网络搭建经验谈

借助阿里云ESA等CDN，实现更简单的宝塔面板和雷池WAF同机部署

Thu, 30 Apr 2026 18:28:24 +0800

1 概要

虽然雷池的官方文档中提到了一种使得雷池和宝塔得以共存的方法。但是需要修改配置文件，尤其是宝塔自身的Nginx相关参数的获取也是从80端口获取的，因此如果更新了宝塔或者重新安装了Nginx之类，那么将立即因为端口冲突而发生故障。因此本文提出了一种使用阿里云ESA功能或者其他CDN类似，使得不需要对宝塔端口进行变更即可共存的方法。

2 架构与实现

2.2 系统架构

原理非常简单，通过阿里云ESA的回源规则，将客户端发来的流量通过新的其他端口回源，到达雷池最后转发到宝塔的Nginx上，同时配置防火墙或者安全组禁止服务器外部的80和443端口入站。如果其他CDN支持类似能力的话，那么道理是相通的，可以参照这个思路进行配置。

2.3 具体实现

2.3.1 安装宝塔和雷池

安装方法非常简单，就不再赘述，直接看官网的说明吧。

宝塔安装方法

雷池安装方法

2.3.2 在宝塔面板/服务器/安全组处配置端口

为了防止攻击者万一探测到你的源站IP，从而绕过WAF访问源站，建议放行雷池WAF应用的端口(比如8080/8443)的同时，禁止80/443端口的入站。

2.3.3 在阿里云购买ESA

在https://www.aliyun.com/product/esa购买。

2.3.4 设置回源规则

在站点管理侧栏中的“规则”中找到“回源规则”。然后点击“新增规则”。

然后根据情况，可以选择全部传入请求还是特定的域名，然后在下面设置回源的协议和端口，这里填写的端口是用于等会雷池用的。

2.3.5 配置雷池WAF

访问雷池后台地址(通常是https://你服务器的IP:9443), 然后点“添加应用”。

域名根据实际需要填写，然后http端口和https端口填写你刚才在ESA配置的端口。

源站地址根据需要填写http://127.0.0.1（宝塔Nginx不配置证书）或者https://127.0.0.1（宝塔Nginx配置证书）均可。(虽然http在本机足以满足需要，且不会泄露信息。但是一些设计存在缺陷的应用程序会使用带协议的绝对URL，如果协议不一致反而会导致故障，因此应该视情况合理选择)

由于配置了CDN，因此需要在高级配置处进行一些修改。

首先将IP地址获取方式改为从上一级代理处获取。

然后开启应用不存在时返回内置证书，这能降低因为HTTPS证书从而导致源站暴露的可能性。

2.3.6 测试

如果全部配置正常，访问对应的域名应该能够成功访问。像阿里云ESA的证书配置、缓存策略等各种问题，可以通过阿里云的技术支持人员解决。

【安全通告】Linux 内核 Copy Fail 本地提权漏洞（CVE-2026-31431）

Thu, 30 Apr 2026 13:27:13 +0800

一、概要

近期公开的 Copy Fail / CVE-2026-31431 是 Linux 内核本地提权漏洞，攻击者在获得普通用户权限后可能提权到 root。请所有 Linux 服务器、容器宿主机、虚拟化节点、多用户服务器、VPS 用户尽快进行处置。

二、处置方法

1.升级内核【首选方案】

Debian / Ubuntu可参考：

sudo apt update
sudo apt full-upgrade
sudo reboot

RHEL / Rocky / Alma / Oracle Linux / Fedora可参考：

sudo dnf update kernel
sudo reboot

Amazon Linux 2023可参考：

sudo dnf update kernel
sudo reboot

SUSE / openSUSE可参考：

sudo zypper refresh
sudo zypper patch
sudo reboot

升级后再次确认运行内核版本：

uname -r

注意：仅安装新内核包还不够，必须重启进入新内核。

2.临时缓解措施

在无法立即升级内核的情况下，可临时禁用 algif_aead 模块：

echo "install algif_aead /bin/false" | sudo tee /etc/modprobe.d/disable-algif.conf
sudo rmmod algif_aead 2>/dev/null || true

验证：

lsmod | grep '^algif_aead'

如果无输出，说明当前模块未加载。

注意：这只是临时方案，以更新内核并重启为准。

参考来源：厦门大学网络与信息中心

警惕！必应搜索上出现大量钓鱼欺诈网站

Mon, 27 Apr 2026 23:15:20 +0800

近几个月，必应上出现了大量冒用正规软件名称的钓鱼欺诈页面。以谷歌浏览器为例在必应上进行搜索：

可以发现存在后缀明显异常的虚假网站。

随便点一个进去就能看到具有AI生成味道的虚假网页。

把下载下来的样本发给微步云沙箱扫描，显然是恶意软件，如果安装的话就糟糕了。

所以大家下载软件的时候尽量寻找他们真实的官网，或者看数字签名对不对的上，也可以放到云沙箱之类的地方先去都扫描运行一遍，以免下载到银狐之类的木马。

如何紧急给雷池WAF降级回滚

Sat, 18 Apr 2026 16:46:52 +0800

今天更新到雷池9.3.4之后,发现添加同端口的网站怎么样都会报错,提示

{
"data": {},
"msg": "nginx: [emerg] duplicate listen options for 0.0.0.0:80 in /etc/nginx/sites-enabled/IF_backend_26:37\nnginx: configuration file /etc/nginx/nginx.conf test failed\n: <nil>"
}

通过查看版本更新记录:

我个人猜测是9.3.4更新的"非default_server的listen增加backlog=655536 reuseport配置"导致的。因为此前的版本并没有类似的现象。但是查了半天雷池的文档,并没有提到怎么降级雷池,直接操作docker又怕安装脚本里面有什么别的逻辑没弄对给

搞坏了。

没办法,需要赶紧恢复,所以直接把安装脚本通过lingma给扒了,然后让Al帮我去除降级限制和手动输入端口号。

最后的成品：

manager.zip

这样就恢复了正常。

但是需要注意的是，我这个业务本来就是个人小范围业务，为了抢修临时采用的土办法，仅供参考。如果各位是生产环境的话，万一这样栽了，还是得先把配置什么的都给再备份了再给操作，不然万一不兼容退回或者丢了配置那问题就更大了。