好久不更新网站了,今天逛LOC论坛据说又爆出一个宝塔的漏洞.

距离上次宝塔漏洞才过去4个月

12-28日宝塔官方声明:https://www.bt.cn/bbs/thread-61706-1-1.html

不信谣,不传谣!

今天又人心惶惶了!具体是不是有这个漏洞等待官方的回答,我们就先给大家写一篇我自己用宝塔的心得帖吧,毕竟这两次漏洞都没影响到我!

我用我的腾讯轻量服务器演示一下.

首先当你宝塔建好的时候:

1.jpg

别名,面板端口,安全入口,BasicAuth认证,域名,授权IP这几个一定要修改一下。

别名,防止对方通过搜索引擎直接批量搜索到你的面板【面板隐藏好了,就算有漏洞也不关你的事情】

面板端口:默认的是8888

比如腾讯轻量的机器IP段有101段,129段,119段,人家只扫着几个段加上默认8888,很简单找到你的后台

安全入口:即使给面板修改了端口 但只要有有心人,那么随便扫扫依旧是能扫到面板的端口的,所以这里就要加上安全入口了

BasicAuth认证:其实我个人简单的理解就是双重加密.授权IP,现在动态IP,我也没VPN,所以我没弄,大家自己看着办吧

域名:给面板绑定一个域名,仅限此域名域名访问,可有效防止被人IP/域名+端口试出面板访问,设置好后就仅限此域名访问,而不是靠扫腾讯轻量服务器的IP段来访问你的面板了。

 

第二个:phpMyAdmin端口修改

1.jpg

1.jpg

3.jpg

phpmyadmin启用公共访问权限可能存在安全风险,建议非必要不启用!

在需要用的时候开启,平常关闭不影响你的网站使用!

PHPmyadmin默认是888,随便你修改。

 

3.FTP,我连装都没装。。。所以21这些端口我直接关闭的。。。就跳过吧

能不装的就不装。。。装多了没好处,这是我个人的总结!

 

4.SSH直接关闭宝塔面板【虽然我把面板隐藏的很好,但是不怕一万就怕万一被找到呢】

1.jpg

直接BT-2,这样面板就打不开了

 

5.去腾讯云关闭22端口。。。

这样SSH也就打不开了,更别说开启我的宝塔面板了

1.jpg

2.jpg

宝塔面板和22端口的关闭不影响网站正常!

大家从我这两张图可以看出来 2个自定义的端口是面板端口和phpmyadmin的端口,但是这两个都被我关闭了。。。我也就只开了80和443端口。。。要是他们从这两个端口入侵,那我也是无何奈何!或者把我腾讯云的账号盗了~

 

 

【要使用SSH,先去腾讯云后台防火墙开启22端口】

【要使用宝塔面板,要去先开启SSH,然后在BT-3启动面板】

这样做虽然比较麻烦,但是安全性大大得到了保证。。。

 

总结下来也就一句话,能不开的端口不要乱开,默认给你的端口一定要修改,能隐藏的一定要隐藏



最后修改:2021 年 03 月 04 日 12 : 58 AM
如果觉得我的文章对你有用,请随意赞赏