宝塔Nginx配置禁止IP直接访问站点避免证书IP信息泄露

前言

宝塔Nginx配置禁止直接IP访问避免信息泄露宝塔Nginx配置只允许域名访问，禁止直接IP访问，防止SSL泄露服务器IP，返回ERR_EMPTY_RESPONS错误页面。宝塔的用户Nginx+PHP用的非常多，但是宝塔默认没有禁止别人通过IP访问，因此很容易被扫描器扫描到，加上Nginx的IP证书问题漏洞，IP通过HTTPS访问时会自动匹配该站点的SSL证书给IP使用，因此会造成IP泄露（证书带域名信息，网上有扫描全网IP并读取SSL证书中域名信息的方法）。

准备工作

1、域名的SSL证书（使用与你域名不对应的SSL证书）；
2、配置网站配置文件，禁止直接访问IP，无论是通过HTTP/HTTPS访问将全部转错误页，并返回状态码444 ERR_EMPTY_RESPONSE。

配置步骤

1、创建一个默认站点,此处域名随意填写（只要不是你的域名就行）。2、修改默认站点指向新创建的这个域名。
3、给IP配置上一张带错误域名的SSL证书（给默认站点设置SSL证书），可以使用我们下方给出的证书：证书

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

密钥

-----BEGIN PRIVATE KEY-----
MIGHAgEAMBMGByqGSM49AgEGCCqGSM49AwEHBG0wawIBAQQgK0HE3hTJQDg6p/fj
nS92eSuRKZEZ5F4grT6tWFKNYVmhRANCAAQIP4WfZQx4/3/tIw0QDdt05DRKiIuO
pghp8GVQ94JcS5fmtZqX1yx0hBU4qZ0skIJr5D2M0BmhCBQ9Kulv2YDL
-----END PRIVATE KEY-----

将上面的证书信息粘贴到网站证书（其他证书对应的位置）。
宝塔Nginx配置禁止直接IP访问避免信息泄露保存后，点击配置文件修改配置加上return 444;宝塔Nginx配置禁止直接IP访问避免信息泄露接下来您可以直接访问HTTP://IP或者HTTPS://IP得到以下提示：宝塔Nginx配置禁止直接IP访问避免信息泄露然后可以通过到网上找漏洞扫描程序或者点击查看该IP下的SSL证书如下图：扫到的这个IP的证书是dnspod.com的，这样你的IP等信息就不会泄露。