nginx:如何记录TLS错误(如果不支持的密码/协议)

weixin_38081402 2019-09-12 12:56:12
我正在切换到100%https.服务器正在运行nginx libressl. 在开始之前https:100%我有兴趣看到哪些客户端无法再连接到我的网站.例如.因为我不支持SSL3. 我检查了nginx错误和访问日志,但如果我尝试连接SSL3,则没有包含有价值的信息. 我希望看到的内容:例如: Client [IP]: Connection failed due to protocol/cipher mismatch. 然后,我将能够访问该访问/错误日志,并查看有多少客户端无法再访问我的站点. 这可能吗? 目前的nginx.conf: user www-data www-data; pid /run/nginx.pid; worker_processes auto; worker_rlimit_nofile 100000; error_log /var/log/nginx/error.log; events { worker_connections 2048; use epoll; multi_accept on; } http { server_tokens off; autoindex off; charset UTF-8; include mime.types; default_type application/octet-stream; log_format main '$host - $remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; access_log /var/log/nginx/access.log main; keepalive_timeout 10; reset_timedout_connection on; client_body_timeout 10; send_timeout 10; client_max_body_size 512k; sendfile on; tcp_nopush on; tcp_nodelay on; server { listen 80; server_name domain.com www.domain.com; return 301 https://www.domain.com$request_uri; } server { listen 443 ssl spdy; server_name domain.com; include conf.d/ssl.conf; return 301 https://www.domain.com$request_uri; } server { listen 443 ssl spdy; server_name www.domain.com; root /var/www/vhosts/domain.com/public_html; include conf.d/ssl.conf; default_type text/html; location / { return 200 'Hello World!'; } } } conf.d / ssl.conf中: ssl on; ssl_dhparam ssl/dhparam4096.pem; ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; ssl_buffer_size 1400; spdy_headers_comp 6; add_header Alternate-Protocol 443:npn-spdy/3; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers "AES256+EECDH:AES256+EDH"; ssl_prefer_server_ciphers on; ssl_ecdh_curve secp384r1; add_header X-Frame-Options DENY; add_header X-Content-Type-Options nosniff; add_header Strict-Transport-Security "max-age=31536000; includeSubDomains"; ssl_certificate ssl/public.crt; ssl_certificate_key ssl/private.key; ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate ssl/ca-certs.pem; resolver 8.8.8.8 valid=300s; resolver_timeout 10s;
...全文
83 1 打赏 收藏 转发到动态 举报
写回复
用AI写文章
1 条回复
切换为时间正序
请发表友善的回复…
发表回复
weixin_38086594 2019-09-12
  • 打赏
  • 举报
回复
在确定SSLv3连接时,我不确定您是否能够设置Nginx来记录详细错误.但您可以将其配置为记录所有SSL或TLS连接,然后您可以解析SSLv3类型连接.为此,您需要将’$ssl_protocol’选项添加到nginx配置文件中的log_format行. 以我的情况为例,我在/etc/nginx/nginx.conf中有以下几行 – ... log_format main '$remote_addr - $remote_user [$time_local] "$request" ' '$ssl_protocol ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; access_log /var/log/nginx/access.log main; ... 如果我使用curl建立SSLv3连接 – daniel@localhost$curl -k --sslv3 https://todo.home.net/login.php curl: (35) error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure 我在/var/log/nginx/access.log中看到以下几行 – 192.168.10.206 - - [26/Apr/2015:18:21:25 -0700] "GET HTTP/1.0" SSLv3 400 173 "-" "-" "-" 192.168.10.206 - - [26/Apr/2015:18:21:43 -0700] "GET HTTP/1.0 /login.php" SSLv3 400 173 "-" "-" "-" 192.168.10.206 - - [26/Apr/2015:18:22:56 -0700] "-" SSLv3 400 0 "-" "-" "-" 192.168.10.206 - - [26/Apr/2015:18:23:04 -0700] "-" SSLv3 400 0 "-" "-" "-" 如果在Nginx服务器上禁用SSLv3,则客户端会出现错误 – 在服务器端,日志文件将包含协议版本和HTTP代码400,您可以使用该信息来识别使用SSLv3的客户端.
打开链接下载源码: https://pan.quark.cn/s/589796089f72 C++课程设计任务列表,涵盖以下内容:1、识别并显示10至99范围内,各位数乘积超过各位数和的数值,例如数字12不满足条件,因为1乘以2小于1加2,故不输出;而数字27满足条件,因为2乘以7大于2加7,因此需要输出该数。2、开发一个功能,用于从用户输入的任意数量实数中找出最大值与最小值:首先要求用户输入一个正整数n,代表数值的个数,随后用户可输入任意n个实数,程序需找出这n个数中的最大值和最小值并将它们展示出来。3、实现两个已排序数组的合并操作:设有数组A和B,且假设这两个数组的元素均已按照降序排列。编写程序将A和B合并成一个新的数组C,并确保C中的元素同样保持降序排列。int A[10]={123, 86,80, 49,33,15,7,0,-1,-3};int B[10]={100,64,51,50,27,19,15,12,5,2};4、设计一个函数,用于计算特定分数序列前n项的总和,该序列为1/2,1/3,1/4,1/5,1/6,1/7,...。要求在主程序中提示用户输入一个整数n,并验证输入的合法性(n需大于1方为有效),若输入合法,则调用求和函数并显示计算结果。5、编写一个程序,计算两个用户输入日期之间的天数差:用户需以year1,month1,day1和year2,month2,day2的格式输入两个日期,程序随后计算这两个日期之间的天数间隔,并将结果输出到屏幕上。要求编制具有如下原型的函数difs2Date:long GetDayDifference(int y1,int m1,int d1,int y2,int m2,int d2);并在主函数中调用此函数,将计...
代码下载地址: https://pan.quark.cn/s/ee8627e4e6d7 ABAP调试器是一种功能强大的工具,可用于在执行期间对ABAP代码进行检验。除了常规的核心功能(例如逐行运行代码以及检验变量、字段符号和引用的值)之外,它还提供了一些辅助性的特性,能够简化并压缩调试会话的时长。并非所有使用者都熟悉这些辅助特性。SAP ABAP调试器是处理和优化ABAP代码开发与维护工作的核心资源,它配备了多样的功能来协助开发人员在运行状态下进行检验和排除故障。此资源着重阐述了ABAP调试器的一些高级特性,涵盖了深入分析调用堆栈、系统级调试、更新会话调试以及提升调试效率的方法。 1. **深入分析调用堆栈**:除了常规的应用程序调试,开发人员有时需要对调用堆栈的内部层级进行深入调试,特别是在错误出现在异步执行的更新处理或系统级程序时。通过启用**系统级调试**,可以访问通常不公开的系统代码,但这也会导致调用堆栈的显著增加,因此需要审慎操作。 2. **系统级调试**:对于不含业务逻辑的系统级程序,开发人员通常无需进行调试。然而,在特定情形下,例如进行错误追踪时,可能需要进入系统代码。借助调试器的“系统调试启用/禁用”选项,可以赋予对系统程序的调试权限。 3. **更新会话调试**:在处理异步更新任务,例如持久化业务数据时,错误可能发生在更新任务内部。激活**更新会话调试**,在更新任务完成后,调试器将自动启动,展示执行路径。比如,在变更成本中心后,通过输入调试指令 "/h" 启动调试,保存后能够看到更新过程中的错误。 4. **分析调用堆栈**:在进行深入调试时,调用堆栈是至关重要的。通过分析调用堆栈,能够定位到引发问题的具体位置,如在VB_V2_NORMAL...
源码链接: https://pan.quark.cn/s/a4b39357ea24 小程序雷达 AI 驱动的小程序生态选型与风险评估工具,把微信小程序开发资源转化为可筛选、可评估、可对比的技术雷达。 线上地址 主站: Vercel: 适合谁 正在做微信小程序技术选型的产品、研发和架构团队。 需要判断 Taro、uni-app、原生小程序、组件库、云开发和 SDK 风险的团队。 需要把历史 awesome 列表转成可筛选、可对比、可验证技术雷达的维护者。 可以做什么 Radar:按推荐状态、风险等级、资源类型、分类和适用场景浏览小程序生态资源。 Quick Search:快速搜索资源并跳转常用页面。 Compare:对比 Taro、uni-app、原生小程序等核心方案。 Advisor:输入选型问题,获得推荐结论、适用/不适用条件、迁移成本、下一步和证据来源。 Doctor:粘贴小程序项目配置,识别框架依赖、过时方案和迁移风险。 Weekly:查看小程序生态周报和近期风险信号。 数据概览 当前数据集中包含 236 个小程序生态资源。 完整资源可在 Radar 页面和导出能力中查看。 核心样例 Taro ★30.6k+ - 使用 React 的方式开发小程序的框架,同时支持生成多端应用 uni-app ★36.1k+ - 使用 Vue 语法开发小程序、H5、App的统一框架 MPX ★2.1k+ - 增强型小程序框架,深度性能优化,支持跨小程序平台开发,完全兼容原生小程序组件 WePY ★21.7k+ - 支持组件化的小程序开发框架 vant-weapp ★12.3k+ - 高颜值、好用、易扩展的微信小程序 UI 库 tdesign-miniprogram ★1.3...

479

社区成员

发帖
与我相关
我的任务
社区描述
其他技术讨论专区
其他 技术论坛(原bbs)
社区管理员
  • 其他技术讨论专区社区
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧