海运的博客

Nginx图片/文件防盗链配置

发布时间:April 7, 2012 // 分类:Nginx // No Comments

Nginx可根据浏览器请求的Referer防盗链,限制非本站的页面链接请求,更严格的限制可使用防盗链模块nginx-accesskey,可防止迅雷盗链。
编辑Nginx配置文件,在Server段加入以下内容:

location ~* \.(jpg|gif|png)$ {      #限制的文件类型                                                                                                
valid_referers none blocked *.www.haiyun.me www.haiyun.me; #定义允许的域名
if ($invalid_referer) {   #如果请求非允许
#rewrite ^/ http://www.haiyun.me/error.png; #定向到指定图片
       return 403; #返回403
    }
  }

Centos/Linux下忘记Mysql数据库root密码解决方法

发布时间:April 6, 2012 // 分类:Linux基础,数据库 // No Comments

Windows下请参考windows下重置mysql root密码
1.停止mysql服务

/etc/init.d/mysql stop

2.以skip-grant-tables参数启动mysql

/usr/local/mysql/bin/mysqld_safe --skip-grant-tables &

3.以空密码方式登录mysql

mysql -u root

4.重置root账号密码

update mysql.user set password=PASSWORD('newpassword') where User='root';

5.刷新权限表

flush privileges;

6.退出mysq并重启

/etc/init.d/mysql restart

Nginx限制IP请求数防CC攻击

发布时间:April 6, 2012 // 分类:Nginx,网络安全 // No Comments

适用于Nginx服务器,如需通过自带防火墙限制请参考iptables防CC
编辑Nginx配置文件在http段添加:

limit_req_zone  $binary_remote_addr  zone=req:10m   rate=2r/s; 
#定义会话存储区,名字为reg,每秒1个请求

server添加:

location /path/ #限制的目录
{
limit_req_zone   zone=reg  burst=2; #突发最高每秒5个请求数
}

Nginx安全设置上传目录无php执行权限。

发布时间:April 4, 2012 // 分类:Nginx,网络安全 // No Comments

编辑Nginx配置文件在fastpass前添加以下内容

location ~* ^/www.haiyun.me/.*\.(php|php5)$  #限制/data/attachment/目录
{
  deny all;  #拒绝执行php程序
}

重启nginx

service nginx restart

Iptables限制同一IP连接数防CC/DDOS

发布时间:March 24, 2012 // 分类:网络安全 // No Comments

1.限制与80端口连接的IP最大连接数为10,可自定义修改。

iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j DROP

2.使用recent模块限制同IP时间内新请求连接数,recent更多功能请参考:Iptables模块recent应用

iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j LOG --log-prefix 'DDOS:' --log-ip-options
#60秒10个新连接,超过记录日志。
iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j DROP
#60秒10个新连接,超过丢弃数据包。
iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --set -j ACCEPT
#范围内允许通过。
分类
最新文章
最近回复
  • 海运: 正常情况下编译整个内核执行make menuconfig后就不会出现此提示,当单独编译单个模块...
  • oijq: 就是用的armbian的配置文件哈,按你的教程做的,在执行make LOCALVERSION=...
  • 海运: 使用armbian的配置文件,其它添加或修改自己懂的部分,不懂的就不要碰了。
  • oijq: 编译时这些选项全部选Y吗?Actions Semi Platforms (ARCH_ACTIO...
  • 海运: n1编译bbr内核模块参考这个:https://www.haiyun.me/archives/...
  • jiqz: make M=net/ipv4/ CONFIG_TCP_CONG_BBR=m modules编...
  • ruralhunter: 哦,文档里应该是对的,是.config
  • ruralhunter: cp /mnt/boot/config-4.18.7-aml-s9xxx .config这里应...
  • 海运: 你是编译不成功呢?还是编译后不能运行呢?还是运行后不能访问web界面呢?
  • 白墨: 可能不清楚就是编译安装后启动后访问不了web界面
归档