这是一个创建于 193 天前的主题,其中的信息可能已经有所发展或是发生改变。
公网上暴露 https 端口,难免会被扫到,有些爬虫还会顺藤摸瓜根据证书找到域名,然后接着扫,在日志里留下 /wp-admin 等等记录。
虽然这些扫描对我服务影响不大,但是看到还是有点烦,因此想利用 NGINX 配置彻底隐藏我的 https 服务。
我的环境:
- 内网正常提供 80 / 443 端口服务,
- 公网仅开放高位端口,转发至 443 ( https )。
我的配置 (篇幅原因,放到 pastebin 里了):
[ https://pastebin.com/embed_iframe/bSBarvY8 ]
也就是说,这样的配置,在 [ https://域名:端口/路径 ] 里:
- https 、指定域名、端口,三者完全匹配才能完成 TLS 握手;
- 正确路径才有 HTTP 响应;
- 其他情况都是直接关闭 TCP 连接。
即使网络链路中存在中间人,截获了 SNI 域名,由于没有正确路径,依然不能获得响应。中间人只能判定其中有 TLS 流量,但不能扫描到 HTTPS 。
我想,这样应该能很好的隐蔽起我的 https 服务,只有知晓全路径的人才能访问得到。不知道这样的配置是不是还存在漏洞,欢迎大家指点讨论~
 |
1
ellermister 193 天前 via Android
高位端口不常用,我的很多公网服务都被扫描,扫描爬虫都比正常访客要高,日志看的烦。用脚本怕 access.log 拉黑 ip ,也拉不完,感觉没啥面对公网环境完美的办法。
|
 |
2
dann73580 193 天前  1
我用的办法是直接把常见 idc 段 ip 拉黑名单,简单粗暴疗效好。如百度阿里腾讯层峰的全都 ban 了。
|
 |
3
Conantv2 193 天前 via iPhone
我记录 SNI 的同时也记录端口,阁下又该如何应对?
|
 |
5
miyuki 193 天前 via iPhone
我是 default server 也配置一张随便写域名的证书,iptables 443 白名单 cf 段
|
 |
6
hefish 193 天前
那还转发啥啊,直接在高位端口用就是了。
|
 |
7
grittiness 193 天前
这和 nginx 直接配置`ssl_reject_handshake on;`有什么区别吗?
|
 |
8
dode 193 天前
单独配置一个自行生成的证书作为默认网站,真实网站再独立创建一个 server 跑服务
|
 |
10
mikewang OP |
 |
11
ryd994 193 天前
你想更进一步安全的话可以自己签客户端证书,搞 TLS 双向验证。
|
 |
12
greenskinmonster 193 天前 2
fail2ban 把短时间内产生大量 4xx 错误码的 IP 都 ban 了
cat /etc/fail2ban/filter.d/nginx-4xx.conf [Definition] failregex = ^<HOST>.*"(GET|POST).*" (404|444|403|400) .*$ ignoreregex = |
 |
14
shijingshijing 193 天前
@dann73580 哪里能下载 idc 段 ip 列表的?或者有什么规则可以自定义?
|
 |
15
awalkingman 193 天前
我是把后缀/wp-admin 之类的爆破路径直接重定向到测试网速下载 1000G 文件的链接
|
 |
16
ysc3839 193 天前 via Android
if ($public_ip) 应该能改用 deny 。
另外 error_page 有坑,在其中一个 server block 配置了 400 =444 ,其他 server block 也会继承,想要域名访问时正常返回 400 就不行了。 |
|
17
mikewang OP @ysc3839 deny 应该是可以的。关于 400 ,确实存在这个问题。但是目前没能找到更好的方法,因为客户端发送的可能就是垃圾数据,nginx 不能判断站点,只能一并切断。
echo 123 | nc example.com 12345 nginx 返回一个 400 响应就暴露了 |
Select Language