宝塔+雷池の設定チュートリアル

前面に書く#

ここでは、あなたが宝塔環境をデプロイ済みであることを前提としています。

環境要件#

オペレーティングシステム：Linux コマンドアーキテクチャ：x86_64 ソフトウェア依存：Docker 20.10.6 以上ソフトウェア依存：Docker Compose 2.0.0 以上最小環境：1 コア CPU / 1 GB メモリ / 10 GB ディスク

スクリプトを使用して雷池をインストールする#

サーバーのターミナルで以下のコマンドを入力してインストールしてください。途中で 2 回手動で確認が必要ですので、注意してください。

bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/setup.sh)"

牧云助手を使用して雷池をインストールする#

牧云助手を開き、ホストをバインドしてください。

サーバーの位置に応じて選択し、コピーをクリックしてください。

1 分待ってからページを更新し、ホスト名をクリックしてください。

アプリケーションマーケットをクリックし、雷池を見つけてインストールしてください。

わからない場合は、Bilibili にビデオチュートリアルがありますので、こちらをご覧いただけます。

動的パスワードの設定#

画面の指示に従って、TOTP をサポートする認証ソフトウェアで QR コードをスキャンし、ダイナミックパスワードを入力してログインしてください。Microsoft Authenticator または Tencent Authenticator を選択できます。

正常にログインできない場合#

Linux システムでは、ntpdate コマンドを使用して時刻を合わせることができます。以下の操作は root 権限が必要ですので、注意してください。

ターミナルを開き、root としてログインします。
次のコマンドを入力して ntpdate をインストールします（まだインストールされていない場合）：

sudo apt-get install ntpdate

次のコマンドを使用して時刻を合わせます：

sudo ntpdate time.nist.gov

これにより、システムの時刻が time.nist.gov サーバーの時刻に合わせられます。time.nist.gov を他の利用可能な NTP サーバーに置き換えることができます。

完了したら、システムの時刻が正確な時刻に合わせられます。

時刻の調整には、ネットワークの遅延やサーバーへのアクセス性能によって所要時間が異なる場合があります。システムの時刻が正確であることを確認するために、定期的な間隔で時刻を調整することをお勧めします。

設定の変更#

宝塔パネルを開き、設定をクリックしてください。

ここには罠がありますので、注意してください。Typecho を使用している場合は、ソースサイトも SSL を設定する必要があります。そうしないとログインできません！ソースサイトが SSL を設定していない場合：設定ファイルを選択し、元の 80 を 8080 または他のポートに変更してください。ソースサイトが SSL を設定している場合：設定ファイルを選択し、元の 443 を 8443 または他のポートに変更してください。

WAF リバースプロキシのデプロイ#

雷池のバックエンドを開き、保護サイトをクリックしてサイトを追加してください。

ドメイン、証明書などの情報を入力してください。証明書がない場合は、まず申請してください。

IP が悪意のある解析にさらされている#

自分のブログ / CMS の名前を検索エンジンで検索したときに、他のドメインが表示される場合、悪意のある解析を受けている可能性があります。この場合、自分の IP を使用してサイトを作成します。ドメインは外部 IP、ポートは 443、SSL 証明書は自己署名です！ソースサイトは任意に解析されます。たとえば、127.0.0.1:80 に解析されると、宝塔のデフォルトページが表示されます。

IP がキャッシュされている問題#

注意！ブログがプラグインでキャッシュされている場合、キャッシュをクリアしてHTTPS://IP を更新してアクセスしてください。その後、ドメインを開いてください。ページが正常に表示される場合、スキップできます。表示が異常で、CSS などのファイルが読み込まれない場合、悪意のあるボットによるスキャンの可能性があります。操作と悪意の解析方法は同じですが、自分の IP を使用してサイトを作成します。ドメインは外部 IP、ポートは 443、SSL 証明書は自己署名です！ソースサイトは任意に解析されます。たとえば、127.0.0.1:80 に解析されると、宝塔のデフォルトページが表示されます。

UA ホワイトリストの設定#

雷池 WAF を開き、ホワイトリストを追加してください。設定方法がわからない場合は、以下を参照してください。

モバイルブラウザの UA の設定#

ここでは via ブラウザを例に説明します。IOS の場合は alook ブラウザを選択できます。設定 - 一般 - ブラウザ識別子をクリックしてください。プラスボタンをクリックし、希望する UA を入力してください。たとえば、IKUN です。

コンピュータのブラウザの UA の設定#

このプラグインをインストールしてください。

そして、好きなものを入力してください。ブログ内で設定することをお勧めします。毎回開く必要はありません。all を選択することはお勧めしません。

IP ホワイトリストの設定#

これは必ず設定してください。または、上記の UA ホワイトリストを設定することもできます。そうしないと、後でウェブサイトを変更すると誤判定される可能性があります。

以下のウェブサイトで IP を検索できます。

ip.skk.moe
ip138.com
ip.sb

設定で部分一致を選択し、IP が 114.114.114.114 の場合、114.114.114.* または 114.114.*.* のように設定してください。

キーディレクトリの人間検証の設定#

ブログ / CMS などのプログラムで訪問者の登録、ログイン操作が必要な場合、機械的なスキャンやブルートフォース攻撃を防ぐために、人間検証を設定することができます。

CDN の実際の IP の設定#

それを追加してください X-Forwarded-For もちろん、Alibaba Cloud CDN の設定は異なる場合がありますので、検索してください。

CDN からのアクセスのみをソースサイトで許可する設定#

CDN を使用している場合、CDN IP のみがソースサイトにアクセスできるように設定することができます。これにより、CC 攻撃のソースサイトがブロックされます。これにより、CC 攻撃時に費用が増加する可能性があります（bushi）。

よくある質問#

Q: デプロイ後、パネルにアクセスできません。 A: ファイアウォールが許可されているかどうかを確認してください。 Q: サイトのデプロイ時にポートが使用中と表示されます。 A: すべてのサイトが 443 ポートを他のポートに変更しているかどうかを確認してください。 Qを有効にした後、パネルに表示されるデータが正しくありません。 A: 上記の手順に従って変更してください。変更が効果がない場合は、使用している CDN ベンダーにチケットを送信してください。