Janusec应用安全网关搭配宝塔面板轻松全方位建立小型安全的网站应用

安装宝塔面板

• 参考：https://www.bt.cn/new/download.html 照着上面脚本下载下来一路执行即可
• 安装好宝塔面板之后登陆进去进入首页宝塔面板会推荐安装LNMP套装，点击安装即可自动安装完成，速度还不错
• 安装完成之后可在软件商店将其调整为在首页-软件处可见即可
  

根据实际情况安装博客程序

推荐下面3种

https://www.emlog.net/
https://www.zblogcn.com/
https://cn.wordpress.org/

假定上述步骤已经完成且网站可正常访问

需要注意的问题

• 默认情况下宝塔面板安装完成默认会监听80端口
• 配置好的网站也同样是基于不同的域名访问不同的网站根目录得到不同的访问结果
• 所以如果要想Janusec应用安全网关与宝塔面板共存必须将宝塔默认的监控80端口更改为其他非80端口，此操作是为了防止80端口冲突

具体更改宝塔的默认80端口

• ssh连接到你的vps云主机上去切换至root权限
• cd切换到目录为/www/server/panel/vhost/nginx下
• 修改两个配置文件，将80改为其他端口，我这里改为9980，可随意更改为其他非80端口，各位自定
• 两个配置文件名称分别为0.default.conf和phpfpm_status.conf

• 更改的结果如下：

• 然后到宝塔面板首页处选中nginx应用重启服务即可

• 至此上述宝塔面板相关的准备工作已经完成

---

开始安装Janusec-应用安全网关

• 官方安装文档如下
  https://doc.janusec.com/cn/installation/

• 照着文档步骤操作安装即可

• 我这里是Centos 7.6 1810 环境

• 具体安装步骤如下

1.准备工作

安装nftables
yum -y install nftables
systemctl enable nftables
systemctl start nftables

确保规则是看的，查看规则
nft list ruleset

2.下载
wget https://www.janusec.com/download/janusec-1.2.8-amd64.tar.gz
tar zxf ./janusec-1.2.8-amd64.tar.gz

3.安装
此处切换到root权限安装
cd janusec-1.2.x-amd64
./install.sh

4.安装PostgreSQL
参考Janusec作者给出的文档：https://doc.janusec.com/cn/appendix-psql/

yum install https://download.postgresql.org/pub/repos/yum/reporpms/EL-7-x86_64/pgdg-redhat-repo-latest.noarch.rpm

yum install postgresql10-server
/usr/pgsql-10/bin/postgresql-10-setup initdb
systemctl restart postgresql-10.service
su - postgres
-bash-4.2$ psql

上述安装成功并执行了上述命令之后会进入到postgres数据库里面，然后执行如下操作建立数据库名，建立用户及权限相关操作

postgres=# create user janusec with password 'J@nusec123';
postgres=# create database janusec owner janusec;
postgres=# grant all privileges on database janusec to janusec;
postgres=# \q
exit

修改PostgreSQL认证方式
vi /var/lib/pgsql/10/data/pg_hba.conf

在pg_hba.conf最下面将原有的认证方式更为md5认证，最终更改如下
host all all 127.0.0.1/32 md5

将PostgreSQL设置为开机启动，并重启 PostgreSQL 服务

systemctl enable postgresql-10
systemctl restart postgresql-10

以防万一，进去psql命令行控制台，执行下面命令
psql -h 127.0.0.1 -U janusec -W janusec
然后输入密码看是否能够成功登陆，成功则没问题

上述设置的密码大家在配置过程中设置自己的密码

5.配置
编辑 /usr/local/janusec/config.json
"node_role":"primary"(固定为 primary)

本次操作测试只配置主节点，如果有从节点，可参考上面给出的文档更改配置即可，这里需要注意的是，安装完成之后配置文件config.json里面默认生成的postgresql数据密码是123456此时你需要修改为上面创建数据库用户janusec的对应数据库密码，此处官方文档并未指出，默认情况下node_role就是primary，所以不需要更改，只需要更改数据库密码就可以

6.上面都完成之后就可以启动janusec服务了
systemctl start janusec

7.检查服务是否启动成功
netstat -tunlpa
查看是否监听了80和443端口并且进程名是janusec

systemctl status janusec
或者
systemctl cat janusec

服务是正常运行且端口都是被侦听说明服务搭建完成

8.访问janusec管理控制台
PS：需要注意的时候janusec服务默认的主节点admin的配置就是true，且没有配置证书的情况下，所以此处根据官方文档介绍，访问地址就是http://您的网关IP地址:9080/janusec-admin/

上述访问之前记得开放云主机的安全组和宝塔面板里面的-安全-放行9080端口，完成之后即可正常访问管理控制台

Janusec服务安装成功之后效果展示

• 宝塔面板防火墙放行
  
• 安全组放行
• 启动服务成功展示
  
• 网络侦听展示
  
• 服务启动后配置展示
  
• 最终结果展示
  
• 配置从节点的话在这里复制粘贴到从节点配置文件处
  
• 配置应用添加网站域名
  
• 添加应用的时候默认就加入了WAF防护下面是效果