经过多个 beta 版本的打磨,v1.3.21 正式版来了。这一版围绕"更安全、更省心"做了一轮比较大的升级,升级前请务必先看第一节的注意事项。
一、升级前必读(重要)
1. 登录密码加密方式从 MD5 切换为 bcrypt
向上升级无感,正常升级不需要任何额外操作。但要注意:如果升级后又想回滚到 v1.3.21-beta.8 之前的版本,由于加密方式已切换,需要手工使用后台命令行重置密码才能登录。
2. 全新安装的首次登录口令
不再是固定默认密码,首次登录口令见 data/initial_password.txt,登录后请立即修改。
3. 管理端前面有反向代理的情况
需要在 conf/config.yml 中配置 security.manage_trusted_proxies(可信代理网段,CIDR 格式、逗号分隔),也可以在「系统配置」页面里设置。
二、安全性整体加固
这一版在安全上下了不少功夫,特别感谢 @zuesdevil、@tomaioo 两位的反馈:
-
修复了密码相关的潜在安全问题;
-
对查询 SQL 做了整体调整;
-
在此基础上对系统做了一轮整体安全加固。
三、本次新增功能
3.1 管理端 SSL 证书自动更新
感谢 @Firfr。注意这里说的是 SamWaf 管理端(控制台)自己的证书,不是被防护网站的证书。配置好之后,控制台证书快到期时自动续期,不用再盯日历手动换。配套还新增了面板开启 HTTPS 后是否自动跳转 HTTP 的开关(感谢 @Mr.Chen)。
3.2 RBAC 权限体系
可以按角色分配权限了。运维看运维的,审计看审计的,多人协作时权限边界一目了然。
3.3 网页防篡改
页面被恶意篡改是很多站长的心头患,这一版把防篡改能力加进来了。
3.4 防护引擎三连升级
-
Cookie 加固:降低 Cookie 被窃取、篡改的风险;
-
CSRF 跨站防护:把这个老牌高频攻击方式挡在引擎层;
-
上传文件检测:对上传文件做检查,堵住一条常见的入侵通道。
3.5 AI 标注与检测(测试)
开始尝试用 AI 辅助做流量标注与检测,目前为测试功能,欢迎体验反馈。
3.6 其他新增
四、优化与修复
两项体验优化:支持优雅/平滑升级;网站配置重新加载时业务不中断——改配置不用再担心线上抖动。
MySQL 相关修复(感谢 @王继波、@虫子):分页未生效、添加 CC 防护提示失败、危险日志提示错误、字段问题,以及 MySQL 和 Redis 未启动时链接异常的问题。
其他修复:
-
访问日志列配置无法修改(感谢 @FiendFEARing);
-
每日大量访问日志下 SQLite 偏慢的问题做了优化调整,实际效果欢迎重负载用户反馈体感(感谢 @wangpenga999);
-
IP 管理保存的 ipdb 重启后丢失(感谢 @Mr.Chen);
-
发送测试消息看不到服务器前缀(感谢 @友人B);
-
删除规则的 SQL 语法问题;
-
路径路由上游 HTTPS 时下游被强制 HTTP 访问的问题(感谢 @mmdlsu)。