防范censys.io绕过CDN获取泄漏的真实IP

censys.io这个网站每天都在后台扫描全球IP.
一旦你的IP没有做任何防范,那么它会获取访问https://ip的证书内容.
如果证书的域名是个正常的网站,则会记录到censys.io网站数据库.
你的IP暴露了你的域名,CDN也就被绕过了.
update: nginx 1.18版本已经修复了IP泄漏证书的问题。请尽快更新

当然这个是可以防范的

1 配置假的证书


为IP配置假的证书,生成的证书填写的假的域名,这样泄漏了也没影响
listen 80  default;
    listen 443 default;
    server_name _;
    root /data/wwwroot/default;
    index index.html index.htm index.php;
    ssl_certificate      /data/wwwroot/default/fake.crt;
    ssl_certificate_key  /data/wwwroot/default/fake.key;


2 iptables设置白名单访问[推荐]


参考下面链接文章,不再多说
https://www.livelu.com/201804305.html

3 关机保平安

此处评论已关闭