Nginx的空主机头访问保护在多端口绑定下的配置（二更）

自己的服务器除了搭建现有的几个公开的服务内容之外，还使用以 ZeroTier One 为例的跨区域组网形式，为可信设备提供其他服务内容，这就涉及到 Nginx 在不同 IP 上的绑定。但由于 Nginx 的默认行为特性，可能会导致不经意的信息泄露，尤其是在一些 IP 段盲扫下，容易泄露源站信息。（这里不讨论带主机头的 IP 段盲扫）

通常，可以查到的教程中都会告诉你，可以在 nginx.conf 中使用如下配置，来达到屏蔽空主机头的效果。

server {
    listen 80 default_server;
    server_name _;
    return 410;
}

在我的场景下，部分 Host 会绑定一个特定的 IP 和端口，此时会出现，用户依旧可以通过 IP 访问绑定的第一个对应的站点，这是业务设计之外的结果，但这一现象是 Nginx 的默认行为（包括 Apache 也是）。

通过测试，上述的屏蔽空主机头的配置代码仅针对于 listen 80 一行配置相同的站点，对于其他的（如：listen 10.144.2.1），则需要同样配置一条内容，具体如下：

server {
    listen 10.144.2.1 default_server;
    server_name _;
    return 410; #Gone
    #return 444; #关闭连接
}

对于 HTTPS 来说，配置如下

server {
    listen 443 ssl default_server;
    server_name _;
    ssl_certificate none.pem;
    ssl_certificate_key none.key;
    return 410; #Gone
    #return 444; #关闭连接
}

同样也要警惕 listen 443一行所造成的行为。同时建议以上内容要在 nginx.conf 中配置，如果在 vhost 内编写时，请确保该配置生效于其他业务配置之前。

对于 HTTPS ，由于发送 HTTP 请求是在 TLS 管道内实施的。因此，TLS 握手必定在 HTTP 建立通信之前（TLS 为 L4，HTTP 为 L7），即 HTTP 未建立连接之前，就会得到一个 TLS 证书，按照 Nginx 默认的规则，就会返回出第一个 HTTPS 站点的证书（可以利用成为一种信息嗅探的方式）。所以 SSL 证书在空主机头上的配置也需要格外注意。建议使用自签证书，对于一些证书字段可以采用不填写的方式来规避信息泄露的问题。在 Linux 上可以使用以下命令来创建一张证书。

sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout ca.key -out ca.crt

下文为一份有效期为 365000 天、 RSA2048bit 的空白信息证书，以备选用。

Key

Pem

本文标题：Nginx的空主机头访问保护在多端口绑定下的配置（二更）
本文连接：https://blog.dextercai.com/archives/81.html
除另行说明，本站文字内容采用创作共用版权 CC-BY-NC-ND 4.0 许可协议，版权归本人所有。
除另行说明，本站图片内容版权归本人所有，任何形式的使用需提前联系。