Loading
0

关于28号凌晨宝塔官方安全通知及解决办法?

公众号搜索菜鸟站长之家

宝塔官方在宝塔论坛发布的《【置顶】关于宝塔安全漏洞的声明》,经过仔细阅读,菜鸟站长之家给出一点处理方法。

从上次数据库漏洞以来,宝塔强制要求绑定手机号。然而这次并没有大范围短信通知,可见该漏洞影响不大;通过官方公告仅 Nginx 1.8 版本用户收到影响,而该版本为很早以前,甚至 Nginx 官方都停更的版本,受众范围极小。

关于本次 Nginx 1.8 漏洞问题,即便你不用宝塔面板,仍然可能存在漏洞的。

宝塔安全使用方案

服务器安全使用的好习惯是每个人应该做的,下面就来讲几个宝塔安全使用方案,或者说是习惯。下面就懒得截图了,就在宝塔设置里面:

  1. 很多时候看一个站点有没有使用宝塔面板只需要域名+8888访问就能知道,所以安装好面板第一步最好就是修改默认端口,隐藏面板
  2. 修改默认 8888 宝塔面板端口,这个不修改面板也会强制无法关闭的提醒你;
  3. 即使给面板修改了端口 但只要有有心人,那么随便扫扫依旧是能扫到面板的端口的
    这时候就需要给面板设置一个安全入口了,在不知道入口的情况下直接输入端口访问面板将被禁止访问
    是非常简单有效的一个安全措施,强烈建议设置开启此功能
    根据提示开启(图中以www_bt_cn为例,实际使用请使用其他路径)
  4. 添加 BasicAuth 认证,在原有面板登录验证基础上再加一层用户密码验证,防止面板被扫描发现;
  5. [慎用]宝塔授权 IP,该功能虽然安全,但是很多站长朋友没有固定 IP,一旦重启光猫或者路由,将会改变当前 IP,导致无法进入,需要 ssh 解除。可以考虑绑定多个授权IP,其中建议包含其他服务器 IP,可以远程通过 Windows 服务器来进行控制面板;
  6. 停止使用 Nginx 1.8 版本,升级到 1.18.1 稳定版跟 1.19.6 开发版;
  7. 如果你还是非常担心出问题,可以通过 SSH 输入bt执行2选项(输入2回车即可)停止宝塔面板服务(不会影响网站的正常运行)。等需要用的时候再输入bt执行3选项(输入3回车即可)启动宝塔面板服务。
文章声明:
1、本站文章来源于互联网,仅供学习交流使用,严禁用于商业用途,因此造成的一切法律后果自行承担。
2、本站不对文章内容的完整性和安全性负责,请自行辨别,如发现有问题,请及时联系我们进行处理。
3、若文章中有侵权或不适当内容,请留言告知我们,本站会第一时间进行处理。
4、转载请保留原文地址,违者后果自负,本站保留一切法律追责权力。