Rick 's BLOG

新博客系统更新

rick — 2023-12-20 00:43:57

2023年12月20日，修复上传了老论坛的附件文件。原文章中引用的论坛图片和附件应该可以正常访问了。

博客前台功能已经完成，模版样式进行了部分调整。前台引入部分Bootstrap样式。
前台增加了风格模版切换功能。后续准备基于Bootstrap做一个新的风格模版。
后台样式完全基于Bootstrap，后台功能完成50%。

新博客系统功能更新上线

rick — 2023-12-17 00:03:36

2023-12-11恢复上传旧的附件文件，服务器和程序对附件下载进行了配置和更新，老的博客文章中的附件可以正常下载。
2023-12-17 TrackBack引用通告功能完整实现并上线运行。（之前有考虑删除这个功能，最后还是保留了。）

目前新博客系统前台功能（除网络书签外）已经全部实现并上线运行。
网络书签功能的去留待定。

查看网站日志发现被扫描了，nginx如何预防性的设置防止帐号信息泄漏？

rick — 2023-12-04 19:39:06

大概分类了一下访问。扫描的访问一般是工具提交的。
特点是访问网站中的特定目录或者文件。
这一类工具应该是通过特定目录和文件来确定网站系统程序，然后利用网站程序的漏洞进行攻击。

还有一些是访问git，vscode等代码管理工具的配置信息。
这一类的风险比较高，如果操作失误将帐号配置信息上传到网站上了就可能会导致信息泄漏。
然后引发更大的风险。

下面这样的地址(实际日志中的比较多，这里只简单列举几个例子)：

https://www.rickw.cn/actuator/gateway/routes
https://www.rickw.cn/console/
https://www.rickw.cn/version
https://www.rickw.cn/Autodiscover/Autodiscover.xml
https://www.rickw.cn/wp-content/plugins/td-composer/license.txt
http://www.rickw.cn/wp-content/plugins/userpro/skins/elegant/style.css
https://www.rickw.cn/geoserver/web/
https://www.rickw.cn/static/admin/javascript/hetong.js
https://www.rickw.cn/Public/home/js/check.js
https://www.rickw.cn/WuEL
http://www.rickw.cn/telescope/requests
http://www.rickw.cn/ecp/Current/exporttool/microsoft.exchange.ediscovery.exporttool.application

上这些扫描应该是判断网站程序是什么系统。

下面是配置信息的扫描地址（这个安全隐患比较大，误操作的话就容易出现事故）

https://www.rickw.cn/.git/config
https://www.rickw.cn/core/.env
https://www.rickw.cn/.env
http://www.rickw.cn/config.json
http://www.rickw.cn/.DS_Store
http://www.rickw.cn/.vscode/sftp.json

.env一般php开发框架都会在跟目录有一个，这里面可能会有配置数据库的连接帐号信息等。
.git .DS_Store是源代码管理工具的配置文件。
如果你的网站使用了通过源代码管理工具自动更新的话，这里面可能会有源代码管理系统的帐号密码。

.vscode这个，如果你使用vscode开发，并通过vscode上传代码到服务器，可能会设置了服务器的sftp帐号信息。

对于这一类我们可以提前进行预防，在nginx中配置 "." 点开头的文件夹和文件禁止访问。
然后对于网站中有json配置的，也可以预防禁止访问json文件。

[复制到剪贴板]



    
     location ^~ /. {
        deny all;
    }

上面的写法会禁止网站根目录下的.文件和目录。

如果还要禁止子目录，可以采用正则表达式的写法。

[复制到剪贴板]



    
     location ~ (.*)/\.(.+) {
        deny all;
    }

禁止json文件的写法：

[复制到剪贴板]



    
     location ~ (.*)\.json {
        deny all;
    }

开启SSL证书,nginx配置http跳转https以及CodeIgniter 4系统配置注意事项

rick — 2023-12-03 19:53:34

今天在阿里云的控制中心申请了SSL的域名证书。阿里云每年可以免费申请20个ssl证书，证书有效期90天。
只有单域名的证书，不支持通配符。Let's Encrypt可以申请通配符的SSL证书。
域名证书申请下来后，在nginx中进行配置开启ssl，并配置http的访问自动跳转到https的网址。
配置好后在新的博客系统上发现了一个小问题，需要对CodeIgniter4进行参数调整。
下面详细介绍CodeIgniter4的参数调整，以及nginx的参数配置信息。

在发日志的界面出现“此表单不安全,因此,系统已关闭自动填充功能”

出现这个问题的原因是，Post的提交地址还是对应的http网站。
这个需要修改CodeIgniter4的App\Config\App.php 的默认网址参数，将参数设置为 https的默认网址。

/**
     * --------------------------------------------------------------------------
     * Base Site URL
     * --------------------------------------------------------------------------
     *
     * URL to your CodeIgniter root. Typically, this will be your base URL,
     * WITH a trailing slash:
     *
     *    http://example.com/
     */
    public string $baseURL = 'https://www.rickw.cn/';

然后查阅了一下CodeIgniter4手册和安全建议，还要设置Cookie的安全性。
修改文件：App\Config\Cookie.php

/**
     * --------------------------------------------------------------------------
     * Cookie Secure
     * --------------------------------------------------------------------------
     *
     * Cookie will only be set if a secure HTTPS connection exists.
     */
    public bool $secure = true;

这样设置后Cookie将只在https的访问中传送，在http的访问中不会传输。
这样可以避免Cookie被嗅探、劫持等风险。

Nginx配置 http 跳转到 https

server {
    listen 80;
    server_name www.rickw.cn rickw.cn;

    rewrite ^/(.*)$ https://www.rickw.cn/$1 permanent;
}

Nginx中配置SSL站点
主要是将阿里云下载的证书文件 pem和key上传到服务器中，然后参考下面修改一下证书文件的路径即可。

server{
   listen 443 ssl;
   listen       [::]:443 ssl;
   server_name www.rickw.cn rickw.cn;

   #填写证书文件绝对路径
   ssl_certificate /cert/.pem;
   #填写证书私钥文件绝对路径
   ssl_certificate_key /cert/.key;

   ssl_session_cache shared:SSL:1m;
   ssl_session_timeout 5m;

   ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
   ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;

   ssl_prefer_server_ciphers on;

新博客系统功能更新上线

rick — 2023-12-01 01:17:06

前台功能已经差不多完成了。可能会有极个别遗漏的，在后续开发中如果发现会马上修复。
用户模块，留言板，评论，友情链接申请都已经上线并开放访问了。

剩余的主要是系统后台管理部分的功能了。
继续推进后台管理模块的开发。

新的博客系统正式上线试运行了！上线第一帖。

rick — 2023-11-25 23:57:51

新博客系统前台功能基本上完成了。重新上传部署到了服务器上。

通过在线系统发布第一条日志。

之前都是在开发环境中进行记录开发过程中的日志。

目前还有用户模块，后台管理模块没有完成。

前台的评论和留言板功能已经实现，暂时关闭。等用户模块完成后再开放。

迁移博客园和云栖社区的帖子

rick — 2023-11-23 20:34:55

新的博客系统前台的功能完成的七七八八了，准备正式上线试运行了。

在这之前还要先完成数据库的结构设计，并冻结结构变更。

然后是将之前在博客园和云栖社区的文章也迁移到新系统中。

新博客系统线上部署测试

rick — 2023-11-20 18:17:33

新的系统已经完成前台功能的60%左右，可以显示日志列表，查看日志内容。
因为服务器是linux的环境的和本地windows系统以及php版本都不一样。
为了提前验证系统环境的兼容性。
2023年11月20日，新的系统初次进行线上部署测试。

还有很多功能没有完成，很多链接都还是无效的。可能会404。

windows本地php版本是8.2 IIS环境。

服务器是 Alibaba Cloud Linux，nginx+php-fpm，php 7.4

经过上线测试，发现了如下问题并解决：

1，可写文件夹的权限问题，修改 writable 目录权限为 777。

chmod 777 -R writable

2，php扩展的问题，CodeIgniter4框架的多语言实现依赖intl扩展。通过安装该扩展解决

yum install php-intl

旧系统mdb数据迁移到mysql中， NaviCat Premium 导入mdb的问题

rick — 2023-11-19 17:44:01

新系统开发已经有一定的进展，是时候进行旧数据的迁移操作了。

2023年11月19日完成了原博客系统数据库的迁移。

迁移使用的工具是 NaviCat Premium X64，迁移过程中遇到了问题：invalid variant operation

错误消息是 invalid variant operation

出现问题的原因是缺少 64位的 Access Engine 组件。
可以从微软官网下载安装64位的组件：
https://www.microsoft.com/zh-CN/download/details.aspx?id=13255

安装后就可以正常导入了。

Navicat 导入 Access mdb 数据库到 mysql 的问题解决。

Rick's Blog准备重新开张

rick — 2023-11-13 12:18:27

今天整理电脑里面的老数据，发现了之前的博客备份文件，数据是Access mdb格式的，程序是老的asp语言的。
正好今年双十一阿里云99元的活动搞了一个服务器练手，于是就准备进行数据迁移，系统重构。

选定方案：数据库 MariaDB（Mysql），语言 php，框架 CodeIgniter 4最新版本。

选择 CodeIgniter的原因是它比较轻，对于一个博客系统来说足够了。
Laravel 和 ThinkPHP 相对要更重一些。

新的博客系统还在开发中，后续会在日志中记录开发过程。