我的本地环境：openssl1.1.1d + nginx 1.17.5，后续升级到 libressl。 已卸载旧版本 openssl httpd 等无关软件。 我本地早就设了 2048 的 key，并且禁用一切 DH 算法。

上个月机房漏洞扫描，检测出两个漏洞，要求整改，并对主机进行了下线处理。
1.服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473) [原理扫描] 
扫描工具绿盟，建议解决方式为 nginx 升级到 0.8.x+

2.SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱 [原理扫描] 
绿盟建议为设一个 2048 位的 key。

即便 nginx 关闭 443 端口，机房仍然说主机 443 已开启，能扫到 https 漏洞。

百思不得其解，机房坚称自己无问题，要我方签署明知有漏洞责任书，才给开通主机。

求大佬指点下如何解决。

当 nginx 关闭 443 端口时，机房有时候说我 443 是关的，有时候说我是开的，没谱……
当使用 nginx 端口 443 作为普通接口时，仍然说是 https 漏洞。

这些扫描感觉都是根据版本号判断的，有些补上了漏洞，它们也不管。

明确告诉你，就是绿盟的扫描器垃圾，这样明显的误报也能报出来

破事真多，换机房不行吗

我已经修改了 openssl 的 s_client 的 C 扩展，关闭了重协商，对方还说有这个漏洞，费解，而且我压根没开 443……

政务云，不能换，不能调，只能……

绿盟的防火墙，华为的路由器，微软的 SAS，怎么就成这样了，唉

该送礼就送礼就完事了

该买人家要你买的软件你就买

我遇到过说 nginx 有漏洞让我升级，我没升级，隐藏版本号，别人就不要求整改了。 扫描器都是根据版本查 cve 漏洞。

问题我没开 443，机房非说我开了，还让我写承诺书，明知道自己主机有漏洞仍然上线，承担行政责任，绿盟的锅强行要我背

懒得动，服务器关就关呗，破东西不好用，走行政投诉招标局

还有个很傻逼的原因可能大家都会忽略，可不可能是机房给输错 IP 了，你的 IP 和真有漏洞的 IP 很像，然后给弄混淆了
别笑，这事情真发生过很多次

端口的问题是不是因为防火墙没有关闭 443，
虽然 nginx 不使用 443，但 443 可能还是对外开放着，只是这个端口上可能没有提供服务的程序

问个题外话，转运维，工资降多少？

绿盟只能在防火墙关闭的时候使用，所以全端口都应是开放的…当没应用监听 443 时，也不应出现 https 漏洞，因为没握手

降 2000

漏扫报告是经常给错，IP 还是对的，此机房下所有服务器都有 DH 公钥过弱漏洞，但是机房就说自己没错，没漏洞，睁眼说瞎话，我也不知道怎么办了

开发居然转运维，当背锅侠吗？

冷冬恰饭，难，2019 年失业三个月，换了四家公司，精准投了至少 500 份简历，全北京投遍没有活路，语言是 PHP

让他给扫描报告你看看，详细的报告，报告 IP 之类信息。 不然凭嘴说能确定是不是你的服务器？

是我的 IP，但是没开的端口报错

整改的话就正常整改吧,然后添加防火墙规则只允许自己单位的 IP 段访问,如果必须通过政务云的堡垒机来访问控制主机的话,也可以想想办法把他搞通到本地可以不通过堡垒机连接.

和老哥不一样的是，我是离职大休 6 个月出来发现大清亡了，果断三线运维恰饭。

最好详细看看漏洞报告，一般报告会有修复建议的。按照修复建议操作，基本上就没问题了。

绿盟给的解决方法也算是简洁粗暴，且无用。在本地 nginx 版本为 1.17.5 的情况下，给我提示 10 年前的版本……
Nginx 解决办法：
0.7.x 升级到 nginx 0.7.64
0.8.x 升级到 0.8.23 以及更高版本。
http://nginx.org/en/download.html

哦 那简单，直接把机房的 ip 用 iptables 屏蔽掉 机房 ip 会找吧？

不开防火墙 机房不给扫描…

同样遇到过这类事情，是在最后验收的时候，甲方会请等保评测的人过来扫漏洞，然后说要 tomcat 版本在多少多少以上才能避免漏洞。
但问题是我明明是 Apache 官网上下载的最新版...
解决方法同上，隐藏版本号即可。

那你编译个 nginx 把 nginx 改成其他的名称 比如什么 saonima 版本号 233

nginx 是编译的最新版本，版本号 off 过了，通信隐藏不掉 web 服务器的，协议可以看到 http 头 服务器类型，明天我准备去机房物理停机，再查再看

专家评审 等保测评 等保备案都过了。

编译的时候没改源代码吗？怎么可能隐藏不掉 Web 服务器。
https://g.x86.men/root/nginx-pika/commit/274a5d7e0c196008d2fed248c6b6aa93b3248771

可以隐藏的 自己改源码 改成楼上的 IIS

可以换个城市啊，

那没办法，他们的漏洞策略陈旧。很好奇，他们没更新策略的么？

机房分包，防火墙 路由器 sas 机房运维由四家公司分别负责

上有政策下有对策
扫描大多就是根据特征匹配，发现你用了啥，某个版本就直接报，所以针对性改改伪装下就好了，自己确定补丁和漏洞打了就行

一般来说漏扫是根据软件版本号扫描，就算修复了漏洞，软件版本不变一样会报漏洞。
扫描器 IP 不能墙掉，我们曾在交换机上做了 ACL，deny 掉漏扫的流量，被找过来了。。。
另一种可能就是楼上说的，机房给错 IP 了。
另外，建议 LZ 找专业运维咨询，开发和运维的思路差别很大。


问题已解决，今天把服务器关了，仍显示端口开放。
于是机房运维给我解释说 IP 地址冲突，给我换宽带，具体原因他想办法抓包查看云云……

这机房也……太水了吧，交换机上不做保护吗……偷 IP 还行……

卧槽，有一种想打人的冲动。

哈哈
同样给政|-府系统维护
然后 他们有个二级域名另外一家的系统爆漏--洞
整改通知书发我这里来了

日。。。这机房这么水。。。居然不做隔离的？划个子网也行啊。。。