原標題:被害妄想症該如何生存
先看配置:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 |
server { listen 80 default_server; listen [::]:80 default_server; listen 443 ssl default_server; root /usr/share/nginx/html; ssl_certificate certs/default.pem; ssl_certificate_key certs/default-nopass.key; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH; ssl_prefer_server_ciphers on; } server { listen 443 ssl spdy; ssl_certificate certs/real-cert.pem; ssl_certificate_key certs/real-cert-nopass.key; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH; ssl_prefer_server_ciphers on; root /usr/share/nginx/html; server_name example.com; location / { root /path/to/your/files; if (-d $request_filename) { return 404; } try_files $uri $uri/ =404; charset utf-8; } location ~ .*/$ { root /path/to/your/files; access_by_lua ' local coo = ngx.var.cookie_coo if coo ~= "coo" then ngx.exit(404) end '; autoindex on; autoindex_exact_size off; } } |
假設:
審查機關擁有運營商級別的入侵檢測設備(比如GFW)
說明:
- 全站使用https,關閉SSLv3,關閉弱加密組件
- default_server開啟80埠,使用自簽名證書;真實需要訪問的域名(example.com)必須使用有效的證書,或者在本地信任根證書。注意example.com不能開啟80埠,且與default_server使用的證書不能相同。不要使用泛域名證書。這是為了防止審查機關通過直連IP查看返回的證書中的Common Name來得到真實域名。這樣配置之後,直連IP https://xxx.xxx.xxx.xxx默認是返回自簽名證書,無法得到真實example.com。
- 選擇性開啟autoindex,通過cookie鑒別。注意也可以通過HTTP Basic Authenication認證。對匹配文件夾的uri(”/”結尾)做認證,示例中只有帶cookie coo=coo的請求才會返回autoindex,否則返回404。
- 在location /中禁用目錄末尾自動加斜杠,因為如果自動加斜杠,審查機關可以通過暴力猜測出伺服器上有哪些目錄確實存在(返回了301到末尾加/的url)。方法是if (-d $request_filename)返回404。
也許永遠也用不上,也許哪天用上了
hhhhhhhhh我的博客開啟了全站HTTPS訪問並且之前是只配置了CHACHA20_POLY1305演算法,為何要這樣做呢?
因為支持這種加密演算法的瀏覽器只有webkit內核的瀏覽器,也就是說火狐什麼的瀏覽器打開,是空白頁面
GFW如果探測,會發現什麼呢?我也不知道。。。。。。手動doge一下[可憐]
哈哈哈哈哈可以可以[doge]
話說串流是啥啊,我第一個反應是MMS 233333333333333333
就…streaming #滑稽
上個CFCDN全站SSL差不多吧
cf太慢了[饞嘴]
最近又被牆了一批,事實證明沒啥卵用。
啥被牆了
某免費寫真資源站被牆奸了。司機會所
loli寫真嘛
這下真作死了,給IP上了個自簽證書。重啟伺服器之前一直好好的。重啟伺服器後…無論是IP還是網站都是一個莫名其妙的自簽證書。怎麼改配置都沒用了。IP自簽證書域名填的是baidu,網站證書是letsencrypt。
被服務商氣到了,八成是他們的問題。馬丹的,換個IP就好了。最近這個服務商太不穩定了。budgetvm
budgetvm不是說有真.CN2
咦你用的是nginx?nginx -V里有沒有寫TLS SNI support enabled
當然有這個模塊。確實是CN2。諮詢了下客服,說是被DDOS了…怪不得被替換的證書上寫的是DDOS防護,問題是DDOS攻擊隻影響了443埠。剛開始被替換證書,然後502提示被DDOS然後就打不開443了…80完全正常訪問。什麼奇葩玩意,DDOS還能這麼玩?後台流量也沒飆升啥的,懷疑人生了。再次諮詢了下客服他喵的真的是DDOS?客服還給了幾個IP給我說你可以加入防火牆白名單…流量清洗我伺服器上加白名單能有用?….好奇葩啊。附圖
哈哈哈哈哈哈budget傳說中的ddos-filter證書,大概是給你套了個反代