全球主机交流论坛

标题: 老话重提。2022年都快过完了还有人做假证书防止IP泄漏 [打印本页]
作者: 你号没了    时间: 2023-11-16 06:52
标题: 老话重提。2022年都快过完了还有人做假证书防止IP泄漏
本帖最后由 你号没了 于 2023-11-16 07:05 编辑

https://lilynana.eu.org/thread-1058244-1-1.html
这个主题帖看不到原楼主的内容了。
采集站里面看是以下内容
  1. 2022年都快过完了还有人做假证书防止IP泄漏的???
  2. Nginx从2020年发布的1.19.4版本开始就内置了更好的方式啊,
  3. Syntax: ssl_reject_handshake on | off;
  4. Default: ssl_reject_handshake off;
  5. Context: http, server
  6. This directive appeared in version 1.19.4.
  7. If enabled, SSL handshakes in the server block will be rejected.
  8. For example, in the following configuration, SSL handshakes with server names other than example.com are rejected:
  9. server {
  10. listen 443 ssl default_server;
  11. ssl_reject_handshake on;
  12. }
  13. server {
  14. listen 443 ssl;
  15. server_name example.com;
  16. ssl_certificate example.com.crt;
  17. ssl_certificate_key example.com.key;
  18. }
复制代码


nginx怎么配置啊
  1. listen 443 ssl default_server;
  2. ssl_reject_handshake on;
  3. }
复制代码

加上这个off开关就可以了吗
作者: loveqianool    时间: 2023-11-16 07:28
谁用假的呀,当然是上真证书。
作者: akamai    时间: 2023-11-16 07:29
本帖最后由 akamai 于 2023-11-16 07:35 编辑

用自带源的话,debian 12 ubuntu 23.04以后才是 1.19.4以后版本。rh系不清楚。
自己编译,动态模块每次更新都要重新折腾。
作者: inkneko    时间: 2023-11-16 08:06
ubuntu22.04 ngx 1.18
作者: inkneko    时间: 2023-11-16 08:08
还有一堆人用centos7。用假证书还可以问候一下偷邻居证书的马
作者: iks    时间: 2023-11-16 09:24
要加个 ssl handshake timeout 不然容易 idle 连接
作者: 你号没了    时间: 2023-11-16 09:27
iks 发表于 2023-11-16 09:24
要加个 ssl handshake timeout 不然容易 idle 连接

好的。感谢大佬指点
  1. server {
  2.     listen 443 ssl default_server;
  3.     ssl_reject_handshake on;
  4.     ssl_handshake_timeout 5s;  # 设置为 5 秒钟
  5. }
复制代码
作者: 你号没了    时间: 2023-11-16 09:29
Starting nginx... nginx: [emerg] "ssl_handshake_timeout" directive is not allowed here in /usr/local/nginx/conf/nginx.conf:76
作者: iks    时间: 2023-11-16 09:44
你号没了 发表于 2023-11-16 09:29
Starting nginx... nginx: [emerg] "ssl_handshake_timeout" directive is not allowed here in /usr/local ...

草,我给的 key 不一定对,google 一下 8
作者: 你号没了    时间: 2023-11-16 09:50
本帖最后由 你号没了 于 2023-11-16 09:52 编辑
iks 发表于 2023-11-16 09:44
草,我给的 key 不一定对,google 一下 8


  问gpt一会说放http模块  一会说放server     

nginx version: nginx/1.22.0
  1. user  www www;

  3. worker_processes auto;
  4. worker_cpu_affinity auto;

  6. error_log  /home/wwwlogs/nginx_error.log  crit;

  8. pid        /usr/local/nginx/logs/nginx.pid;

  10. #Specifies the value for maximum file descriptors that can be opened by this process.
  11. worker_rlimit_nofile 51200;

  13. events
  14. {
  15.     use epoll;
  16.     worker_connections 51200;
  17.     multi_accept off;
  18.     accept_mutex off;
  19. }

  21. http
  22. {
  23.     include       mime.types;
  24.     default_type  application/octet-stream;

  26.     server_names_hash_bucket_size 128;
  27.     client_header_buffer_size 32k;
  28.     large_client_header_buffers 4 32k;
  29.     client_max_body_size 50m;

  31.     sendfile on;
  32.     sendfile_max_chunk 512k;
  33.     tcp_nopush on;

  35.     keepalive_timeout 60;

  37.     tcp_nodelay on;

  39.     fastcgi_connect_timeout 300;
  40.     fastcgi_send_timeout 300;
  41.     fastcgi_read_timeout 300;
  42.     fastcgi_buffer_size 64k;
  43.     fastcgi_buffers 4 64k;
  44.     fastcgi_busy_buffers_size 128k;
  45.     fastcgi_temp_file_write_size 256k;

  47.     gzip on;
  48.     gzip_min_length  1k;
  49.     gzip_buffers     4 16k;
  50.     gzip_http_version 1.1;
  51.     gzip_comp_level 2;
  52.     gzip_types     text/plain application/javascript application/x-javascript text/javascript text/css application/xml application/xml+rss;
  53.     gzip_vary on;
  54.     gzip_proxied   expired no-cache no-store private auth;
  55.     gzip_disable   "MSIE [1-6]\.";

  57.     #limit_conn_zone $binary_remote_addr zone=perip:10m;
  58.     ##If enable limit_conn_zone,add "limit_conn perip 10;" to server section.

  60.     server_tokens off;
  61.     access_log off;

  63.     server
  64.     {
  65.         listen 80 default_server reuseport;
  66.         #listen [::]:80 default_server ipv6only=on;
  67.         server_name _;
  68.         return 444;
  69.         access_log off;
  70.     }

  72.     server
  73.     {
  74.         listen 443 ssl http2;
  75.         server_name _;
  76.         ssl_reject_handshake on;
  77.         ssl_handshake_timeout 5s;
  78.         access_log off;
  79.     }

  81.     include vhost/*.conf;
  82. }
复制代码

Starting nginx... nginx: [emerg] "ssl_handshake_timeout" directive is not allowed here in /usr/local/nginx/conf/nginx.conf:77
作者: godev    时间: 2023-11-16 10:01
ssl_handshake_timeout 是 stream 模块的,用于四层代理的 stream 上下文或者 stream 配置里的 server。

你这里是 http 模块,没有这个。
作者: iks    时间: 2023-11-16 10:01
你号没了 发表于 2023-11-16 09:50
问gpt一会说放http模块  一会说放server     

nginx version: nginx/1.22.0
  1. ssl_session_timeout 5m;
  2. ssl_protocols TLSv1.2 TLSv1.3;
  3. ssl_reject_handshake on;
复制代码
搞错了,是 session timeout
作者: 你号没了    时间: 2023-11-16 10:16
iks 发表于 2023-11-16 10:01
搞错了,是 session timeout

好的 非常感谢老哥
作者: hxuf    时间: 2023-11-16 10:23
假证书多方便
作者: 你号没了    时间: 2023-11-16 10:29
hxuf 发表于 2023-11-16 10:23
假证书多方便


直接拒绝。
假证书还要去申请。有点麻烦
我记得多年前有个mjj搞了个环信的 说是他连夜赶出来的exe程序 自动签ip的帖子 不知道叫什么了。
工具也下载了。不知道自己丢哪里了。可能api都失效了。工具都不能用了
反正就是麻烦。还是这样方便呀
作者: hxuf    时间: 2023-11-16 10:30
你号没了 发表于 2023-11-16 10:29
直接拒绝。
假证书还要去申请。有点麻烦
我记得多年前有个mjj搞了个环信的 说是他连夜赶出来的exe程序  ...

那个跑路了。

其实弄个生成的以后就方便了。反正都是自签的假证书。



欢迎光临 全球主机交流论坛 (https://lilynana.eu.org/) Powered by Discuz! X3.4