微信登录

Nginx高级 - http{}防守脚本 - httpSafe.conf

基本 - 技术升级路线

基本 - 集群软件 - 负载均衡Load Balance

基本 - 虚拟主机、云服务器区别

基本 - 世界各地的网络路线

基本 - IP地址 - 全世界42亿个 - 我国3亿

基本 - Linux - 各版本 - Debian、Red Hat

基础 - 获得Linux - 镜像32位、64位

基础 - Ubuntu安装

基础 - 服务器端口 - 65535个 - 80、3306

基础 - CPU|核数|进程 processes|线程 threads

配置 - /boot - 启动文件、内核

配置 - /proc、/sys - 内核、硬件状态

配置 - /proc - 系统信息（存在内存）

配置 - /etc - 配置文件目录

配置 - /etc/hostname - 主机名字

配置 - 防火墙 - 判断

配置 - /etc/ufw - 防火墙 - Debian系列的默认防火墙

配置 - firewalld - 防火墙 - 红帽7及以上（CentOS7）

配置 - iptables - 防火墙 - 红帽6及以下（CentOS6）

配置 - 文件描述符 - 文件句柄

配置 - 环境变量 - 系统级 - root#

配置 - 环境变量 - 用户级 - xxx$

配置 - /lib - 共享库

功能 - whichis、find、where - 找文件

功能 - 用户、组 + 4个用户配置文件

功能 - /root - 超级用户root# - 操作普通用户$

功能 - /home/xxx - 普通用户xxx$

功能 - /etc/sudoers - sudo配置文件

功能 - 组 - 其他组 - 操作

功能 - 文件权限 - ugo-777-755-644-600

功能 - l - 硬链接和符号链接（快捷方式）

功能 - /mnt->/media->/dev - 外部设备挂载

功能 - /opt - 第三方软件可以存文件

功能 - /tmp - 临时文件 - 会被系统自动清理干净

功能 - /lost＋found - 突然断电存临时文件

状态 - ifconfig - 网卡

状态 - ip addr - 网卡

状态 - lsof - 看进程、端口

状态 - netstat - 端口占用

状态 - ps aux - 看进程

状态 - ps -ef - 看进程

状态 - /proc/meminfo、free - 看内存 - 总

状态 - vmstat - 看内存 - 虚拟、IO、CPU

状态 - top - 看内存

状态 - memstat - 看内存

使用 - /bin - 系统基本命令 - mkdir

使用 - /sbin - root的进程、守护进程d - ifconfig网络

使用 - /usr/bin - 软件底层脚本 - g++

使用 - /usr/sbin - 非root的程序、守护进程d - httpd

使用 - /usr/local/bin - 应用程序

使用 - /usr/local/sbin - 守护进程 - redis、MongoDB

使用 - /usr/share/zoneinfo - 时区文件

使用 - /usr/lib/systemd - systemctl、service服务

使用 - /var - 正在运行的

使用 - /var/ftp - ftp服务器

使用 - /var/www - Web服务器

使用 - /var/log/xxx - 6个log日志文件

使用 - nohup - no hang up - 不挂起

自带软件 - SSH - 远程连接工具 - 简介

自带软件 - SSH - ssh_config - 客户端配置文件

自带软件 - SSH - sshd_config - 服务器端配置文件

自带软件 - crontab - 定时任务

自带软件 - vim - 编辑器

自带软件 - 压缩工具

软件管理工具 - yum - Yellowdog Updater Modified

软件管理工具 - apt-get

软件 - vsftpd - FTP文件传输工具

软件 - Nginx - 反向代理

软件 - ClamAv - 杀毒软件

软件 - 监控 - htop - 系统监控

软件 - 监控 - Ngxtop - Nginx监控

--- - 监控 - uwsgitop- 工人监控

软件 - 监控 - Mytop - MySQL监控

--- - 监控 - MySQL - 执行语句

--- - 监控 - Redis - 执行监控

软件安装包 - 源码、二进制包

阿里云服务器-Ubuntu|Nginx|python3|uwsgi|Flask

Ubuntu - 带宽怎么算

ubuntu 查看进程，查看服务 - （准备弃用）

ubuntu - 一般内存消耗 - htop - flask、uwsgi

阿里云拿到Linux - 设置用户

FileZilla - 文件传输（自己电脑安装）

ssh连接远程服务器

Python3 - 安装

mysql - 设置用户、数据库

Nginx - 安装、阿里云安全组

Nginx - 内置变量语法

Nginx - 反向代理、阿里云域名解析 - 简单

nginx.conf - 模块目录

supervisor - 进程守护 - 安装

virtualenv - 虚拟环境 - 安装

virtualenv - 虚拟环境

程序文件 - 上传 + 解压文件

uwsgi - 安装+基础配置

uwsgi - 配置 - 模式配置

uwsgi - 使用 - uwsgitop

Supervisor - 进程管理程序 - 这个是最后开的

MySQL - 新建一个数据库

域名 - 购买、解析、绑定、备案

SSL证书 - 购买、配置

带宽计算（可取消）

压力测试 - 免费 - siege

阿里云服务器 - WinSer

Windows Server 1909服务器下载（弃用）

服务器管理器 - 配置

Nginx高级 - nginx.conf模板

Nginx高级 - nginx.conf - main - 全局配置段

Nginx高级 - nginx.conf - events {} - 用户网络连接

Nginx高级 - http{server{}}

Nginx高级 - nginx.conf - timeout - 超时

Nginx高级 - http{}防守脚本 - httpSafe.conf

Nginx高级 - server{}防守脚本 - serverSafe.conf

Nginx高级 - 负载均衡 - location -> upstream

Nginx高级 - 动静分离 - 修改location

Nginx高级 - 高可用集群 - 主备Nginx + keepalived

Nginx高级 - 原理 - master信号 - worker争抢

--------------服务器安全--------------

信息采集 - 主动采集 - 直接访问、扫描网站

信息采集 - 被动收集 - 利用第三方的服务

主机发现 - 获得真实ip地址

漏洞 - 前端 - CSRF - 跨站请求伪造

漏洞 - 前端 - XSS - 跨站脚本攻击-反射型

漏洞 - 前端 - XSS - 跨站脚本攻击-存储型

漏洞 - 前端 - XSS - 跨站脚本攻击-DOM

漏洞 - 前端 - cookies/session

漏洞 - XXE漏洞 - XML外部实体注入

漏洞 - SSRF - 服务器端请求伪造

漏洞 - DoS拒绝服务 - DDoS分布式拒绝服务

漏洞 - DoS拒绝服务 - icmp flood - ping攻击

防御 - DoS拒绝服务 - icmp flood - ping攻击

漏洞 - DoS拒绝服务 - udp flood

漏洞 - DoS拒绝服务 - syn flood

漏洞 - DoS拒绝服务 - tcp flood

漏洞 - DoS拒绝服务 - CC

漏洞 - DDoS分布式拒绝服务

漏洞 - 暴力破解

漏洞 - 目录遍历信息泄漏

漏洞 - 命令执行

漏洞 - 越权漏洞

漏洞 - 解析漏洞 - 服务器软件漏洞 - Apache|Nginx

防御 - 解析漏洞 - 服务器软件漏洞 - Apache|Nginx

漏洞 - URL重定向

Nginx高级 - http{}防守脚本 - httpSafe.conf

在每一个 http{}加上一个脚本

http{
        include conf.d/httpSafe.conf     # 在conf.d文件夹加上 httpSafe.conf
}

httpSafe.conf

server_tokens off;
# 经常会有针对某个版本的nginx安全漏洞出现
# 隐藏nginx版本号就成了主要的安全优化手段之一
# 当然最重要的是及时升级修复漏洞
############################
###关于请求头防御add_header##
############################
add_header X-Frame-Options SAMEORIGIN;
# X-Frame-Options
# 响应头表示是否允许浏览器加载frame等属性
# 有三个配置DENY禁止任何网页被嵌入
# SAMEORIGIN只允许本网站的嵌套
# ALLOW-FROM允许指定地址的嵌套
add_header X-XSS-Protection "1; mode=block";
# X-XSS-Protection
# 表示启用XSS过滤
# （禁用过滤为X-XSS-Protection: 0）
# mode=block表示若检查到XSS攻击则停止渲染页面
add_header X-Content-Type-Options nosniff;
# X-Content-Type-Options
# 响应头用来指定浏览器对未指定或错误指定Content-Type资源真正类型的猜测行为
# nosniff 表示不允许任何猜测
# 在通常的请求响应中，浏览器会根据Content-Type来分辨响应的类型
# 但当响应类型未指定或错误指定时，浏览会尝试启用MIME-sniffing来猜测资源的响应类型，这是非常危险的
# 例如一个.jpg的图片文件被恶意嵌入了可执行的js代码，在开启资源类型猜测的情况下
# 浏览器将执行嵌入的js代码，可能会有意想不到的后果
add_header Content-Security-Policy "default-src 'self'";
# Content-Security-Policy： 定义页面可以加载哪些资源
# 上边的配置会限制所有的外部资源，都只能从当前域名加载
# default-src定义针对所有类型资源的默认加载策略
# self允许来自相同来源的内容
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";
# Strict-Transport-Security： 会告诉浏览器用HTTPS协议代替HTTP来访问目标站点
# 上边的配置表示当用户第一次访问后，会返回一个包含了Strict-Transport-Security响应头的字段
# 这个字段会告诉浏览器，在接下来的31536000秒内，当前网站的所有请求都使用https协议访问
# 参数includeSubDomains是可选的，表示所有子域名也将采用同样的规则

Nginx高级 - http{}防守脚本 - httpSafe.conf