参考:https://cangshui.net/4289.html
目的:防止censys.io此类网站扫描获得源站IP
原理:nginx服务器当未设置默认网站时,通过IP可自动访问建立的第一个网站,而当你在IP前加上https访问时,自动暴露该网站的https证书签发域名。
因此:只要扫描指定IP的443端口就很有可能知道某个网站的源站IP,直接扫描0.0.0.0/0即可。
注意:如果在censys.io已经能查到源站IP,请换掉源站IP,或者直接重新开VPS搬家。换掉IP之后千万别解析到自己源站IP上,到时候会有查解析记录的平台照样查得出。
方法一:最暴力的方法,用哪家CDN,就iptables只允许CDN的回源IP访问自己的IP。参考:各大CDN的节点IP段 设置全站只能通过CDN访问 https://cangshui.net/?p=3143
方法二:先创建一个不是自己域名的网站,域名随便;创建好之后删掉该网站目录下的文件,然后将此网站设为默认网站;然后打开该网站设置,添加自签发ssl证书,证书下载:https://cangshui.net/-down/-mytargz/pemkey.tar ;添加完之后打开自己的源站IP就会发现(https://源站IP),根本就没有颁布给哪个域名这种东西,因此不会暴露。
方法三:不要使用邮件系统,包括使用托管邮局和本地直接发信,邮局托管发信,收信用户可直接查看来源IP,而本地发信直接查MX解析记录即可。解决思路:关闭邮箱系统/使用代理服务器来操作托管邮局发信,使用单独域名、单独服务器负责此类任务。
方法四:不需要在源站放一个证书,只要CDN设置为http回源,CDN使用https就行了!不要用协议跟随!在cloudflare上是点击crypto,然后把SSL设为full即可!记得一点就是不要把自己的网站设为默认站点,默认站点的意思就是说直接访问IP,这个网站就会显示出来不需要带域名!
方法五:硬抗,渗透类的话基本上你使用最新的cms,只要你别暴露数据库在公网上,别把后台密码设为弱密码、开发者更新漏洞修复,你的安全问题基本上没啥,重点只是ddcc之类的攻击。参考:CC攻击和防御 https://cangshui.net/?p=2028