共计 1983 个字符,预计需要 5 分钟阅读。
安装雷池防火墙后,有些用户想要调整一些配置却无从下手,现给出一些我的折腾方案。本文将持续更新!
在操作任何雷池配置文件时,请注意备份原内容。另外雷池升级时可能会还原更改,请注意重新修改!
调整HSTS头(标准时长,preload等)
详细内容和解释可以参照下面这篇文章,下面仅给出雷池的操作
首先取消勾选“强制HTTPS”选项。
在/data/safeline/resources/nginx/proxy_params
中加入如下内容:
if ($is_https = https) {
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
}
if ($is_https = http) {
rewrite ^ https://$host$request_uri permanent;
}
在/data/safeline/resources/nginx/nginx.conf
的结尾include上方,加入如下内容:
map $scheme $is_https {
default https;
http http;
}
然后在终端(ssh)中reload一下:
docker exec safeline-tengine nginx -s reload
本方法已在本站测试通过。
调整TLS版本
在/data/safeline/resources/nginx/nginx.conf
找到如下内容
##
# SSL Settings
##
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; # Dropping SSLv3, ref: POODLE
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
修改成以下内容
# intermediate configuration
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305;
ssl_prefer_server_ciphers off;
然后在终端(ssh)中reload一下:
docker exec safeline-tengine nginx -s reload
本方法也已在本站测试通过。
注意:该方法会造成极老式设备无法连接,需要完美兼容性请慎用
连接雷池PG数据库
首先,在linux机器上安装pg数据库客户端
sudo apt install postgresql-client
然后,查找雷池数据库的密码,可以在/data/safeline/.env
中查找到
接着查询safeline-pg容器的IP
docker inspect safeline-pg | grep "IPAddress"
最后输入命令连接
psql -h 172.22.222.2 -p 5432 -U safeline-ce
正文完
The plain HTTP request was sent to HTTPS port
400 BAD
有被吓到,在公司。一堆人正在用,赶紧恢复了
@wintsa 是哪个出现这样的问题?我这边正常的.
@lvshujun 就是按着你教程做的。。。先说一下我的环境,waf 反代到nginx的443端口,因为waf并不支持负载均衡之类的nginx设置。reload完直接就400bad
@wintsa 我下周一测试一下,可能是环境造成的
@wintsa 有了修改,再试试看?
谢谢博主
@闲言碎语 已经添加!
【Latex】批量处理小说txt范例
【Ubuntu】中文字体补全