安装雷池防火墙后,有些用户想要调整一些配置却无从下手,现给出一些我的折腾方案。
在操作任何雷池配置文件时,请注意备份原内容。另外雷池升级时可能会还原更改,请注意重新修改!
调整HSTS头(标准时长,preload等)
详细内容和解释可以参照上一篇文章,下面仅给出雷池的操作
首先取消勾选“强制HTTPS”选项。
在/data/safeline/resources/nginx/proxy_params中加入如下内容:
conf
if ($is_https = https) {
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
}
if ($is_https = http) {
rewrite ^ https://$host$request_uri permanent;
}在/data/safeline/resources/nginx/nginx.conf的结尾include上方,加入如下内容:
conf
map $scheme $is_https {
default https;
http http;
}然后用docker重载一下Nginx:
conf
docker exec safeline-tengine nginx -s reload本方法已在本站测试通过。
调整TLS版本
在/data/safeline/resources/nginx/nginx.conf找到如下内容
conf
##
# SSL Settings
##
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; # Dropping SSLv3, ref: POODLE
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";修改成以下内容
conf
# intermediate configuration
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305;
ssl_prefer_server_ciphers off;然后用docker重载一下Nginx:
conf
docker exec safeline-tengine nginx -s reload本方法也已在本站测试通过。
注意
该方法会造成极老式设备无法连接,需要完美兼容性请慎用
连接雷池PG数据库
首先,在linux机器上安装pg数据库客户端
bash
sudo apt install postgresql-client
然后,查找雷池数据库的密码,可以在
/data/safeline/.env中查找到
接着查询safeline-pg容器的IP
bash
docker inspect safeline-pg | grep "IPAddress"
最后输入命令连接
bash
psql -h 172.22.222.2 -p 5432 -U safeline-ce
本文是原创文章,采用 CC BY-NC-SA 4.0 协议,完整转载请注明来自 烧鸡
评论
隐私政策
0/500
滚动到此处加载评论...