通常,我们在搭建完网站的时候,为了防止被攻击和隐藏源站IP,可能会使用一些CDN来保护源站,但是如果在什么地方疏忽了,源站IP可能还是会泄露(如Censys.io等网站可搜索到),这里提供一种方法来尽量避免这种情况的发生。
在使用nginx作为web服务器的时候,容易被恶意解析(比如别人直接用他的域名A记录解析到我的web服务器),在443端口上,这种情况可能更加严重。在直接访问443端口时,nginx会使用第一个配置了SSL的站点的证书来建立连接,导致源站IP暴露。比如上面提到的Censys.io,它的原理就是通过扫描全网IP的SSL证书,然后返回对应的域名,如果不加干预,再怎么套CDN也无济于事。那么我们可以通过前面介绍的宝塔面板配置一个空白证书到默认站点来解决问题。
这是一份长期有效的空白证书:
密钥(KEY):
-----BEGIN RSA PRIVATE KEY----- MIICXQIBAAKBgQDXyF6m81zOeoOPvfk6nGKtyfczRG6/yeSkcc+66vGvq0s8oB7V cCzLl1YcNsru3ixelPR2z1zvjKqa9/Aqh8+TvP1kGGbLD/mynjnj8l+0vVzZ+vnz AH0RN9fpqzlpHmFBHQzQ25AtIAH8pXOL1541YN0TNPRA3kHUCL0FH8CkwwIDAQAB AoGAQ4ejh6AV5VCWJ8AOZXdXsofIYzUBa+glNAmiNx8b8BwteZWq0KVAf56nBkFn lQXW4OrA7wXKUfW11rXNZaIHJePJXv1swkN9+Em18Hon6BrtcqnKAwzAbhok3SzY IVjI/zrgOABH6+ii77xCRBzI1itVPNN88DAUHC7PYLYiaaECQQD7PSoij37+kMc/ wPeEkl9r3vzU0OrsCsjU8Ev714OaoL/SIuAh6nsiRh9rcbUrrpGSSzIcmsk9HMDa hXBNkNl5AkEA298yQvssaUc4tbEWxAVfd9DsHJdCdbXfgf9Dy5/tpCzYncY7T0du VVHqKu3jXWoMc5XlesiCOerU/DIlMM8dGwJBANQn7GLO5iC1xWvS2bF7oVSIMtzL pvW4jaszWBbNAPccc59RkA9T4LMqn/GtTZ4bhhYRpbl+BB21IC3nrNPzU5ECQG8T Ln0QDruQs2F2eR3F6RjKfr1i3LxCiQtPPZycypzp2vS5tDS0zVRk8XuGehoy/N9X lnqU2NURgU92tbsWpokCQQDdc9tU3B/OM/YfzUNwvOLmUVwrJX6PFSFsOn+XHrCC q9LcGEAHyzaf5GEWje84ee4rkv5oaZcwll3dg4IioBnC -----END RSA PRIVATE KEY-----
证书(PEM格式):
-----BEGIN CERTIFICATE----- MIIBkjCB/AIJAI3bCYqa39hiMA0GCSqGSIb3DQEBBQUAMA0xCzAJBgNVBAYTAiAg MCAXDTE4MTEyNDA5MDMzOFoYDzIwOTkxMjMxMDkwMzM4WjANMQswCQYDVQQGEwIg IDCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEA18hepvNcznqDj735Opxircn3 M0Ruv8nkpHHPuurxr6tLPKAe1XAsy5dWHDbK7t4sXpT0ds9c74yqmvfwKofPk7z9 ZBhmyw/5sp454/JftL1c2fr58wB9ETfX6as5aR5hQR0M0NuQLSAB/KVzi9eeNWDd EzT0QN5B1Ai9BR/ApMMCAwEAATANBgkqhkiG9w0BAQUFAAOBgQBiqHZsuVP09ubT GzBSlAFEoqbM63sU51nwQpzkVObgGm9v9nnxS8Atid4be0THsz8nVjWcDym3Tydp lznrhoSrHyqAAlK3/WSMwyuPnDCNM5g1RdsV40TjZXk9/md8xWxGJ6n1MoBdlK8T H6h2ROkf59bb096TttB8lxXiT0uiDQ== -----END CERTIFICATE-----
1.新建一个站点(我直接填的服务器IP,不创建FTP、数据库,PHP版本选纯静态)。
2.可以根据这篇文章把空白证书添加上去:https://zhx98.com/post/16.html
3.设置此站点为默认站点。
4.在下图的位置添加一句return 444;并保存
这样就大功告成了,服务器在被非正常访问时就会直接断开连接(返回HTTP 444错误),一定程度上避免了潜在的安全风险。