginx stop

直接在命令行运行
certbot 根据提示完成配置
或者
生成单域名证书
certbot certonly –standalone –email your@email.com -d yourdomain.com
一次生成多域名证书:

certbot certonly –standalone –email your@email.com -d yourdomain.com -d yourdomain2.com
证书配置成功后提示:
https可以访问到数据
4.查看网站生成的证书

tree /etc/letsencrypt/live/
5.配置 Nginx

…… 其他配置

listen 443 ssl;

ssl_certificate /etc/letsencrypt/live/{yourdomain}.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/{yourdomain}.com/privkey.pem;
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
6.重启 Nginx

service nginx start
此时再加上 https:// 访问你的网站,就会有一把可爱别致的小绿锁 Secure^_^

Let’s Encrypt 生成的免费证书为3个月时间,使用 certbot renew 可以无限免费续签 Https 证书

certbot renew
在生成证书的时候遇到一个问题
Problem binding to port 443: Could not bind to IPv4 or IPv6.. Skipping
这是因为 nginx 服务没有关闭,执行 service nginx stop 即可。
原文地址

https://certbot.eff.org/docs/install.html

作者:AngryFox 分类: Uncategorized January 3rd, 2018 暂无评论

GRANT ALL PRIVILEGES ON *.* TO ‘mmp’@'%’ IDENTIFIED BY ‘#mmp2018′ WITH GRANT OPTION;
sudo apt-get install ufw

使用方法
1 启用
sudo ufw enable
sudo ufw default deny
作用:开启了防火墙并随系统启动同时关闭所有外部对本机的访问(本机访问外部正常)。

2 关闭
sudo ufw disable

2 查看防火墙状态
sudo ufw status

3 开启/禁用相应端口或服务举例
sudo ufw allow 80 允许外部访问80端口
sudo ufw delete allow 80 禁止外部访问80 端口
sudo ufw allow from 192.168.1.1 允许此IP访问所有的本机端口
sudo ufw deny smtp 禁止外部访问smtp服务
sudo ufw delete allow smtp 删除上面建立的某条规则
sudo ufw deny proto tcp from 10.0.0.0/8 to 192.168.0.1 port 22 要拒绝所有的TCP流量从10.0.0.0/8 到192.168.0.1地址的22端口

可以允许所有RFC1918网络(局域网/无线局域网的)访问这个主机(/8,/16,/12是一种网络分级):
sudo ufw allow from 10.0.0.0/8
sudo ufw allow from 172.16.0.0/12
sudo ufw allow from 192.168.0.0/16

推荐设置
sudo apt-get install ufw
sudo ufw enable
sudo ufw default deny

这样设置已经很安全,如果有特殊需要,可以使用sudo ufw allow开启相应服务。