我们推荐的网络安全的对应

关于导入kusanagi后,我们推荐的网络安全设置。

1 提高wp-config.php的安全性

wp-config是收藏包括关于数据库链接情报,认证用的键等重要的的网络安全情的报数据库。
所以提高wp-config的文件的安全性是非常重要的。

1-1 转移wp-config.php文件至document root同样的分层

当完成安装WordPress之后,wp-config.php将会在root directory下自动生成。
把wp-config.php转移至和document root同样的分层,使wp-config.php不能轻易被直接从外部通过URL轻易地链接。

1-1-1 登录虚拟机

使用Poderosa或者是其他SSH链接软体以便通过SSH登陆进虚拟机。

登录用户名:kusanagi
密码是执行kusanagi init时所设定的密码。

Microsoft Azure的场合,使用的是当初创建虚拟机时,在 Azure Portal 里所设定的用户名和密码 。

1-1-2 切换至root用户

请输入下图程式命令以切换至root用户。

$ su -

输入用户密码。
※ root用户的密码是当初创建虚拟机时所输入的密码。

Microsoft Azure的场合下,请根据下图输入,切换至root用户。

$ sudo su -

输入登录ssh时所使用的密码。

1-1-3 移动至wp-config.php所在的位置

移动至wp-config.php所在的位置。
请根据下图输入。

# cd /home/kusanagi/kusanagi_html(※1)/DocumentRoot

(※1)输入开通Wordpress时所输入kusanagi的profile名称。

1-1-4 转移wp-config.php至上一层分层

根据下图程式命令输入,转移wp-config.php至上一层分层。

# mv wp-config.php ../

1-1-5 现在所处于的位置向上一层分层移动

为了确认移动后的wp-config.php是否转移至正确位置,根据下图输入后,您现在所处于的位置将会向上一层移动。
根据下图输入。

# cd ..

1-1-6 wp-config.php的文件存在确认

为了确认转移后wp-config的文件是否存在列表。
根据下图显示输入、所在的位置的目录里文件将列表方式呈现出来。

# ll

请确认wp-config.php文件是否存在,文件确认后表示文件转移成功。

1-1-7 确认网站正常显示

使用网页浏览器链接网站。
如果首页显示没有出现任何问题,表示wp-config.php转移后,WordPress也能正常地运作。

1-2 设定许可(Permission)的限制

当使用kusanagi安装wordpress时,wp-config.php的权限是属于httpd(群组是www),许可(Permission)的数值已被默认设定为666(rw-rw-rw)。

wp-config.php的权限变更后,限制的permission的数值就可提高网络安全。

※下列程序是是以wp-config.php已被转移至document root同分层作为前提而进行(转移过程请阅览1-1)。

1-2-1 登录虚拟机

使用Poderosa或者是其他SSH链接软体以便通过SSH登陆进虚拟机。

1-2-2 切换至root用户

根据下图显示输入、切换至root用户。

$ su -

输入root用户密码。
※ root用户的密码是利用云服务创建虚拟机时所输入的密码。

如果您是使用Microsoft Azure,请根据下图输入。

$ sudo su -

输入您的密码。密码和登录SSH时所使用的密码是一致的。

1-2-3 转移wp-config.php至所指定的位置

根据下图输入,wp-config.php将会转移至所指定的位置。

# cd /home/kusanagi/kusanagi_html(※1)

(※1)输入开通Wordpress时所输入kusanagi的profile名称

1-2-4 wp-config.php的权限所有者変更

根据下图输入,权限所有者将从web服务器转移至kusanagi用户。

# chown kusanagi.www wp-config.php

1-2-5 wp-config.php的许可(permission)变更

权限所有者变更以后,把wp-config.php的许可换成440(r--r--r--),使其他用户的权限无法拥有编写的权利。
根据下图输入。

# chmod 0440 wp-config.php

1-2-6 变更后许可(permission)确认

根据下图输入后,请注意目录的左侧,记载着许可的权限。

# ll

当wp-config.php的许可显示r-r-- 就表示变更完成。

1-2-7 确认网站显示

链接网站URL通过的网页浏览器。
如果首页显示没有出现任何问题,表示wp-config.php移动后也成功运作。

2 限制链接至WordPress看板

为了避免未认证用户可以通过第三方软体链接至WordPress通过基础认证,限制IP链接。

KUSANAGI可以对应Nginx和Apache,您可自由选择切换。

2-1 允许指定的IP网址链接至Nginx

根据下图输入以开启Nginx认证文件夹。

# vi /etc/nginx/conf.d/[profile-name(※1)]_http.conf

(※1)输入开通WordPress时所输入kusanagi的profile名称。
例:vi /etc/nginx/conf.d/kusanagi_html_http.conf

在43行
更改 allow 0.0.0.0 ,输入允许链接的Ip网址。(输入的程式命令前请输入# 的符号)
例:allow xxx.xxx.xxx.xxx;


如果你没有使用基本认证,请再46和47 。

在开通WordPress时,一个认证的文件夹生成为了ssl,下述的程序也需要的。
根据下图输入以开启nginx认证文件夹。

# vi /etc/nginx/conf.d/[profile-name(※1)]_ssl.conf

(※1)输入开通Wordpress时所输入kusanagi的profile名称。
例:vi /etc/nginx/conf.d/kusanagi_html_ssl.conf

在54行
更改 allow 0.0.0.0 ,输入允许链接的IP网址。(输入的程式命令前请输入# 的符号)
例:allow xxx.xxx.xxx.xxx;

※如果你没使用基本认证, 请再57 和58输入comment out。

如果你使用Nginx和需要立刻反映出更改后的变化,请执行 kusanagi nginx的程式命令。
下次Nginx启动时,只有特定的IP网址才被允许连接至WordPress 看板。

※根据c..httpdwd settings , 设定基础认证(Basic authentication)用户名和密码。

2-2 Apacheのアクセス許可IPアドレス設定

根据下图输入,可以直接开启在DocumentRoot里的htaccess文件夹。

# vi /home/kusanagi/[profile-name(※1)]/DocumentRoot/.htaccess

(※1)输入开通Wordpress时所输入kusanagi的profile名称。
例:vi /home/kusanagi/kusanagi_html/DocumentRoot/.htaccess

在第8行
更改Allow from all ,输入允许链接的IPp网址。
例:Allow from xxx.xxx.xxx.xxx

※如果你没使用基本认证, 请再10,11,12输入comment out。(输入的程式命令前请输入# 的符号)

在这之后,下回当Apache服务器启动时,输入在许可设定以外的IP网址因WordPress的基本认证,都无法对服务器进行链接。

※关于.htpasswd文件的基本认证的用户名,密码等的设定,请参考「2-3..htpasswd文件的定」。

2-3 .htpasswd的文件作成、用户名和密码的設定

在作成.htpasswd的文件是请设定基本认证的用户名,密码的设定。

2-3-1 .htpasswd文件的作成

KUSANAGI的默认设定是参考NginxとApache的双方方面的.htpasswd文件的共通pass而设定。
设定的pass将生成.htpasswd文件。

根据下图显示输入。

# htpasswd -c /home/kusanagi/.htpasswd [用户名]

接着请输入密码。
再度输入确认用密码。

输入基础认证设定的用户名和密码,显示在管理画面就表示完成设定。

3 制限根据IP链接源头限制服务器的链接

hosts.allow文件内,通过指定在hosts.deny文件里的允许连接的IP或主机,能够限制访问,例如SSH从以外的IP网址的服务器和被允许的主机。

  • hosts.allow
    设定许可链接的条件
  • hosts.deny
    设定禁止链接的条件

请根据下列的顺序设定。

  1. 当符合hosts.allow许可连接的条件时将允许链接。
  2. 当符合hosts.deny禁止链接的条件时将被禁止链接。
  3. 当hosts.allow或hosts.deny任何之一条件都无法达成一致时、host的链接将被许可。

hosts.allow和hosts.deny的指定方法的格式如下图显示。

设定IP或者host名
例)ssh:192.168.1.0

3-1 hosts allow的链接许可

设定IP或者host名以允许链接。

3-1-1 移动host allow文件所在位置

根据下图输入。

# cd /etc/
3-1-2 开启hosts allow的文件

当移动至/etc/directory后、开启hosts.allow文件。
根据下图输入。

# vi hosts.allow
3-1-3 输入允许链接的条件

输入允许链接的条件或链接。如下图。

例
all:192.168.1.10
all:192.168.10.
all:.ucom.ne.jp

追加后请保存该当文件。
输入的数值万一发生输入错误,将无法链接进服务器,输入时请注意。

3-2 使用hosts.deny禁止外部链接

全部外部的链接将被禁止。
hosts.deny文件的所在位置与hosts.allow文件的位置同时在同一分层。

3-2-1 开启hosts.deny文件

开启hosts.deny的文件。
根据下图输入。

# vi hosts.deny
3-2-2 输入禁止全部的链接

依据下图输入之后,全部的链接将被禁止。

all:all

除了在2-1设定的IP网址和host名以外链接将被拒绝链接至服务器
追加之后请保存该当的文件。

4  目录的许可(permission)的适当的设定。

KUSANAGI的目录的许可从777(rwx rwx rwx)更改至755(rwx rw- rw-)。

・DocumentRoot(/home/kusanagi/[profile名]/DocumentRoot)
・wp-content directory(/home/kusanagi[directory名]/DocumentRoot/wp-content)

4-1 DocumentRoot的目录许可的变更

根据下图显示输入程式命令,将移动至DocumentRoot的所在位置。

# cd /home/kusanagi/kusanagi_html(※1)

(※1)输入依kusanagi provision程式命令所使用的profile名(例:如上图)
之后请根据下图显示输入。

# chmod 0755 DocumentRoot

4-2 wp-content目录的许可变更

续3-1之后wp-content目录的许可进行変更。
根据下图显示输入,将移动至DocumentRoot的所在位置。

# cd DocumentRoot

根据下图显示输入。

# chmod 0755 wp-content

wp-content目录的许可将会做出变更。