关于导入kusanagi后,我们推荐的网络安全设置。
1 提高wp-config.php的安全性
wp-config是收藏包括关于数据库链接情报,认证用的键等重要的的网络安全情的报数据库。
所以提高wp-config的文件的安全性是非常重要的。
1-1 转移wp-config.php文件至document root同样的分层
当完成安装WordPress之后,wp-config.php将会在root directory下自动生成。
把wp-config.php转移至和document root同样的分层,使wp-config.php不能轻易被直接从外部通过URL轻易地链接。
1-1-1 登录虚拟机
使用Poderosa或者是其他SSH链接软体以便通过SSH登陆进虚拟机。
登录用户名:kusanagi
密码是执行kusanagi init时所设定的密码。
Microsoft Azure的场合,使用的是当初创建虚拟机时,在 Azure Portal 里所设定的用户名和密码 。
1-1-2 切换至root用户
请输入下图程式命令以切换至root用户。
$ su -
输入用户密码。
※ root用户的密码是当初创建虚拟机时所输入的密码。
Microsoft Azure的场合下,请根据下图输入,切换至root用户。
$ sudo su -
输入登录ssh时所使用的密码。
1-1-3 移动至wp-config.php所在的位置
移动至wp-config.php所在的位置。
请根据下图输入。
# cd /home/kusanagi/kusanagi_html(※1)/DocumentRoot
(※1)输入开通Wordpress时所输入kusanagi的profile名称。
1-1-4 转移wp-config.php至上一层分层
根据下图程式命令输入,转移wp-config.php至上一层分层。
# mv wp-config.php ../
1-1-5 现在所处于的位置向上一层分层移动
为了确认移动后的wp-config.php是否转移至正确位置,根据下图输入后,您现在所处于的位置将会向上一层移动。
根据下图输入。
# cd ..
1-1-6 wp-config.php的文件存在确认
为了确认转移后wp-config的文件是否存在列表。
根据下图显示输入、所在的位置的目录里文件将列表方式呈现出来。
# ll
请确认wp-config.php文件是否存在,文件确认后表示文件转移成功。
1-1-7 确认网站正常显示
使用网页浏览器链接网站。
如果首页显示没有出现任何问题,表示wp-config.php转移后,WordPress也能正常地运作。
1-2 设定许可(Permission)的限制
当使用kusanagi安装wordpress时,wp-config.php的权限是属于httpd(群组是www),许可(Permission)的数值已被默认设定为666(rw-rw-rw)。
wp-config.php的权限变更后,限制的permission的数值就可提高网络安全。
※下列程序是是以wp-config.php已被转移至document root同分层作为前提而进行(转移过程请阅览1-1)。
1-2-1 登录虚拟机
使用Poderosa或者是其他SSH链接软体以便通过SSH登陆进虚拟机。
1-2-2 切换至root用户
根据下图显示输入、切换至root用户。
$ su -
输入root用户密码。
※ root用户的密码是利用云服务创建虚拟机时所输入的密码。
如果您是使用Microsoft Azure,请根据下图输入。
$ sudo su -
输入您的密码。密码和登录SSH时所使用的密码是一致的。
1-2-3 转移wp-config.php至所指定的位置
根据下图输入,wp-config.php将会转移至所指定的位置。
# cd /home/kusanagi/kusanagi_html(※1)
(※1)输入开通Wordpress时所输入kusanagi的profile名称
1-2-4 wp-config.php的权限所有者変更
根据下图输入,权限所有者将从web服务器转移至kusanagi用户。
# chown kusanagi.www wp-config.php
1-2-5 wp-config.php的许可(permission)变更
权限所有者变更以后,把wp-config.php的许可换成440(r--r--r--),使其他用户的权限无法拥有编写的权利。
根据下图输入。
# chmod 0440 wp-config.php
1-2-6 变更后许可(permission)确认
根据下图输入后,请注意目录的左侧,记载着许可的权限。
# ll
当wp-config.php的许可显示r-r-- 就表示变更完成。
1-2-7 确认网站显示
链接网站URL通过的网页浏览器。
如果首页显示没有出现任何问题,表示wp-config.php移动后也成功运作。
2 限制链接至WordPress看板
为了避免未认证用户可以通过第三方软体链接至WordPress通过基础认证,限制IP链接。
KUSANAGI可以对应Nginx和Apache,您可自由选择切换。
2-1 允许指定的IP网址链接至Nginx
根据下图输入以开启Nginx认证文件夹。
# vi /etc/nginx/conf.d/[profile-name(※1)]_http.conf
(※1)输入开通WordPress时所输入kusanagi的profile名称。
例:vi /etc/nginx/conf.d/kusanagi_html_http.conf
在43行
更改 allow 0.0.0.0 ,输入允许链接的Ip网址。(输入的程式命令前请输入# 的符号)
例:allow xxx.xxx.xxx.xxx;
※
如果你没有使用基本认证,请再46和47 。
在开通WordPress时,一个认证的文件夹生成为了ssl,下述的程序也需要的。
根据下图输入以开启nginx认证文件夹。
# vi /etc/nginx/conf.d/[profile-name(※1)]_ssl.conf
(※1)输入开通Wordpress时所输入kusanagi的profile名称。
例:vi /etc/nginx/conf.d/kusanagi_html_ssl.conf
在54行
更改 allow 0.0.0.0 ,输入允许链接的IP网址。(输入的程式命令前请输入# 的符号)
例:allow xxx.xxx.xxx.xxx;
※如果你没使用基本认证, 请再57 和58输入comment out。
如果你使用Nginx和需要立刻反映出更改后的变化,请执行 kusanagi nginx的程式命令。
下次Nginx启动时,只有特定的IP网址才被允许连接至WordPress 看板。
※根据c..httpdwd settings , 设定基础认证(Basic authentication)用户名和密码。
2-2 Apacheのアクセス許可IPアドレス設定
根据下图输入,可以直接开启在DocumentRoot里的htaccess文件夹。
# vi /home/kusanagi/[profile-name(※1)]/DocumentRoot/.htaccess
(※1)输入开通Wordpress时所输入kusanagi的profile名称。
例:vi /home/kusanagi/kusanagi_html/DocumentRoot/.htaccess
在第8行
更改Allow from all ,输入允许链接的IPp网址。
例:Allow from xxx.xxx.xxx.xxx
※如果你没使用基本认证, 请再10,11,12输入comment out。(输入的程式命令前请输入# 的符号)
在这之后,下回当Apache服务器启动时,输入在许可设定以外的IP网址因WordPress的基本认证,都无法对服务器进行链接。
※关于.htpasswd文件的基本认证的用户名,密码等的设定,请参考「2-3..htpasswd文件的定」。
2-3 .htpasswd的文件作成、用户名和密码的設定
在作成.htpasswd的文件是请设定基本认证的用户名,密码的设定。
2-3-1 .htpasswd文件的作成
KUSANAGI的默认设定是参考NginxとApache的双方方面的.htpasswd文件的共通pass而设定。
设定的pass将生成.htpasswd文件。
根据下图显示输入。
# htpasswd -c /home/kusanagi/.htpasswd [用户名]
接着请输入密码。
再度输入确认用密码。
输入基础认证设定的用户名和密码,显示在管理画面就表示完成设定。
3 制限根据IP链接源头限制服务器的链接
hosts.allow文件内,通过指定在hosts.deny文件里的允许连接的IP或主机,能够限制访问,例如SSH从以外的IP网址的服务器和被允许的主机。
- hosts.allow
设定许可链接的条件 - hosts.deny
设定禁止链接的条件
请根据下列的顺序设定。
- 当符合hosts.allow许可连接的条件时将允许链接。
- 当符合hosts.deny禁止链接的条件时将被禁止链接。
- 当hosts.allow或hosts.deny任何之一条件都无法达成一致时、host的链接将被许可。
hosts.allow和hosts.deny的指定方法的格式如下图显示。
设定IP或者host名
例)ssh:192.168.1.0
3-1 hosts allow的链接许可
设定IP或者host名以允许链接。
3-1-1 移动host allow文件所在位置
根据下图输入。
# cd /etc/
3-1-2 开启hosts allow的文件
当移动至/etc/directory后、开启hosts.allow文件。
根据下图输入。
# vi hosts.allow
3-1-3 输入允许链接的条件
输入允许链接的条件或链接。如下图。
例
all:192.168.1.10
all:192.168.10.
all:.ucom.ne.jp
追加后请保存该当文件。
输入的数值万一发生输入错误,将无法链接进服务器,输入时请注意。
3-2 使用hosts.deny禁止外部链接
全部外部的链接将被禁止。
hosts.deny文件的所在位置与hosts.allow文件的位置同时在同一分层。
3-2-1 开启hosts.deny文件
开启hosts.deny的文件。
根据下图输入。
# vi hosts.deny
3-2-2 输入禁止全部的链接
依据下图输入之后,全部的链接将被禁止。
all:all
除了在2-1设定的IP网址和host名以外链接将被拒绝链接至服务器
追加之后请保存该当的文件。
4 目录的许可(permission)的适当的设定。
KUSANAGI的目录的许可从777(rwx rwx rwx)更改至755(rwx rw- rw-)。
・DocumentRoot(/home/kusanagi/[profile名]/DocumentRoot)
・wp-content directory(/home/kusanagi[directory名]/DocumentRoot/wp-content)
4-1 DocumentRoot的目录许可的变更
根据下图显示输入程式命令,将移动至DocumentRoot的所在位置。
# cd /home/kusanagi/kusanagi_html(※1)
(※1)输入依kusanagi provision程式命令所使用的profile名(例:如上图)
之后请根据下图显示输入。
# chmod 0755 DocumentRoot
4-2 wp-content目录的许可变更
续3-1之后wp-content目录的许可进行変更。
根据下图显示输入,将移动至DocumentRoot的所在位置。
# cd DocumentRoot
根据下图显示输入。
# chmod 0755 wp-content
wp-content目录的许可将会做出变更。