【以Caddy为例】反代哪吒面板实现保留SSH的同时，确保探针小鸡的绝对安全

初衷

有时候鸡太多（比如我），需要保留哪吒面板端的SSH方便管理，但如果的github账户被盗，或者session泄露
那么你的小鸡仔们将被一窝端，沦为肉鸡，甚至被拿来做坏事导致灰飞烟灭
所以需要一些小措施保证以(dào)针(chù)会(xiǎn)友(bai)的同时，又能让鸡鸡们绝对安全
*附哪吒关闭ssh方法：vim /etc/systemd/system/nezha-agent.service，在 ExecStart= 行的末尾加上 --disable-command-execute

思路

通过反代屏蔽一切后台页面，只允许前台展示访问
别人点击登录，或者试图偷session，就会直接显示Block
可以给自己留一个专属后门，允许指定ip比如自己家/堡垒机登陆管理

安装caddy

• centos

yum install -y yum-plugin-copr
yum copr enable @caddy/caddy
yum update
yum install -y caddy

• debian/ubuntu

apt install -y debian-keyring debian-archive-keyring apt-transport-https
curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/gpg.key' | sudo gpg --dearmor -o /usr/share/keyrings/caddy-stable-archive-keyring.gpg
curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/debian.deb.txt' | sudo tee /etc/apt/sources.list.d/caddy-stable.list
apt update
apt install caddy

配置cloudflare证书

1. 进入Cloudflare，你的域名，SSL/TLS，Overview，选择Full (strict)
2. 进入SSL/TLS，Origin Server，Creat Certificate，Host Name填入网站根域名/子域名/通配符，Create
3. Key Format选PEM，拷贝Origin Certificate内容，并把内容在VPS上建立\root\crt\aaa.com.crt（改为你的域名以便管理）
4. 拷贝Private Key内容，并把内容在VPS上建立\root\crt\aaa.com.crt（改为你的域名以便管理）

配置

vim /etc/caddy/caddyfile
修改内容如下

aaa.com {
	tls /root/crt/aaa.com.crt /root/crt/aaa.com.pem #此处改为你的探针域名
	@ip_whitelist {
		remote_ip 2.2.2.2 3.3.3.3 4.4.4.0/24 #这里改成你自己的IP白名单，如自家ip，堡垒机ip
	}
	route @ip_whitelist {
		reverse_proxy * 127.0.0.1:8008 #此处8008改成哪吒dashboard的网页服务端口
	}
	@path_blacklist {
		path /login* /setting* /cron* /notification* /terminal* /oauth2*
	}
	route @path_blacklist {
		#reverse_proxy * microsoft.com #也可以反代到别的网站返回404
		respond "Blocked" 403
	}
	reverse_proxy * 127.0.0.1:8008 #此处8008改成哪吒dashboard的网页服务端口
}

设置Caddy为自启动服务

systemctl enable caddy
systemctl start caddy

另外注意将小鸡防火墙的哪吒dashboard网页服务端口8008设置为屏蔽

效果

⛱️Arioc's Needle 阿里欧克之针
点击登录，返回错误