宝塔面板应该是我们当前云服务器部署WEB环境比较多的可视化软件工具。毕竟宝塔面板因安装软件方便,易于维护深受用户的喜欢,但是我们也应该知道宝塔面板是一个WEB入口软件,如果有安全问题直接可以从软件端影响服务器和网站的安全,这里我们可以通过以下几个方法杜绝防御宝塔面板的漏洞安全。
点击看大图▼
一、云服务器账户安全
即便我们不准备使用密钥登录SSH服务器,我们在ROOT账户密码一定要设置复杂一些。之前遇到几个网友直接采用数字或者简单的字母,那很容易被猜测到的。所以,我们尽量的需要用到较长的字母大小写、数字,以及特殊符号的组合,建议15位+,这样一般是没有多大问题的。
如果我们希望深入学习的,也可以看看用到密钥登录,掘金网准备找个时间介绍如何设置密钥登录确保服务器安装。
二、修改面板默认 8888 端口
迄今为止越来越多用户选择宝塔面板,而面板的默认端口是 8888。很多时候看一个站点有没有使用宝塔面板只需要域名+8888 访问就能知道,所以安装好面板最好修改默认端口隐藏面板。
我们登陆宝塔面板后台,看到如下图,找到8888端口,然后修改端口。
根据提示建议端口访问设置访问范围在 8888-65535,同时设置好后如果服务器有安全组,请放行对应端口否则面板将无法访问。
我们也可以将宝塔面板登入地址用自己的域名绑定,比如用一个二级域名或者闲置的域名绑定面板。
三、设置面板安全入口
即使给面板修改了端口但只要有有心人,那么随便扫扫依旧是能扫到面板的端口的,这时候就需要给面板设置一个安全入口了,在不知道入口的情况下直接输入端口访问面板将被禁止访问,这是非常简单有效的一个安全措施,强烈建议设置开启此功能。
根据提示开启(图中以 www_bt_cn 为例,实际使用请使用其他路径),设置好后若面板地址不带安全入口将被拒绝访问。
注意:6.x 后期版本及 7.x 版安装后即默认开启,没有此功能的面板建议升级至 7.x 开启。
四、面板别名
给面板设置一个别名,防止被搜索搜索引擎搜索到,用于隐藏面板。具体操作如下(以宝塔Linux面板为例):
登录进入宝塔面板后台-点击左侧导航菜单“面板设置”-直接将“别名”中的“宝塔Linux面板”修改为其他,最后记得点击最底部的【保存】按钮即可。
五、面板绑定域名访问
给面板绑定一个域名,仅限此域名访问,可有效防止被人 IP/域名+端口试出面板访问。具体操作如下(以宝塔Linux面板为例):
1、到域名注册商(如阿里云)中找一个闲置的域名(或当期站点域名的一个二级域名)解析一个 A 记录。主机记录,如果是二级域名就填写 bt 或其他,如果是顶级域名,可填写 www 或@;记录值就填写安装宝塔 Linux 面板的服务器公网 IP 地址,然后点击【确定】按钮。
2、登录宝塔 Web 面板 >> 面板设置 >> 找到“域名”一栏,输入我们刚才第 1 步所解析的域名,如 jjsoho.com。然后点击【保存】按钮即可成功为宝塔 Linux 面板绑定域名。
注 1:设置域名访问时请确保域名解析是直接解析到服务器 IP 的,若使用 CDN 是无法访问的。建议开启域名访问前可先使用域名+端口是否能直接访问面板,确保可以访问面板后再开启。
注 2:还有个常见误区是开了域名访问后以为就直接可以通过域名访问了,实际访问还是需要域名+面板端口才能正常访问面板的。比如:
- 原先登录地址:192.168.1.1:8888/jjsoho
- 绑定后的地址:jjsoho.com:8888/jjsoho
注 3:设置域名访问不一定需要一个真实解析的域名,可以通过修改 hosts(C:\Windows\System32\drivers\etc\hosts)的访问指定域名 ip,效果等同。
注 4:一旦绑定域名,只能通过域名访问面板!绑定之后想要通过 IP 访问面板的,必须到后台的面板设置中把所绑定的域名删除并保存,然后到域名注册商停止解析后即可通过 IP 地址访问。如果域名不停止解析,就可以通过 IP 或域名访问面板。
六、开启面板 BasicAuth 认证
简单来说就是在原有面板登录验证的基础上再加一层用户密码验证,同时防止面板被扫描发现。具体操作如下(以宝塔Linux面板为例):
1、登录进入宝塔面板后台>>点击左侧导航菜单“面板设置”>>点击切换到“安全设置”,找到“BasicAuth认证”并点击其开关按钮,让其处于开启状态>>在“开启BasicAuth认证提示”对话框中勾选“我已经了解详情,并愿意承担风险”后,点击【提交】按钮。
2、在“配置BasicAuth认证”对话框中的服务状态默认“开启”,我们只需要输入用户名和密码(PS:这里的用户名和密码不要跟宝塔面板登录的用户名和密码一样,也不要输入平时常用的用户名和密码),最后点击【保存配置】即可成功开启BasicAuth认证。
设置好后访问面板即出现 BasicAuth 验证,根据提示输入账户密码即可访问面板。
七、定期升级最新版本
我们需要随时关注宝塔面板的更新,如果有最新稳定版本我们需要更新到最新版本。这样确保面板的安全,之前确实是有几次安全问题的,但是我们一定要及时的升级。
且如果我们的本地IP是固定的,也可以绑定我们本地IP,这样只有我们才可以登入面板。
八、服务器关闭ping功能
据说关闭服务器 ping 功能可以提高安全性,掘金网也不知道是真是假,不过不管是真是假,我们都很有必要懂得如何开启关闭禁止服务器 ping,下面我们以宝塔 Linux 面板为例进行说明演示。
如上图所示,登录宝塔 Web 面板 >> 点击左侧“安全”菜单 >> 点击顶部“启用禁 ping”旁边按钮 >> 在弹出“是否禁 ping”警告框中点击【确定】按钮即可成功禁止服务器 ping。
写在最后:
以上就是所有设置的教程,后续如有新增安全设置会继续更新。如果遇到设置后无法打开面板的,请 ssh 连接至服务器,然后使用 bt 命令能解锁大部分功能。
如忘记面板用户名和密码则输入编号 14 即可看到,具体请参考『忘记宝塔 Linux 面板登录地址及用户名和密码怎么办?』。
最后,在我们安装宝塔面板之后,建站是很容易,而且有些功能确实是值得使用的。比如备份、以及一键安装网站等。我们也不要什么都安装,基本上搭建完毕网站之后,设置完毕备份就可以。考虑到服务器的稳定以及负载,我们尽可能的少安装一些软件。
掘金网建议新手小白们不用太纠结有关技术层面的东西,这些技术自己如果实在无力拿下的话,完全可以付费来给你搞定的,掘金网目前就提供这样的付费技术支持服务《去付费》,花钱不多可以买个保障和安全,有需要的可以联系掘金网。
历史上的今天:
- 2024: 外出吃饭倒赚100元,怎么做到的?(0)
- 2023: 今天,国际不打小孩日(0)
