以前 boke112 联盟就跟大家分享给过『宝塔 Linux 面板安装后还要做哪几个安全措施?』,该文介绍了宝塔面板的 4 种安全设置,今天老古在逛宝塔面板论坛发现宝塔官方团队河妖发布的这篇《宝塔安全建站指南 – 你不得不看的面板安全设置》描述得非常全面,所以老古特意转载过来分享给大家。具体内容如下:
宝塔面板是基于服务器的 WEB 管理软件,面板权限几乎等同 root 权限所以面板安全就是服务器安全,守住面板入口是非常重要的一件事而宝塔提供了非常多的安全设置来加强面板安全,下面就将一步步教你如何设置,打造出铜墙铁壁般零死角的宝塔面板(PS:建议根据实际情况按需设置)。
一、修改面板默认 8888 端口
迄今为止越来越多用户选择宝塔面板,而面板的默认端口是 8888。很多时候看一个站点有没有使用宝塔面板只需要域名+8888 访问就能知道,所以安装好面板第一步最好就是修改默认端口隐藏面板(PS:具体可参考『如何修改和放行宝塔面板默认端口?附详细图文教程』)。
根据提示建议端口访问设置访问范围在 8888-65535,同时设置好后如果服务器有安全组,请放行对应端口否则面板将无法访问。
二、设置面板安全入口
即使给面板修改了端口但只要有有心人,那么随便扫扫依旧是能扫到面板的端口的,这时候就需要给面板设置一个安全入口了,在不知道入口的情况下直接输入端口访问面板将被禁止访问,这是非常简单有效的一个安全措施,强烈建议设置开启此功能(PS:不懂?请参考『如何修改宝塔面板安全入口?附详细图文教程』)。
根据提示开启(图中以 www_bt_cn 为例,实际使用请使用其他路径)
设置好后若面板地址不带安全入口将被拒绝访问:
面板地址需带安全入口方可访问面板:
三、面板别名
给面板设置一个别名,防止被搜索搜索引擎搜索到,用于隐藏面板(PS:不懂?请参考『如何修改宝塔面板别名?附详细图文教程』)。
四、面板绑定域名访问
给面板绑定一个域名,仅限此域名域名访问,可有效防止被人 IP/域名+端口试出面板访问。
设置好后就仅限此域名访问:
非此域名访问即拒绝访问:
注 1:设置域名访问时请确保域名解析是直接解析到服务器 IP 的,若使用 CDN 是无法访问的。建议开启域名访问前可先使用域名+端口是否能直接访问面板,确保可以访问面板后再开启。
注 2:还有个常见误区是开了域名访问后以为就直接可以通过域名访问了,实际访问还是需要域名+面板端口才能正常访问面板的。
注 3:设置域名访问不一定需要一个真实解析的域名,可以通过修改 hosts(C:\Windows\System32\drivers\etc\hosts)的访问指定域名 ip,效果等同。
五、面板绑定 IP 访问
给面板绑定一个 IP 访问,访问面板时仅允许绑定的 IP 访问,这是最有效的面板安全防护设置。
但最有效的同时也是风险相对较大的,如果 IP 没有绑定好就意味着无法登陆面板。建议有固定稳定的 IP,才考虑给面板绑定 IP 访问,如果不是用绑定的 IP 访问即出现以下提示:
若想清理限制只能进入 ssh 取消限制。
六、开启面板 BasicAuth 认证
简单来说就是在原有面板登录验证的基础上再加一层用户密码验证,同时防止面板被扫描发现,具体可参考『如何开启或关闭宝塔面板 BasicAuth 认证?附详细图文教程』。
根据提示进行操作,请使用不同于面板的账户密码并保管好。
设置好后访问面板即出现 BasicAuth 验证,根据提示输入账户密码即可访问面板。
以上就是所有设置的教程,后续如有新增安全设置会继续更新。如果遇到设置后无法打开面板的,请 ssh 连接至服务器,然后使用 bt 命令能解锁大部分功能。
如忘记面板用户名和密码则输入编号 14 即可看到,具体请参考『忘记宝塔 Linux 面板登录地址及用户名和密码怎么办?』。