泉州师范学院论坛

 找回密码
 注册会员

扫一扫,访问微社区

查看: 15|回复: 0

宝塔Nginx配置只允许域名访问 禁止直接IP访问 防止SSL泄露IP

[复制链接]
剑指寒江 发表于 2019-9-6 03:34:11 | 显示全部楼层 |阅读模式
宝塔Nginx配置只允许域名访问 禁止直接IP访问 防止SSL泄露IP 返回ERR_EMPTY_RESPONS
宝塔的NGINX用的非常多,但是宝塔默认没有禁止别人通过IP访问,因此很容易被扫描器扫描到,加上NGINX的不是漏洞的漏洞,IP访问HTTPS的话,会自动匹配第一个站点的SSL证书给IP使用,因此会造成IP泄露(证书带域名信息,网上有扫描全网IP并读取SSL证书中域名信息的方法)
因此为了安全起见,我们需要设置两个项目
1、给IP配置上一张带错误域名的证书,防止泄露你自己的域名
2、禁止直接访问IP,将访问IP的请求,不管是HTTP还是HTTPS全部转错误页  返回状态码444 ERR_EMPTY_RESPONSE
两步其实可以合并成下面步骤操作:
1、首页在宝塔中创建一个默认站点,这里域名随意填写,只要不是你的域名就行
3.jpg
2、修改默认站点到新创建的这个域名
4.jpg
3、给IP配置上一张带错误域名的证书(给默认站点设置证书),我们这里利用了CLOUDFLARE来作为错误证书颁发源,利用CF 接入域名,可以颁发15年的仅CF CDN网络体系承认的证书的功能。
我们这里使用了cdn.bnxb.com来接入,利用CNAME接入的漏洞,我们添加了一个dnspod.com然后生成了属于 dnspod.com的证书
大家可以使用我们已经生成的这张证书,反正只要域名不是你真实的域名就行了,提供如下
公共证书
证书
  1. -----BEGIN CERTIFICATE-----
  2. MIIDITCCAsagAwIBAgIUTcEWLzynkLCFCoAC1iDH2vG3EkYwCgYIKoZIzj0EAwIw
  3. gY8xCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9ybmlhMRYwFAYDVQQHEw1T
  4. YW4gRnJhbmNpc2NvMRkwFwYDVQQKExBDbG91ZEZsYXJlLCBJbmMuMTgwNgYDVQQL
  5. Ey9DbG91ZEZsYXJlIE9yaWdpbiBTU0wgRUNDIENlcnRpZmljYXRlIEF1dGhvcml0
  6. eTAeFw0xOTAxMTMxNDMxMDBaFw0zNDAxMDkxNDMxMDBaMGIxGTAXBgNVBAoTEENs
  7. b3VkRmxhcmUsIEluYy4xHTAbBgNVBAsTFENsb3VkRmxhcmUgT3JpZ2luIENBMSYw
  8. JAYDVQQDEx1DbG91ZEZsYXJlIE9yaWdpbiBDZXJ0aWZpY2F0ZTBZMBMGByqGSM49
  9. AgEGCCqGSM49AwEHA0IABAg/hZ9lDHj/f+0jDRAN23TkNEqIi46mCGnwZVD3glxL
  10. l+a1mpfXLHSEFTipnSyQgmvkPYzQGaEIFD0q6W/ZgMujggEqMIIBJjAOBgNVHQ8B
  11. Af8EBAMCBaAwHQYDVR0lBBYwFAYIKwYBBQUHAwIGCCsGAQUFBwMBMAwGA1UdEwEB
  12. /wQCMAAwHQYDVR0OBBYEFCEZF6Eyem01XPbgwr6DXLZV1qsQMB8GA1UdIwQYMBaA
  13. FIUwXTsqcNTt1ZJnB/3rObQaDjinMEQGCCsGAQUFBwEBBDgwNjA0BggrBgEFBQcw
  14. AYYoaHR0cDovL29jc3AuY2xvdWRmbGFyZS5jb20vb3JpZ2luX2VjY19jYTAjBgNV
  15. HREEHDAaggwqLmRuc3BvZC5jb22CCmRuc3BvZC5jb20wPAYDVR0fBDUwMzAxoC+g
  16. LYYraHR0cDovL2NybC5jbG91ZGZsYXJlLmNvbS9vcmlnaW5fZWNjX2NhLmNybDAK
  17. BggqhkjOPQQDAgNJADBGAiEAnrequCk/QZOOrcPH6C3Hgcy4SPNUy5rQtku/aYkj
  18. qQoCIQCN6IyYNiXuwG+8jUgJrveiirBjiz2jXZSTEfVAyibjTg==
  19. -----END CERTIFICATE-----
复制代码
KEY‘
  1. -----BEGIN PRIVATE KEY-----
  2. MIGHAgEAMBMGByqGSM49AgEGCCqGSM49AwEHBG0wawIBAQQgK0HE3hTJQDg6p/fj
  3. nS92eSuRKZEZ5F4grT6tWFKNYVmhRANCAAQIP4WfZQx4/3/tIw0QDdt05DRKiIuO
  4. pghp8GVQ94JcS5fmtZqX1yx0hBU4qZ0skIJr5D2M0BmhCBQ9Kulv2YDL
  5. -----END PRIVATE KEY-----
复制代码


填写到宝塔的默认站点中
5.jpg
保存后,点击配置文件修改配置
将前面部分改成
  1. listen 80 default_server;
  2. listen 443 ssl http2 default_server;
  3. server_name default.com;
  4. return 444;
复制代码
如下图
6.jpg
大功告成,现在直接访问你的服务器IP
就会出现这样的提示“该页面无法正常运作”
然后网上的漏洞扫描程序,扫到的这个IP的证书就是dnspod的了,这样你的IP就不会泄露

泉州师院论坛域名: www.Qzubbs.com 手机浏览器照样访问。
您需要登录后才可以回帖 登录 | 注册会员

本版积分规则

关于我们|免责声明|学校风景|企业招聘|二手市场|违规帐号|手机论坛|手机论坛|京ICP备10001858号|广告联系

Copyright 1958-2018 泉州大学 泉州师范学院 - 相聚西岸阳光,相遇、相识、相知;一起邂逅骄傲,梦想,未来!

GMT+8, 2019-9-18 16:04 , Processed in 0.050928 second(s), 11 queries , Gzip On, MemCached On.

快速回复 返回顶部 返回列表