宝塔Nginx
配置禁止直接IP
访问避免信息泄露宝塔Nginx
配置只允许域名访问,禁止直接IP
访问,防止SSL
泄露服务器IP
,返回ERR_EMPTY_RESPONS
错误页面。宝塔的用户Nginx
+PHP
用的非常多,但是宝塔默认没有禁止别人通过IP
访问,因此很容易被扫描器扫描到,加上Nginx
的IP
证书问题漏洞,IP
通过HTTPS
访问时会自动匹配该站点的SSL
证书给IP
使用,因此会造成IP
泄露(证书带域名信息,网上有扫描全网IP
并读取SSL
证书中域名信息的方法)。
1、域名的SSL
证书(使用与你域名不对应的SSL
证书);
2、配置网站配置文件,禁止直接访问IP
,无论是通过HTTP/HTTPS
访问将全部转错误页,并返回状态码444 ERR_EMPTY_RESPONSE
。
1、创建一个默认站点,此处域名随意填写(只要不是你的域名就行)。2、修改默认站点指向新创建的这个域名。
3、给IP
配置上一张带错误域名的SSL
证书(给默认站点设置SSL
证书),可以使用我们下方给出的证书:证书
-----BEGIN CERTIFICATE----- MIIDITCCAsagAwIBAgIUTcEWLzynkLCFCoAC1iDH2vG3EkYwCgYIKoZIzj0EAwIw gY8xCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9ybmlhMRYwFAYDVQQHEw1T YW4gRnJhbmNpc2NvMRkwFwYDVQQKExBDbG91ZEZsYXJlLCBJbmMuMTgwNgYDVQQL Ey9DbG91ZEZsYXJlIE9yaWdpbiBTU0wgRUNDIENlcnRpZmljYXRlIEF1dGhvcml0 eTAeFw0xOTAxMTMxNDMxMDBaFw0zNDAxMDkxNDMxMDBaMGIxGTAXBgNVBAoTEENs b3VkRmxhcmUsIEluYy4xHTAbBgNVBAsTFENsb3VkRmxhcmUgT3JpZ2luIENBMSYw JAYDVQQDEx1DbG91ZEZsYXJlIE9yaWdpbiBDZXJ0aWZpY2F0ZTBZMBMGByqGSM49 AgEGCCqGSM49AwEHA0IABAg/hZ9lDHj/f+0jDRAN23TkNEqIi46mCGnwZVD3glxL l+a1mpfXLHSEFTipnSyQgmvkPYzQGaEIFD0q6W/ZgMujggEqMIIBJjAOBgNVHQ8B Af8EBAMCBaAwHQYDVR0lBBYwFAYIKwYBBQUHAwIGCCsGAQUFBwMBMAwGA1UdEwEB /wQCMAAwHQYDVR0OBBYEFCEZF6Eyem01XPbgwr6DXLZV1qsQMB8GA1UdIwQYMBaA FIUwXTsqcNTt1ZJnB/3rObQaDjinMEQGCCsGAQUFBwEBBDgwNjA0BggrBgEFBQcw AYYoaHR0cDovL29jc3AuY2xvdWRmbGFyZS5jb20vb3JpZ2luX2VjY19jYTAjBgNV HREEHDAaggwqLmRuc3BvZC5jb22CCmRuc3BvZC5jb20wPAYDVR0fBDUwMzAxoC+g LYYraHR0cDovL2NybC5jbG91ZGZsYXJlLmNvbS9vcmlnaW5fZWNjX2NhLmNybDAK BggqhkjOPQQDAgNJADBGAiEAnrequCk/QZOOrcPH6C3Hgcy4SPNUy5rQtku/aYkj qQoCIQCN6IyYNiXuwG+8jUgJrveiirBjiz2jXZSTEfVAyibjTg== -----END CERTIFICATE-----
密钥
-----BEGIN PRIVATE KEY----- MIGHAgEAMBMGByqGSM49AgEGCCqGSM49AwEHBG0wawIBAQQgK0HE3hTJQDg6p/fj nS92eSuRKZEZ5F4grT6tWFKNYVmhRANCAAQIP4WfZQx4/3/tIw0QDdt05DRKiIuO pghp8GVQ94JcS5fmtZqX1yx0hBU4qZ0skIJr5D2M0BmhCBQ9Kulv2YDL -----END PRIVATE KEY-----
将上面的证书信息粘贴到网站证书(其他证书对应的位置)。
宝塔Nginx
配置禁止直接IP
访问避免信息泄露保存后,点击配置文件修改配置加上return 444
;宝塔Nginx
配置禁止直接IP
访问避免信息泄露接下来您可以直接访问HTTP://IP
或者HTTPS://IP
得到以下提示:宝塔Nginx
配置禁止直接IP
访问避免信息泄露然后可以通过到网上找漏洞扫描程序或者点击查看该IP
下的SSL
证书如下图:扫到的这个IP
的证书是dnspod.com
的,这样你的IP
等信息就不会泄露。
本文由 podipod软库网 作者:DevOps 发表,转载请注明来源!