BT宝塔禁止直接用IP访问与防止SSL泄露IP

宝塔的NGINX用的非常多,但是宝塔默认没有禁止别人通过IP访问,因此很容易被扫描器扫描到,加上NGINX的不是漏洞的漏洞,IP访问HTTPS的话,会自动匹配第一个站点的SSL证书给IP使用,因此会造成IP泄露(证书带域名信息,网上有扫描全网IP并读取SSL证书中域名信息的方法)

因此为了安全起见,我们需要设置两个项目

1、给IP配置上一张带错误域名的证书,防止泄露你自己的域名

2、禁止直接访问IP,将访问IP的请求,不管是HTTP还是HTTPS全部转错误页  返回状态码444 ERR_EMPTY_RESPONSE

两步其实可以合并成下面步骤操作:

1、首页在宝塔中创建一个默认站点,这里域名随意填写,只要不是你的域名就行

BT宝塔禁止直接用IP访问与防止SSL泄露IP

2、修改默认站点到新创建的这个域名

BT宝塔禁止直接用IP访问与防止SSL泄露IP

3、给IP配置上一张带错误域名的证书(给默认站点设置证书),我们这里利用了CLOUDFLARE来作为错误证书颁发源,利用CF 接入域名,可以颁发15年的仅CF CDN网络体系承认的证书的功能。

大家可以使用我们已经生成的这张证书,反正只要域名不是你真实的域名就行了,提供如下

密钥(KEY)

-----BEGIN PRIVATE KEY-----
MIIEvwIBADANBgkqhkiG9w0BAQEFAASCBKkwggSlAgEAAoIBAQCtReHP3YxdNqaC
HNIVnSiriemyyVF7vGhILIn5ZvBAC9UvzbgL7K4wO8P2CxK3n4wh3g23UKx5EX+a
5at+J9U26Rquhoa57cyvPkJGJDmvoLyPiS2pgP3tlJQ4frza6D7WI/nCoo42L79x
nY9rfkhygcu3VeUoCriYjNM30l/bg4VhSoRVLa9dDDxCOa4A+gYxetCe9u382rcs
nrsarPMEJq3+7sbRk1r9KyBIfplbV/hCK+0CGxnGCYDedpL1WfACgnpKLigeFKGS
5/ZukD80O4qjMJNA9cKP8rO0hegsHh4zjrfkvFYlWouvFsJDTNWfl7PC+2uP/9Bk
rWMWGe4RAgMBAAECggEAbUkRNqC+oiAQ/ymcW6OG/kJ60pflO8zGXRcyYspJJ6wO
5xqyRVsfNi7L1wh+4q/Pm6DJN+C7F5UwzYqkEmqfMQXvHTqeCPDyU2lKNaEtfRc9
Nq7HzQwdnFZE8ikFhnBLCZchNWB/n6+X6Nn+lkbM/OPekCCt6wZwDU9s/N1ENld/
7r4keq/nKyTsFdbJVFb7HAJ73XeendDFbG9oyG14sf1rEQB3tXESiemF7bD30uwP
t0OwbVMTuN4OO8NVH8yx3EJykn1c7e9QLTVIFLlv0cp/p7R9eVqc1uZ5lkoNJ2i2
VTxsu3RXEE6QyLOJ6wabIcGvse35Lv8R4rwDCF/0wQKBgQDmYAnPwX8kY1n99cRS
g+C+9TUjLfjyDmnBDKUGt07/cjE0n9kEITuRhbQ2UukdWbHF441Pd/IM9k7Lf/yv
f1MtZHq52FPjX9fxbjvibXzkqTWqmZKvIolaMY9hndULQNAZBD1nXO9sAye5fEGf
3rQe1F7CFrkxvTrySJ6TnefBmQKBgQDAi9okmjHd0Q+8aHi09/piIHXpZI8l+AUX
XPF6hNvZGnPJPNOZatF8RGzWoPJq+CfUt/4ZcVc28Ehd/r++UaqrAKaEmwBUd09V
3D0ca71U4x1NN8yeUKzkIE+C78fWXSHZ6zSKa4Pkc0iSRp/Uu0/WJfSUYSE9WosK
oNSWswhLOQKBgQCQk4r0yCFri7JJb/iCNGNSU/7CEjLebe8uiSnz+gxowZhhx0Nh
lR2WKQu83/GOSuEHKNRhIAxW2CkBC1RgKw7fOOTQRxP2aQrTaHPKmR29PvgAFZr5
sDn00Y+DGpM+GbG/UWrbuHZFGgHPJUzl8NSnWG4TbkFRFsmsjah/SaTNWQKBgQCf
zjLyOAv1NwOhcu/j+wCTmq9iUzS/5ZaMKna9IjG5gcvhlJtmdJKDWeMfS5uHjoi4
czDw+vHQxiK56KpJkkxc+wA5hNAESrXM5CrQQNd18b2rDgnEx96GxA5Z9Rrd3pQu
4pjL3aos3EW6KeWT0RbU/NF+qRLGcjR+ULfAj7zteQKBgQDXmSRC5QQarS7cGTYJ
eDtbsD8+OrRdnBtuWHERwiZO7FdHSPqHW6O3mv8mwNy6I9BElZ7KVtbGcdEGZ7K8
B+JWVwaJhoy5+OeB50ZotP25Os65mNIOM0tXRFxk0g5nYlHk5mOBvs2djhtoUk9U
m/7lxvx7SYU06GS5u8jCYCdEKQ==
-----END PRIVATE KEY-----


证书(PEM格式)

-----BEGIN CERTIFICATE-----
MIIDijCCAnKgAwIBAgIUClvoB19SvWxhHXsdPBYCVXdGGXIwDQYJKoZIhvcNAQEF
BQAwUDEPMA0GA1UEAwwGTmV0anVlMTAwLgYDVQQKDCfmsrPljZfnnIHnvZHniLXn
vZHnu5znp5HmioDmnInpmZDlhazlj7gxCzAJBgNVBAYTAkNOMCAXDTk4MTEyODAz
MTAwMFoYDzIyMjIwMjAyMTgyMDAwWjCBjDELMAkGA1UEBhMCQ04xDzANBgNVBAgM
Buays+WNlzESMBAGA1UEBwwJ5bmz6aG25bGxMTAwLgYDVQQKDCfmsrPljZfnnIHn
vZHniLXnvZHnu5znp5HmioDmnInpmZDlhazlj7gxFTATBgNVBAsMDOivgeS5puS8
quijhTEPMA0GA1UEAwwGN3p6LmNuMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIB
CgKCAQEArUXhz92MXTamghzSFZ0oq4npsslRe7xoSCyJ+WbwQAvVL824C+yuMDvD
9gsSt5+MId4Nt1CseRF/muWrfifVNukaroaGue3Mrz5CRiQ5r6C8j4ktqYD97ZSU
OH682ug+1iP5wqKONi+/cZ2Pa35IcoHLt1XlKAq4mIzTN9Jf24OFYUqEVS2vXQw8
QjmuAPoGMXrQnvbt/Nq3LJ67GqzzBCat/u7G0ZNa/SsgSH6ZW1f4QivtAhsZxgmA
3naS9VnwAoJ6Si4oHhShkuf2bpA/NDuKozCTQPXCj/KztIXoLB4eM4635LxWJVqL
rxbCQ0zVn5ezwvtrj//QZK1jFhnuEQIDAQABox0wGzALBgNVHREEBDACggAwDAYD
VR0TAQH/BAIwADANBgkqhkiG9w0BAQUFAAOCAQEAKy1rxnFOM601qumQ4qyn0/oK
uymElxz47vDM4unYGqvaZl8aSPwFrXjI1FvJxr+oM8iOmT4ZIULi9mucjbErGKfk
cB+duc8cZ5HNIzepl3UddvTw8XdruJDpAa53TdZ35fyn0DGhQN3tqba9vVo/ROj5
/4nXkZvv1h+HAz12Iutol4oXYiWaNsN8vVHPy8bqx5WHKhm8X8FrLhxrms2NtF/O
ejU5JULcUq9ipbZ7SDPn/RbQ+AcFNs234SLfRX3dj8pi8wcq9291/hCyPS3jnlfU
0d0IPdmjPIBLEY5odwl83SJ8+z2+nR1EwLAPnHjf6MjaUT0ZSmDZeWTzHPyclA==
-----END CERTIFICATE-----

4、上面保存后,点击配置文件修改配置

将前面部分改成:

BT宝塔禁止直接用IP访问与防止SSL泄露IP

给TA打赏
共{{data.count}}人
人已打赏
0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索