使用自签证书 防止服务器IP地址泄露

目的

在网站上了CDN之后,提高站点访问的同时,也可以一定程度上防范攻击,保护了源站IP。毕竟如果攻击者拿到的是CDN节点的IP,一般情况下只能对CDN节点进行攻击,我们通过对CDN节点进行配置,配置WAF防火墙,进行流量清洗,攻击请求就不会到达源站服务器。但是如果攻击者知道了源站的IP地址,攻击者就可以直接将DDOS、CC攻击施加在源站IP上,站点很快就会崩溃。

上面讲的是一般情况,CDN能够一定程度保护你的源站IP。但是启用CDN一定能保护源站IP不被泄露吗?答案是否定的。Nginx服务器在直接以HTTPS访问IP地址时,如果没有为IP地址绑定专用的HTTPS证书,那么Nginx就会返回一张配置文件中已经存在的证书进行HTTPS通信。如果你的网站是example.com,直接以HTTPS方式访问你的源站IP,Nginx就会返回example.com的HTTPS证书。攻击者可以利用这一点,用肉鸡,扫描全网的IP地址,对全网IP尝试建立HTTPS连接。如果扫描到一个IP地址,返回了你网站的证书;同时这个IP不是CDN节点,那么这个IP所背后就是你的源站,你的源站就已经被暴露了。

那么我们能不能不让Nginx返回站点的HTTPS证书,而是返回一张其他的证书呢?答案当然是能,否则我也不会写下下面的文字咯~下面就简单介绍一下,如何使用自签名证书,放在服务器IP地址泄露。

网络上就有一个大名鼎鼎的搜索引擎censys.io,你可以在上面查询一下自己的源站IP是否暴露,如果暴露,一定要更换源站IP,然后用我下面的方法做好伪装。

操作步骤

使用OPENSSL生成一张自签名证书

这张证书是自签名证书,没有证书颁发机构做背书,浏览器肯定是不识别的。但我们只是用它来保护我们的服务器IP,不是用它对外提供服务的,因此我们就是需要一张自签证书,它不需要被任何人信任。

  1. 先进入到Nginx配置文件的ssl文件夹下,CentOS的路径是/usr/local/nginx/conf/ssl,把证书创建在这个文件夹里,如果更换服务器,复制配置文件同时也会把生成的证书复制上,一次生成,永久使用。
cd /usr/local/nginx/conf/ssl

CentOS默认安装了OPENSSL,所以就直接开始吧,先生成私钥:

openssl genrsa -out null.key 2048

这一步会生成一个2048位的私钥,我们就用它来签名。

  1. 生成CSR(Certificate Signing Request):其中C代表的是国家,ST代表的是state省份,L代表Location位置,O代表组织Organization,CN代表域名。
openssl req \
-subj "/C=US/ST=NULL/L=NULL/O=NULL/OU=NULL/CN=NULL/emailAddress=NULL@example.com" \
-new \
-key null.key \
-out null.csr

使用私钥和CSR生成证书,这样我们就得到了一张有效期3650天的自签名SSL证书了。

openssl x509 \
-req \
-days 3650 \
-in null.csr \
-signkey null.key \
-out null.crt

配置Nginx配置文件

使用vim编辑器修改Nginx的主配置文件:vim /usr/local/nginx/conf/nginx.conf,在server大括号里面替换添加下面的内容:

ssl_certificate /usr/local/nginx/conf/ssl/null.crt;
ssl_certificate_key /usr/local/nginx/conf/ssl/null.key;
THE END
抢沙发

请登录后发表评论

    暂无评论内容

相关推荐

账号被下怎么办,有没有什么补救的方法

账号被下怎么办,有没有什么补救的方法-可能资源网
如果您的账号被下了,可能是因为各种原因,比如账号被盗或被封禁等。 在面对这种情况时,以下是一些建议和解决方法: 先确认账号是否真的被下了。有时候我们可能会遇到登录问题或者暂时无法访问...
可能的头像-可能资源网可能7个月前
0239

最强短信HZ云呼系统(在线免费测试使用)

最强短信HZ云呼系统(在线免费测试使用)-可能资源网
全自动疯狂云呼系统,拥有多种不同呼叫模式,零通话费,免费测试,超级云呼系统,不需要支付一分钱,短信产生的通话费用全由云服务器承担。动态号码,随机显示,号码来自全国各地,并且不显示呼...
可能的头像-可能资源网可能19天前
56W+

男生为什么要怼几下才开始

男生为什么要怼几下才开始-可能资源网
男生为什么要怼几下才开始 在生活中,我们常常会听到一些关于男生“怼几下才开始”的说法,这引发了许多人的好奇心。然而,在回答这个问题之前,我们需要明确一点,即“怼几下才开始”是一种不...
可能的头像-可能资源网可能5个月前
045

最近有许多中文字幕的MV高清视频可以免费观看

最近有许多中文字幕的MV高清视频可以免费观看-可能资源网
无论是流行音乐、摇滚乐还是民谣,都有许多艺术家选择为他们的MV添加中文字幕。这样一来,不懂外语的观众也能够欣赏和理解他们喜欢的音乐作品。 这些中文字幕MV的高清画质让观众可以更清晰地看...
可能的头像-可能资源网可能5个月前
032

兄弟们网恋需谨慎

兄弟们网恋需谨慎-可能资源网
上次有个煞笔女大学生 跟我网恋,但是老是去赞同别的男人 我直接删除 太恶心了 这种女的不好 那女的和鸡一样 我睡完以后都怕自己得病 担心了好一阵子 我现在都还觉得自己变脏了 当时她不是处我...
可能的头像-可能资源网可能5个月前
025

我的变态室友(H)三攻一受

我的变态室友(H)三攻一受-可能资源网
我有一个非常有趣的室友,我们之间的相处经历可以说是丰富多彩。他的名字叫H,虽然有些奇怪但也很独特。 H是一个非常有才华的人,他擅长各种技能,可以说是三攻一受的完美结合。首先,他在学业...
可能的头像-可能资源网可能5个月前
024