观此贴有感,自部署API如何防止被扫

有佬友能查到45.207.192.28这个畜生什么来头吗?:
看了这个老哥的帖子,如是想到自己部署的API站,我现在想到的是在Nginx开白名单。除了这个以外还有什么其它措施来提高网络安全吗?
网络安全无小事!

3 个赞

香港一个郊野公园的ip

现在倒不是IP的问题,我想在使用那些措施能防止被扫

只信任cloudflare的ip就行了,nginx反代,其他应用程序端口不要对外暴露

1 个赞

白名单是非常好的选择,除了白名单之外,可以设置复杂的api路径,让别人无法使用的api,另外也可已使用waf,宝塔或者知道创与的开源waf,自动对扫描者进行封堵

1 个赞

我是cloudflare tunnel,设置policy,只能自己邮箱或者github登录验证通过了才能用

1 个赞

OK,抽空研究下。

设置ip连接限制,必要的话设置成其他端口,或者对api路径开启http认证

iptable防火墙?

感觉佛洛伊德来解决一下很合适

让佛洛伊德把楼主站点扫了深刻感受感受

如果用 Nginx 的话,自带的 basic Auth 其实就足够了,设置一个用户名和相对复杂的密码,虽然它本身不能防爆破,不过复杂密码一般也试不出来,不行就配合fail2ban去防爆破,这样可以不用白名单

设置复杂路径不太行的,可以扫

可以让他测试下 :rofl:

回头研究下

:bili_040: @Sigmund ↑ 佬,来活了

谁,谁让我扫!拔剑四顾心茫然

上面的佬友们说得差不多了

4 个赞

这个问题在于你是自己用还是多人用 方案不同 自己用加几个验证可能就可以了 毕竟扫到也没法用了 再狠一点仅允许名单内ip访问 多人的话更复杂一些

私信你了,帮忙测试下

CF 的 workers 可以限定源IP的白名单吗?我也有类似安全的需求,api域名是暴力的,怕被扫或爆破

1 个赞

你别用默认的11434开放共享,套一层oneapi在外面加上key就可以了呀