筑牢防线:宝塔面板全方位安全设置指南

zjw
  2026-01-25 17:00 2026-01-25 17:00 创建   2026-01-25 23:03:21 2026-01-25 23:03:21 更新      

安全至上:不要裸奔

在公网裸奔的服务器是极其危险的。一台新开通的 Linux 服务器,几分钟内就会收到来自全球各地的扫描请求。如果使用默认配置,很难抵挡无处不在的暴力破解和漏洞扫描。宝塔面板提供了一套完善的“组合拳”来保卫你的服务器。

基础安全设置:五步走

1. 修改 SSH 端口 (高危)

默认的 22 端口是黑客扫描的重点对象。

  • 操作: 进入“安全”页面 -> SSH端口。
  • 建议: 修改为 20000-65535 之间的非常用端口(例如 25678)。
  • 注意: 修改前,务必先在云服务商(阿里云/腾讯云)的防火墙/安全组放行新端口!否则修改后你会连不上服务器。

2. 禁 Ping

  • 操作: 开启“禁 Ping”。
  • 作用: 虽然不能阻止攻击,但可以隐藏服务器的存在感,让部分初级扫描脚本认为服务器不在线。

3. 修改面板入口

默认的 http://ip:8888/ 很容易被猜到。

  • 操作: 面板设置 -> 安全入口。
  • 建议: 设置复杂的入口路径,如 http://ip:8888/myadmin_secret。这样即使对方知道 IP 和端口,没有在这个路径下访问也会直接显示 404。

4. 放行端口最小化原则

宝塔的系统防火墙非常直观。

  • 原则: 只开放必须的端口
  • 检查:
    • 80/443: Web 必须。
    • 22 (或新端口): SSH 必须。
    • 8888 (或新端口): 面板必须。
    • 3306 (MySQL): 强烈建议关闭,或仅允许指定 IP 访问。如果在本地连接数据库,可以使用 SSH 隧道,不要把 3306 暴露在公网。
    • 6379 (Redis): 必须关闭公网访问,Redis 漏洞极易因无密码或弱密码导致服务器被入侵提权。

5. 面板用户安全

  • 启用 BasicAuth 认证: 给面板登录页再加一道锁。
  • 绑定 IP: 如果你的家庭或公司宽带是固定 IP(一般专线才有),可以绑定仅允许该 IP 登录面板,这是最高级别的安全限制。

进阶防护:WAF 与防入侵

1. Nginx 防火墙 (WAF)

如果你在软件商店安装了“Nginx 免费防火墙”或收费版,这是应用层的核心防线。

  • CC 防御: 设置阈值,比如“60秒内访问同一 URL 超过 100 次”自动封禁 IP。
  • Web 攻击拦截: 自动拦截常见的 SQL 注入、XSS 跨站脚本、WebShell 上传尝试。
  • User-Agent 过滤: 屏蔽恶意爬虫和扫描器。

2. SSH 登录报警

可以在面板设置中开启“登录报警”。每次有人(包括你自己)成功登录面板或 SSH,宝塔都会通过微信、邮件或钉钉发送通知。一旦收到非本人操作的登录提醒,立即修改密码并排查日志!

3. 系统加固

安装“系统加固”插件,它可以锁定关键系统文件(如 /etc/passwd, /etc/shadow),防止黑客即使获取了权限也无法修改用户密码或植入木马启动项。

总结

安全是一个动态的对抗过程,没有绝对的安全。但通过上述宝塔面板提供的工具,我们可以将 99% 的脚本小子和自动化攻击挡在门外,为业务的稳定运行保驾护航。

  • 标题: 筑牢防线:宝塔面板全方位安全设置指南
  • 作者: zjw
  • 创建于 : 2026-01-25 17:00:00
  • 更新于 : 2026-01-25 23:03:21
  • 链接: https://blog.zjw6.cn/bt-security/
  • 版权声明: 本文章采用 CC BY-NC-SA 4.0 进行许可。
目录
筑牢防线:宝塔面板全方位安全设置指南
  1. 安全至上:不要裸奔
  2. 基础安全设置:五步走
    1. 1. 修改 SSH 端口 (高危)
    2. 2. 禁 Ping
    3. 3. 修改面板入口
    4. 4. 放行端口最小化原则
    5. 5. 面板用户安全
  3. 进阶防护:WAF 与防入侵
    1. 1. Nginx 防火墙 (WAF)
    2. 2. SSH 登录报警
    3. 3. 系统加固
  4. 总结