網站加速與Linux服務器防禦

網站加速方面

1. Nginx 配置 gzip 壓縮

開啓nginx gzip壓縮後，網頁、css、js等靜態資源的大小會大大的減小，從而能夠節約大量的帶寬，提升傳輸效率，給用戶快的體驗。雖然會消耗cpu資源，可是爲了給用戶更好的體驗是值得的。

gzip  on;  #開啓gzip
gzip_min_length 1k;  #低於1kb的資源不壓縮
gzip_comp_level 3; #壓縮級別【1-9】，越大壓縮率越高，同時消耗cpu資源也越多，建議設置在4左右。
gzip_types text/plain application/javascript application/x-javascript text/javascript text/xml text/css;  #須要壓縮哪些響應類型的資源，多個空格隔開。不建議壓縮圖片，下面會講爲何。
gzip_disable "MSIE [1-6]\.";  #配置禁用gzip條件，支持正則。此處表示ie6及如下不啓用gzip（由於ie低版本不支持）
gzip_vary on;  #是否添加「Vary: Accept-Encoding」響應頭

將以上配置放到nginx.conf的http{ ... }節點中。保存並重啓nginx，刷新頁面（爲了不緩存，請強制刷新）就能看到效果了。以谷歌瀏覽器爲例，經過F12看請求的響應頭部。

2. 開啓百度雲加速

在不少網站開始用到了國內的免費CDN了，也就是雲加速，好比百度雲加速、360網站衛士、安全寶、加速樂及雲盾等等。

百度雲加速在全國骨幹網上部署大量節點和帶寬資源，整合百度自有CDN技術以及防攻擊體系，爲廣大網站提供加速、緩存和頁面優化等功能，顯著提升網站的訪問速度，大量節省網站自身資源。
同時，在流量通過雲加速節點的同時，惡意的黑客攻擊和DDoS/CC攻擊也被雲加速攔截過濾，有效保障了網站的安全和穩定。

這個開啓請看教程：https://jingyan.baidu.com/article/f00622280f97d3fbd2f0c858.html

Linux服務器安全防禦

1.Linux限制用戶或IP遠程登陸

linux遠程登陸使用的是SSH協議，要限制IP登陸，主要是修改與sshd服務相關聯的配置文件。

1.只容許指定用戶進行登陸（白名單）：
在 /etc/ssh/sshd_config 配置文件中設置 AllowUsers 選項，（配置完成須要重啓 SSHD 服務）格式以下：
AllowUsers    aliyun test@192.168.1.1            
# 容許 aliyun 和從 192.168.1.1 登陸的 test 賬戶經過 SSH 登陸系統。
2.只拒絕指定用戶進行登陸（黑名單）：
在/etc/ssh/sshd_config配置文件中設置DenyUsers選項，（配置完成須要重啓SSHD服務）格式以下：   
DenyUsers    zhangsan aliyun    #Linux系統帳戶        
# 拒絕 zhangsan、aliyun 賬戶經過 SSH 登陸系統

3.只容許IP 192.168.0.1 和 192.168.0.10 登錄 其餘所有禁止
(1) vim /etc/hosts.allow //增長以下內容 
sshd: 192.168.0.1, 192.168.0.10 
(2)vim /etc/hosts.deny //增長以下內容 
sshd: ALL
4.IP黑名單形式
只限制192.168.0.1登錄上來，其餘所有放行
vim /etc/hosts.deny //增長以下內容 
sshd: 192.168.0.1

　　

2.安裝雲鎖安全軟件

注意：如曾經下載過雲鎖安裝包，則將舊的雲鎖安裝包及安裝目錄刪除（rm -rf yunsuo_*）後再安裝。

快速安裝

x86：wget http://download.yunsuo.com.cn/v3/yunsuo_agent_32bit.tar.gz && tar xvzf yunsuo_agent_32bit.tar.gz && chmod +x yunsuo_install/install && yunsuo_install/install

x64：wget http://download.yunsuo.com.cn/v3/yunsuo_agent_64bit.tar.gz && tar xvzf yunsuo_agent_64bit.tar.gz && chmod +x yunsuo_install/install && yunsuo_install/install

分步安裝

1.下載雲鎖安裝包。

x86：wget http://download.yunsuo.com.cn/v3/yunsuo_agent_32bit.tar.gz
x64：wget http://download.yunsuo.com.cn/v3/yunsuo_agent_64bit.tar.gz
2.解壓文件，獲得安裝包文件。

x86：tar zxvf yunsuo_agent_32bit.tar.gz
x64：tar zxvf yunsuo_agent_64bit.tar.gz
3.給雲鎖安裝文件賦予可執行權限。

chmod +x yunsuo_install/install
4.在當前路徑下執行安裝，直到提示「Install Yunsuo Success.」安裝完成。

yunsuo_install/install

5.添加服務器到雲中心。

/usr/local/yunsuo_agent/yunsuo_smart_tool.sh -u cloud_name -p cloud_passwd
備註：cloud_name：雲中心帳戶名；cloud_passwd：雲中心登陸密碼
6.安裝完成後經過PC端進行管理。

查看雲鎖是否運行

ps -ef | grep yunsuo_agent

雲鎖服務相關命令

雲鎖啓動/中止/重啓/運行狀態

service yunsuo start/stop/restart/status
/etc/init.d/yunsuo start/stop/restart/status

卸載雲鎖

/usr/local/yunsuo_agent/uninstall

　　3.ssh 22默認端口更改

首先修改配置文件　　vi /etc/ssh/sshd_config

　　找到#Port 22一段，這裏是標識默認使用22端口，修改成以下：

　　Port 22　　Port 50000　　而後保存退出

　　執行/etc/init.d/sshd restart　　這樣SSH端口將同時工做與22和50000上。

　　如今編輯防火牆配置：vi /etc/sysconfig/iptables

　　啓用50000端口。　　執行/etc/init.d/iptables restart

　　如今請使用ssh工具鏈接50000端口，來測試是否成功。若是鏈接成功了，則再次編輯sshd_config的設置，將裏邊的Port22刪除，便可。

　　之因此先設置成兩個端口，測試成功後再關閉一個端口，是爲了方式在修改conf的過程當中，萬一出現掉線、斷網、誤操做等未知狀況時候，
還能經過另一個端口鏈接上去調試以避免發生鏈接不上必須派人去機房，致使問題更加複雜麻煩。

　　4.開啓防火牆

1) 永久性生效，重啓後不會復原
開啓： chkconfig iptables on
關閉： chkconfig iptables off

2) 即時生效，重啓後復原
開啓： service iptables start
關閉： service iptables stop

　　5.重要文件夾上鎖

在linux系統裏鎖定一個文件,鎖定後,任何用戶,包括root用戶都沒法刪除該文件
chattr +i  a.txt   
##a.txt 爲加鎖的文件
解鎖
chattr -i a.txt 

爲了保護數據隱私，鎖定文件服務器下的/downloads文件夾。
chmod 0000 /downloads

root用戶仍舊能夠訪問，而ls和cd命令則不工做。要還原它用：
chmod 0755 /downloads

　　6.網站目錄文件夾權限設置 。建議文件夾750，頁面文件640，緩存目錄可讀寫770

修改某個目錄下全部文件的權限，若是子目錄中的文件權限也要修改，則使用參數－R啓動遞歸處理。

把/home/user目錄的權限設置爲rwxrwxrwx，不包括子目錄：

[root@localhost ~]# chmod 777 /home/user

把/home/user目錄的權限設置爲rwxrwxrwx，包括子目錄：

[root@localhost ~]# chmod -R 777 /home/user 

　其它　

及時更新各種軟件的補丁

掛載備份硬盤，按期備份

數據庫單獨服務器，經過內網訪問交互

關閉多餘服務

禁用密碼，用密鑰登陸