1Panel WAF 升级说明

感谢大家关注我们的项目,从 1.10.3 开始,我们发布专业版,并且重构了 WAF 模块,增加了海量功能,由于代码改动较大, 所以有些注意事项需要提前说明

从4月17到5月1日,都为内测阶段,可能会出现问题,所以大家一定要做好备份

在应用商店-已安装页面 备份 OpenResty

初始化

如果你是全新安装的,可以跳过这个

旧版本升级上来的 需要先升级 OpenResty 到 1.21.4.3-2-1-focal (注意先备份)

1.21.4.3-2-1-focal 这个版本是 1Panel 自己维护的,会跟随 OpenResty 官方的一并升级

升级完成之后点击初始化即可使用

注意:由于我们重构了 WAF,所以以前的 WAF 配置会在初始化之后丢失,如果是自行添加的规则,请自己保存,并重新添加到新的 WAF 中

WAF 升级了什么

社区版:

  1. IP 黑白名单支持 IP 段 IP 组,IPv6
  2. 增加了 SQL 注入 和 XSS 的识别率
  3. 恶意 IP 组拦截
  4. CC 攻击支持设置拉黑时间
  5. 攻击频率限制
  6. 404 频率限制
  7. 文件上传限制优化
  8. 默认规则更新

专业版:

  1. 攻击地图
  2. ACL 配置 - 自定义规则, 可触发人机验证,5秒验证
  3. 拦截记录
  4. 封锁记录
  5. 地区访问限制-按照地区限制用户访问

如果碰到 init_by_lua_file 相关的 错误,请手动修改
/opt/1panel/apps/openresty/openresty/conf/nginx.conf 配置文件
删除 init_by_lua_file 这行 保存 并且重建 OpenResty

1 个赞

刚刚全新安装后,不能新建网站,估计和这个WAF有关系

1 个赞

这个需要配合新版本的 1Panel

新版本错误怎么解决,服务内部错误: stat /opt/1panel/apps/openresty/openresty/www/common/waf/rules: no such file or directory

升级 1Panel 了吗

以前百度安全有个openrasp很好用,好多年没更新了,主动防御很流行

【bug反馈】
背景:1panel旧环境1.10.2 lts 安装dataease2.5,配置公开https域名访问
问题:升级1panel 到1.10.14 lts后,只要域名访问dataease域名后,1panel搭建的所有网站都会挂掉,网站返回的错误是:ERR_HTTP2_PROTOCOL_ERROR
需求:尽快解决这个bug

2 个赞

更正一下,报错提示是ERR_HTTP2_PROTOCOL_ERROR,不是ssl2,

可能是被 CC 防御拉黑了你的 IP 可以去拦截记录里面看一下

1Panel 也升级了。升级op 的后启动失败,提示 stderr: service “openresty” has no container to start

我备份后卸载1.21.4.3-2-1-focal,发现新版再安装也提示失败
Checksum 2d61095701d4 Download complete failed to register layer: Error processing tar file(exit status 1): archive/tar: invalid tar header。
想安装1.21.4.3-0-focal 版本 又提示:服务内部错误: yaml: unmarshal errors: line 2: cannot unmarshal !!str <html> ... into map[string]interface {}

现在彻底装不上了。只能自己再想办法了

解决步骤:
博客文章:1Panel和OpenResty升级后,OpenResty无法启动和重建致命Bug的修复,高级收费功能菜单隐藏-科技美南博客
视频教程:https://www.ixigua.com/7360561253032395291?utm_source=xiguastudio

不建议这种方式 因为我们的 WAF 代码是编译在 openresty 中的

研究的深入啊,不过我都起不来了。现在就用自己安装外部nginx 的方式了,本地修不好的话没必要用1Panel 管理nginx 了。这次升级直接把我服务都挂了,花了半天重新配置了本地nginx才恢复。

1 个赞

关键是失败之后,我重新安装哪个版本的openresty 都不失败。没修复之前,基础服务的nginx 还是用本地的吧

拉取 OpenResty 失败,或者慢的情况,我们提供了 OSS 的离线包
可以这样操作

wget https://resource-fit2cloud-com.oss-cn-hangzhou.aliyuncs.com/1panel/resource/openresty-1.21.4.3-2-1.tar.gz

tar zxvf openresty-1.21.4.3-2-1.tar.gz

docker load -i openresty.tar

docker images 查看一下镜像 


镜像 ID 为 52ba0004fb0b

然后再升级 OpenResty ,已经升级并且失败的,可以点重建

1 个赞

新版本是不是有内存泄露,内存会一点一点增加,重启面板就好了