【已回应】关于有人通过SSL证书来获取真实服务器IP的安全...

出于某种原因,我们主机都会掩藏在cdn背后防止傻逼/神经/别有用心的找到真实的ip, 但是目前宝塔有个重大安全漏洞,通过https://censys.io 来扫描Ip,会发现匹配的证书和绑定的域名来得到主机是否属于攻击的目标.
若有人写脚本,扫描这个漏洞,基本上安全就没有了.  保持主机匿名高度是最重要的, 所以建议宝塔官方强制设置默认域名(绑定的443端口),然后配置个迷惑性的证书即可.

具体如何做,就看官方见仁见智了.

what is your MJJ ID？

顶一下，顶一下

第一，这种常规的绕过CDN 已经是很常规的操作了。
绕过CDN 找到你的IP 真的不难， 但是你这样捆绑到作为宝塔的安全漏洞确实有点过分了。
绕过CND 的方式如下：https://xz.aliyun.com/t/1242

第一种，通过SSl 列举 https://censys.io
第二种  https://transparencyreport.google.com/https/certificates?hl=zh_CN  谷歌的SSl 查询




第三种 https://github.com/We5ter/GSDF
第四种： riskiq
第五种： shodan
第六种： findsubdomains
第七种：子域名枚举

您好，首先，您说的情况是存在的。

我们为什么不强制限制？
1、减少小白用户使用宝塔面板的学习成本
2、注重这方面安全的用户，应该学会对自己的站点安全负责
3、无法绝对隐藏真实IP，获取真实IP的手段太多

如何解决(仅针对通过SSL获取真实IP的情况)：
1、创建一个站点，部署一张迷惑性证书，并将这个站点设为默认站点
2、未来我们可能会提供一个可选项来让用户选择是否要强制部署默认站点的证书

良哥 发表于 2018-12-3 15:55
您好，首先，您说的情况是存在的。

我们为什么不强制限制？

强制部署默认站点证书还要考虑下,有些人默认站点开启了301然后转到baidu.com/google.com这种,比如我就是,这个时候无法拿到证书的.

宝塔技术-小强 发表于 2018-12-3 15:52
第一，这种常规的绕过CDN 已经是很常规的操作了。
绕过CDN 找到你的IP 真的不难， 但是你这样捆绑到作为宝 ...

你说的其它几种都没什么屌用,可以轻易避开, 提到子域名这简直是个笑话,只有censys.io是最有效地,很难避开的.

这个帖子要收藏起来。

良哥 发表于 2018-12-3 15:55
您好，首先，您说的情况是存在的。

我们为什么不强制限制？

虽然没强制是有官方的考量，良哥提到的第二点虽然在理，何不面板相关区域提醒下用户，另外这个提醒也可以整合之良哥的这个帖子： 【良哥运维干货】如何安全使用服务器？
https://www.bt.cn/bbs/thread-4574-1-1.html

风声无为 发表于 2018-12-3 17:03
你说的其它几种都没什么屌用,可以轻易避开, 提到子域名这简直是个笑话,只有censys.io是最有效地,很难避开 ...

找个真实IP 就那样子，常规操作

宝塔技术-小强 发表于 2018-12-3 18:21
找个真实IP 就那样子，常规操作

除了censys.io可以实时扫描, 其它的在创立证书后,换个Ip, 子域名根本没用. 或者在cdn的管理端如阿里云/cloudflare那里直接上传证书,拉到的全是节点的ip,随便傻逼d.