网站又受到了DDOS攻击,由于apache是放在了nginx的后端运行,所以日志看不到用户的真实IP
apache2.4自带了mod_remoteip,我们将它启用,在http.conf的配置中:
LoadModule remoteip_module modules/mod_remoteip.so
增加如下代码:
<IfModule remoteip_module>
RemoteIPHeader X-Forwarded-For
RemoteIPProxiesHeader X-Forwarded-By
</IfModule>
LogFormat里面增加'%a':
LogFormat "%h %a %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
本来抱着试一下的心态,将自己的微信小程序,转成了百度小程序。
刚开始听说百度小程序,就过来注册,然后就提示需要注册的邀请码,可是我没有,我按照提示,给对应的邮箱写了一份邮件。等了一星期都没有回复,大约两星期的时间,给了我一个邀请码。幸运的女神降临了。我花了一个周末的时间,将微信小程序转成了百度智能小程序。通过实践,明白了两者之间的不同和相同之处。
小程序上线审核的时候,发现竟然有内部的人在看我的小程序,当然是百度内部的人了,还有人分享了。实际就是开始的审核人员分享了一下,后续的用户分享的人数很少。正式上线以后,每天其实也就我自己点点自己的小程序,没有一点流量。我在小程序的自己查找小程序页面的搜索功能里面,只能搜索"亚艾元象棋谱"才能搜索到自己。谁会找到我呢?我后来发现,搜索“”象棋谱“也能找到我的小程序。但是谁会搜索象棋谱呢? 搜索象棋、象棋棋谱都找不到。
我有点失望,有一天我在想,我把名字从亚艾元象棋谱改为“亚艾元象棋棋谱”,会不会在小程序搜索页面找到自己呢?我决定试一下,就改了名字,当时改名字不需要审核的。改完以后就生效了。 结果还是搜索不到。搜索“象棋”象棋棋谱“都不行。自然搜索搜不到,小程序的搜索再搜索不到。还顶个屁用。
有很多https的证书提供商,不过价格都不低,作为一个个人网站,或者节约型的公司,可以考虑使用Let's Encrypt certificates,
每次认证3个月的有效期,需要手动的重新认证。
Let's Encrypt配置起来,相对比较麻烦,不过certbot简化了这些配置
我用的是nginx,对应配置文档:
https://certbot.eff.org/lets-encrypt/centosrhel7-nginx
下面的这个步骤是可选的:
$ yum -y install yum-utils
$ yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional
安装certbot先:
$ sudo yum install python2-certbot-nginx
运行:
Drupal创始人,在Drupal欧洲大会上,讲了Drupal9的大致发布时间。经过社区激烈的讨论,Drupal9的发布日期将会在2020年,距今一年多的时间发布。Drupal9发布以后,2021年11月,Drupal8结束维护。Drupal7的维护期延长到2021年11月,过后,同时将会有商业的维护支持。
Drupal8的短命,这将会是一个不争的事实。毫无疑问,Drupal8自问世以来,并未在市场上取得成功,来自替代技术的压力,Drupal社区的分裂。向新技术转换的阵痛。
以前,Drupal核心开发者webchick曾发文说,Drupal9最早也是2021年的事了,现在往前提了整整一年。Drupal核心人员终于达成一致。乐观一点,明年的这个时候,Drupal9的alpha版本就会出现。
下面的问题,是客户接受上级单位安全检查,所涉及的问题,应该具有很高的代表性。经过上级检查,Drupal的安全性得到了高度的认可。
1,有无登录失败次数限制,
有,6次封IP
2,用户在线有效时长,越短越好
可以在settings.php里面配置
3,一个账号同时只能有一个人在线。
session_limit,可以配置限制次数。限制为1,自动踢出旧有登陆
4,搜索框,有过滤么
有。
5,恶意文件防护
自带防护PHP可执行文件的上传。
6,网站日志:
apache有日志, 网站本身有日志。
7,同时在线用户数,500?
8,密码强度
https://www.drupal.org/project/password_policy
9,windows 文件夹共享默认打开了, net share
最近将亚艾元象棋谱网站的图片,从PNG转为SVG,动态生成SVG的格式。原来基于phantomjs生成png格式的图片,然后使用程序合成gif格式的动态棋谱。
原来的方式,png,gif格式,保存起来,一个png格式需要40k,一个gif棋谱图片需要2M大小,50万棋谱,大约需要存储500万张图片。我使用百度的云存储服务,存储了这些图片,加到一起1.3T大小,每天都有10块钱的费用。成本有点高。
经过改造,现在换成了svg的格式,效果更好。而且生成SVG的速度比合成png的速度也快了10倍大小。动态的象棋棋谱svg格式,近8K大小。静态的SVG象棋棋谱图片仅5k大小。实例如下:
计划实现用户访问网站url里面,如果带有不带有portal字符,都看到同样的内容。用户的浏览器不用跳转。
采用重定向实现的话,就比较简单,如果不重定向的话,就比较麻烦,查找了很多资料,阅读了官方文档,最后找到了,使用代理的方式,不过这里是自己代理自己。
RewriteCond %{REQUEST_URI} ^(.*)?/(portal)/(node)/(.*)
RewriteRule ^ "http://localhost/xqipu/node/%4" [P]
需要在httpd.conf文件中启用 :
LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_http_module modules/mod_proxy_http.so
否则会报错:
最近有多个Drupal网站被黑了,其中一个症状,首次访问首页面,会跳转到别的页面,黑客页面。第二次访问正常。
这个极有隐蔽性,刚开始我还以为是浏览器点错了呢,因为后面就正常,后来检查,发现页面被注入JS代码。类似这样的代码:
