nginx禁止直接ip、未配置域名访问配置

编程之家收集整理的这篇文章主要介绍了nginx禁止直接ip、未配置域名访问配置编程之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。

概述

问题背景 最近偶然对线上域名配置的nginx IP进行直接访问后,发现http居然是可以通的,而https直接IP访问浏览器会报证书不安全的提示,点击详细查看发现是固定返回了nginx配置的某一个ap
@H_404_0@问题背景

最近偶然对线上域名配置的Nginx IP进行直接访问后,发现http居然是可以通的,而https直接IP访问浏览器会报证书不安全提示,点击详细查看发现是固定返回了Nginx配置的某一个API开头的https证书给浏览器浏览器校验证书域名与访问用的IP不一致于是报错中止了TLS握手流程。
上网一查,才发现当通过直接IP或者未绑定域名访问Nginx时(其实直接IP也可以视为域名就是IP的一种情况),如果没有匹配的server_name,Nginx会采用加载的第一个server_name配置处理请求。这至少会导致三个问题

  1. IP直接http方式访问Nginx时,对于配置多域名的Nginx服务器,其对应采用的server_name配置并不确定,即便能知道是按照配置文件字母序加载的第一个配置文件,这也不够明确,并非预期行为,应该直接禁止
  2. IP直接httpS方式访问Nginx会由于证书不匹配而异常终止TLS握手过程,但是客户端会得到Nginx返回的认证书,因此完全可以通过证书获得IP绑定的对应域名,这相当于暴露了IP绑定的一个域名,客户端完全可以据此使用正确的域名再次访问Nginx,对于一些服务比如CDN源站,这种暴露是一个危险操作,而且任何域名暴露的真实IP都可能成为流量攻击中的一个突破点,因而认情况下也应该避免这种情况。
  3. 国内的备案制度下,如果对于所有未预期的非备案域名返回响应,将可能导致IP端口被封禁。

禁止http方式非配置域名访问

禁止非预期域名http访问比较简单,在ngnix conf/site-enabled 配置文件(如default.conf)中添加一下配置即可

server
{
    Listen 80 default_server;
    server_name _;
    return 444; 
}

其中defalut_server显式指出本server为80端口的认server, 因为是认server,所以server_name其实可以填任意值,444为Nginx自定义code,表示断开连接不返回任何响应。

禁止httpS非配置域名访问

Nginx1.19.4 及以上版本,禁止非预期域名直接访问配置也很简单,只需要添加443端口监听并配置ssl_reject_handshake on即可,具体可参见NGINX 配置避免 IP 访问时证书暴露域名

但是对于低版本Nginx,需要配置对应443端口规则,还需要配置一个自签名IP证书(不配置证书的情况下Nginx -t就会直接报配置不正确),配置如下:

server
{
Listen 80 default_server;
Listen 443 ssl default_server;
server_name _;
ssl_certificate /usr/local/Nginx/conf/ssl/ip.crt;
ssl_certificate_key /usr/local/Nginx/conf/ssl/ip.key;
return 444;
}

自签名证书生成脚本代码参见:nginx生成符合chrome要求的自签名证书

转载请注明出处,原文地址: https://www.cnblogs.com/AcAc-t/p/nginx_forbid_access_by_ip_or_unexpected_host.html

参考

Nginx 的 default_server 定义及匹配规则: https://segmentfault.com/a/1190000015681272
Nginx 配置避免 IP 访问时证书暴露域名: https://zinglix.xyz/2021/10/04/nginx-ssl-reject-handshake/

总结

以上是编程之家为你收集整理的nginx禁止直接ip、未配置域名访问配置全部内容,希望文章能够帮你解决nginx禁止直接ip、未配置域名访问配置所遇到的程序开发问题。

如果觉得编程之家网站内容还不错,欢迎将编程之家网站推荐给程序员好友。

本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。

Nginx文章

caddy 有个http.nobots nobots保护你的网站免受网络爬虫和机器人,可以给采集的恶意程序返回特定的数据。
Nginx是一款高性能的http 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器。由俄罗斯的程序设计师Igor Sysoev所开发,官方测试nginx能够支支撑5万并发链接,并且cp
Nginx的代理功能与负载均衡功能是最常被用到的,本文主要简述代理,反向代理,负载均衡的相关知识点,及利用Nginx实现反向代理和负载均衡的操作步骤,仅供学习分享使用,如有不足之处,还请指正。
问题背景 最近偶然对线上域名配置的nginx IP进行直接访问后,发现http居然是可以通的,而https直接IP访问浏览器会报证书不安全的提示,点击详细查看发现是固定返回了nginx配置的某一个ap
Git Hooks Git 能在特定的重要动作发生时触发自定义的脚本。 这些脚本都被存储在 Git 目录下的 hooks 子目录中( )。当 git init 初始化一个仓库时,Git 默认会在这个目
macOS Sierra 11.12 已经帮我们预装了 Ruby、PHP(5.6)、Perl、Python 等常用的脚本语言,以及 Apache HTTP 服务器。由于 nginx 既能作为 HTTP
启动uwsgi出现no internal routing support, rebuild with pcre support使用如下命令,记录下,方便后人需要注意的是pip install uwsg
报这个错,我们可以去查看错误日志,进入如下目录 错误信息如下: 解决办法,在/data/下创建 wwwlogs目录,重启nginx即可 systemctl restart nginx 成功启动!!!
微信公众号搜索 “ 程序精选 ” ,选择关注!
微信公众号搜 "程序精选"关注