日记分享:服务器升级历险记

时间:2016-12-22 作者:烈火君 分类: 日记

先说一点题外话,我并非阿里的枪手,去极力推荐阿里云给各位,我只是说说我这两年间,自己折腾阿里云云服务器的一些事儿。阿里云陪伴我两年的时间了,服务一直未间断过。各种安全服务很齐全,例如:云盾、绿网、防止CC、防止DDOS、防止Web脚本攻击、云监控等安全服务让我觉得很踏实。

日记分享:服务器升级历险记

阿里云的云盾还帮我修复了网站、系统上很多配置项目的漏洞。让我觉得选择阿里,就等于选择了一份放心。在此特别感谢阿里云计算公司提供这么优质的主机托管服务,用了阿里云,才能体验到真正的云服务。感谢!

在此之前,我自己还是个菜鸟,因为技术低,只能选用Windows Server 2003系统,而且在系统中部署PHP环境,虽然配置上比Linux简单,但存在着很大的安全隐患。一个朋友用IIS CC压力测试工具,模拟攻击服务器,服务器的CPU经受不住僵尸模式的摧残,直接飙升到了百分之百的占用率,真是不堪一击呀。也难怪微软已经取消掉对Windows Server 2003的支持。

linux server

到了第二个月备案成功后。我果断更新了服务器环境和配置,升级到了Server 2008 Enterprise R2 with SP1 ,而且嵌套了CDN服务。轻松解决了该问题,站点安全性能方面也加强了提升,3389端口、FTP端口、HTTP端口等连接都采用了SSL/TLS来加密回话。但是折腾的噩梦没有结束,在和朋友们交流网站运维的时候,有人说:烈火不错,采用了全站CDN,而且上了HTTP2.0,新闻文章优化的好,等等。就为了几句话,我默默的在心里告诉自己,我要继续坚持下去,把自己的网站做到目前最完美,最极致。

后来我通过curl工具,检测了源站发现,在Windows Server 2008 中的IIS7.5引擎并不能实现HTTP 2.0。有的朋友可能会问了,那为什么刚才会说上了HTTP2.0呢,其实用户查看到的是阿里云的CDN节点中,nginx反向代理引擎所输出的数据,所以出现了刚才的那一幕,难怪我在访问自己的网站时,已经把冗余代码删除了,但是还是出现了卡顿的现象。就这样,从我的脑海中,又萌生出了要升级服务器系统的想法,是继续使用Windows家族吗?还是换成我所不熟悉,但专家都说稳定的linux系统呢?再三斟酌之下,我又把服务器升级到了Windows Server 2016 数据中心版本,花费了将近一天的时间,就在放置好网站数据,要配置证书的时候发现,IIS 10虽然支持HTTP2.0了,但仍然不能部署多个不同证书的HTTPS站点,用专业的术语来说,就是不支持SNI主机头,简单的讲,如果web引擎不支持SNI技术,在访问第二个HTTPS站点,就会跳转到第一个站点的证书。好忧伤的感觉,我的小鹿快经不起这么折腾了,在询问了内行人士得知,只有nginx引擎1.10.0才同时支持HTTP2.0和SNI。

最后,我不得不现学一些关于linux和nginx的引擎配置文档,去熟悉和了解这个linux企鹅家族。学习了差不多一个月的时间,但奇葩的事儿来了,阿里云在CDN的节点中,虽然nginx引擎都是HTTP2.0,但是有SSL/TLS安全隐患,SSL测试结果显示:服务器不支持与参考浏览器的前向保密。 等级降至A-。要知道我是一个非常严谨的人,也是完美主义者,自己做出来的产品不完美,或者安全系数不高,测试结果不到A+我是不会罢休的,结果我换了腾讯云CDN,nginx引擎不支持HTTP2.0,SSL安全测试结果为:此服务器支持弱diffie-hellman密钥交换参数。 等级下降为B,HTTPS安全等级也不高,好嘛!再换成七牛云测试一看,吓我一跳,比阿里、腾讯的更可怕,前两者只是有安全隐患。不仅nginx不支持HTTP2.0,而且七牛云让我大跌眼镜,结果显示:服务器包含已知openssl漏洞cve-2016-2107,等级为F。

至此我已经相当崩溃了,一怒之下取消了CDN,直接解析域名到真实的服务器地址,折腾到此为止,我还是坚定了我的信念,安全第一,要把网站、内容、代码做到完美!2016年年末,继续保持着网站的安全运行,更新服务器的系统为CEntOS,引擎也换成了nginx1.10.0,觉着到了最后,nginx引擎是我见过的,容错最高,效率最高,代码简洁,最优秀,最出色的web反向代理引擎。

同时,欢迎各位同行的高手,友情检测鄙人的网站,一起交流、进步!

发表看法