宝塔面板屏蔽 Censys，防止源站 IP 泄漏

Censys 搜索引擎很强大。Censys 每天都会扫描 IPv4 地址空间，以搜索所有联网装备并收集相关的信息，并返回一份有关资源（如装备、网站和证书）设置和摆设信息的总体陈诉。
在 IP 前加上 https 访问时，Nginx 会自动返回该网站的 https 证书，从而暴露相关域名信息。哪怕是套了 CDN 也还是会被扫到。Censys 还会扫描端口，例如 80、8000、8080、443、4433。
以是为了防止，自己的网站被攻击我们必要屏蔽掉 Censys 的扫描。据我所知有四种办法，分部是屏蔽 Censys 的 UA、屏蔽 Censys 的 IP 段、建立卖弄网站以及使用 Nginx 的特性。四种方法，选其一即可。当然如果你觉得不敷安全，可以都使用。
   系统： ubuntu22.04
  nginx: 1.25.5
  1.屏蔽 Censys 的 IP 段

Censys 的 IP 段在其官网有。我的机子使用的是 Ubuntu 系统，带有 UFW 防火墙，按照下面的命令建立规则即可。
Censys IP段 ：https://support.censys.io/hc/en-us/articles/360043177092-Opt-Out-of-Data-Collection
复制以下命令到ssh终端运行：

1. sudo ufw deny from 162.142.125.0/24
2. sudo ufw deny from 167.94.138.0/24
3. sudo ufw deny from 167.94.145.0/24
4. sudo ufw deny from 167.94.146.0/24
5. sudo ufw deny from 167.248.133.0/24
6. sudo ufw deny from 199.45.154.0/24
7. sudo ufw deny from 199.45.155.0/24
8. sudo ufw deny from 206.168.34.0/24
9. sudo ufw deny from 2602:80d:1000:b0cc:e::/80
10. sudo ufw deny from 2620:96:e000:b0cc:e::/80
11. sudo ufw deny from 2602:80d:1003::/112
12. sudo ufw deny from 2602:80d:1004::/112

复制代码

重载ufw生效,重启nginx

1. sudo ufw reload     #重载ufw
3. ufw status          # 查看状态
5. sudo systemctl reload nginx # 重启nginx

复制代码

2.屏蔽 Censys 的 UA

如果你使用了 CDN ，那么就要在 CDN 中屏蔽掉 Censys 扫描使用的 UA。
Censys 扫描使用的 UA 如下：

1. Mozilla/5.0 (compatible; CensysInspect/1.1; +https://about.censys.io/)

复制代码

例如cloudflare cdn
安全性–WAF–自定义规则
字段：用户代理
运算符： 即是
值：Mozilla/5.0 (compatible; CensysInspect/1.1; +https://about.censys.io/)

3.使用 Nginx 新特性（推荐）

Nginx 1.19.4 版本以上，新增了一个特性，ssl_reject_handshake 在 IP 访问时会制止 TLS 握手，也就不会暴露域名了。
例如宝塔面板：
在 /www/server/panel/vhost/nginx 目录找到 0.default.conf 删除原有代码，添加如下代码：

1. server {
2.     listen 443 ssl default_server;
3.     # 如果有 IPv6 地址的需要，则加入下面这行。
4.     # listen [::]:443 ssl default_server;
5.     ssl_reject_handshake on;
6. }

复制代码

重启nginx生效：:

1. /etc/init.d/nginx restart

复制代码

4.建立卖弄网站

• 网站是一个纯静态网站，网站的文件，除了 .htaccess 和 .user.ini 这两个文件，其他的全删除。
  
• 添加自签的空缺 SSL 证书，强制 HTTPS，设置为默认网站
  

1.天生自签名证书(一起回车键)

1. mkdir -p /opt/signcert && cd /opt/signcert
2. openssl req -x509 -newkey rsa:4096 -keyout OpenLiteSpeed-key.pem -out OpenLiteSpeed-cert.pem -nodes -days 365  # 一路回车

复制代码

2.更换证书

1. cat /opt/signcert/OpenLiteSpeed-cert.pem > /www/server/panel/vhost/cert/ip.com/fullchain.pem
2. cat /opt/signcert/OpenLiteSpeed-key.pem > /www/server/panel/vhost/cert/ip.com/privkey.pem
3. /etc/init.d/nginx restart

复制代码

3.下一步到假站点保存一下ssl证书使其生效
设置假站点为默认站点

完结！

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。