西安企业建站价格,google seo怎么做,医院网站建设 利法拉网络,科技加盟网站建设1.确保环境安全例如近期LNMP投毒事件 2.nginx/php隐藏版本号/关闭报错显示行 3.限制3306端口/phpMyAdmin尽量不用 4.修改指纹例如X-Powered-By/Cookie 5.上线前后进行主机漏扫网站漏扫 6.系统安装杀毒ClamAV 7.更改后台管理入口 8.安装雷池WAF防护 9.网站使用https协议 10.后台… 1.确保环境安全例如近期LNMP投毒事件 2.nginx/php隐藏版本号/关闭报错显示行 3.限制3306端口/phpMyAdmin尽量不用 4.修改指纹例如X-Powered-By/Cookie 5.上线前后进行主机漏扫网站漏扫 6.系统安装杀毒ClamAV 7.更改后台管理入口 8.安装雷池WAF防护 9.网站使用https协议 10.后台双向认证
yum install opensslmkdir /root/openssl# 服务器客户端的 openssl.cnf
cp /etc/pki/tls/openssl.cnf /root/openssl/server_openssl.cnf
cp /etc/pki/tls/openssl.cnf /root/openssl/user_openssl.cnf# 修改上述文件
# 1) [ req ] 小节: 取消 req_extensions v3_req 前面的注释
# 2) [ req_distinguished_name ] 小节: 注释 0.* 开头的内容
# 3) [ v3_req ] 小节## 服务端extendedKeyUsageserverAuthubjectAltName alt_names[ alt_names ]DNS.1 admin.dev.com## 客户端extendedKeyUsageclientAuth# 如果想使用其他目录修改 /etc/pki/tls/openssl.cnf 的 [ tsa_config1 ] 小节
mkdir /etc/pki/CA/newcerts -p
touch /etc/pki/CA/index.txt
# 如果文件不存在用以下命令创建
echo 01 /etc/pki/CA/serial
cd /etc/pki/CA#签发 CA 根证书和二级 CA 证书
# 根证书
openssl genrsa -out ca_root.key 2048
openssl req -x509 -new -key ca_root.key -out ca_root.cer -days 3650 -subj /CCN/STGD/LSZ/Odev/CNdev-ROOT-CA
# 二级证书
openssl genrsa -out sub_ca.key 2048
openssl req -new -key sub_ca.key -out sub_ca.csr -subj /CCN/STGD/LSZ/Odev/CNdev-SUB-CA
openssl ca -extensions v3_ca -in sub_ca.csr -days 3650 -out sub_ca.cer -cert ca_root.cer -keyfile ca_root.key
#用二级 CA 证书签发服务器证书
openssl genrsa -out server.key 2048
openssl req -new -key server.key -out server.csr -subj /CCN/STGD/LSZ/Odev/CNadmin.dev.com
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.cer -CA sub_ca.cer -CAkey sub_ca.key -CAcreateserial -extensions v3_req -extfile /root/openssl/server_openssl.cnf
用二级 CA 证书签发客户端证书
penssl genrsa -out user.key 2048
openssl req -new -key user.key -out user.csr -subj /CCN/STGD/LSZ/Odev/CNadmin
openssl x509 -req -days 365 -in user.csr -signkey user.key -out user.cer -CA sub_ca.cer -CAkey sub_ca.key -CAcreateserial -extensions v3_req -extfile /root/openssl/user_openssl.cnf
#将客户端证书导出为 pkcs12 格式
# 将根证书 二级证书和用户证书合并
cat ca_root.cer sub_ca.cer user.cer user_combination.cer
# 用合并证书生成 p12这样在导入时能同时导入根证书注意设置导出密码
openssl pkcs12 -export -inkey user.key -in user_combination.cer -out user.p12
##在导出为 pkcs12 时会提示输入密码这个密码在将证书导入到 windows 电脑时要进行验证这样可以避免证书被盗导致的风险#前端nginx配置禁止访问管理后台
server {location /wp-login.php {return 404;
}
location /wp-admin/ {return 404;
}
location /admin.php {return 404;
}
location /admin/ {return 404;
}}
#后端nginx配置管理后台双向认证
server {listen 443 ssl;server_name admin.dev.com;ssl_certificate cert/server.cer;ssl_certificate_key cert/server.key;ssl_session_timeout 5m; ssl_ciphers EECDHCHACHA20:EECDHCHACHA20-draft:EECDHAES128:RSAAES128:EECDHAES256:RSAAES256:EECDH3DES:RSA3DES:!MD5;ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;ssl_prefer_server_ciphers on;ssl_client_certificate cert/ca_root.cer;ssl_verify_client on; }
