V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
thinkm
V2EX  ›  程序员

宝塔面板如何避免被黑?

  •  
  •   thinkm · 2023-05-30 16:43:04 +08:00 · 6887 次点击
    这是一个创建于 546 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近看到不少说自己用宝塔面板被黑的用户,有大佬说当装上宝塔面板那一瞬间,你就是肉鸡了,此话丁真吗? 222.jpg 我自己的话也是在用宝塔面板,机器用的腾讯云,控制台防火墙只开启了 80,443,和宝塔面板端口这三个端口,其中宝塔面板的端口限制访问来源,来源就是我自己电脑的 IP ,这样的话也避免不了被黑吗?

    53 条回复    2024-11-27 11:49:30 +08:00
    knva
        1
    knva  
       2023-05-30 16:47:34 +08:00
    那你把宝塔面板发给他让他破解一下
    bjzhush
        2
    bjzhush  
       2023-05-30 16:49:22 +08:00
    自己看看宝塔历史漏洞就知道了
    R18
        3
    R18  
       2023-05-30 16:50:45 +08:00
    所有机器都在用,目前安好。
    ysc3839
        4
    ysc3839  
       2023-05-30 16:52:33 +08:00 via Android
    对于这种商业软件,本质是信任问题,绝大多数用户不可能拿到完整源代码并仔细检查一遍,所以就看你信不信它的安全性了
    caesar
        5
    caesar  
       2023-05-30 16:53:08 +08:00
    关面板 保平台 不过目前为止 我机子还没被黑
    jackmod
        6
    jackmod  
       2023-05-30 16:57:33 +08:00
    不开端口,而是翻进机器里面用 localhost 访问。
    国内不知有没有类似 tunnel 的服务可以隐藏所有端口。
    zergmk2
        7
    zergmk2  
       2023-05-30 16:59:45 +08:00
    1panel 咋样?
    mineralsalt
        8
    mineralsalt  
       2023-05-30 17:01:21 +08:00
    所有服务器都在用, 没被黑过, 也没什么特别的安全措施, 就坚持一点, 不用弱密码
    lcy630409
        9
    lcy630409  
       2023-05-30 17:03:30 +08:00
    bt 面板 可以不开放 web 访问啊 你可以再 ssh 中 输入 bt ,有个选项就是关闭 web 访问,剩下 还被入侵了 我觉得不应该甩锅给 bt
    thinkm
        10
    thinkm  
    OP
       2023-05-30 17:04:11 +08:00
    @zergmk2 1panel 就是阉割版 docker 面板,不像是 linux 面板
    thinkm
        11
    thinkm  
    OP
       2023-05-30 17:18:12 +08:00
    @lcy630409 我是直接把他 web 访问的端口仅限自己 IP 能访问
    monkey110
        12
    monkey110  
       2023-05-30 17:54:05 +08:00
    装的东西越少越安全,有些漏洞不曝光根本不知道,用了就别怕被黑。
    ayconanw
        13
    ayconanw  
       2023-05-30 18:17:12 +08:00
    如果你指的是被宝塔官方偷窥,那估计没办法防止,但也没有切实的证据官方有做出这类行为
    如果指的是被其他人黑,那就把安全设置先做好,然后经常关注漏洞消息即可

    我服务器上用了很久,也没出过问题
    crazyweeds
        14
    crazyweeds  
       2023-05-30 18:28:23 +08:00   ❤️ 1
    生产机器一直最小化,不要偷懒,迟早找你讨债。
    GTim
        15
    GTim  
       2023-05-30 18:29:31 +08:00
    简单啊,要用的时候再开端口号,不用的时候关闭
    dianso
        16
    dianso  
       2023-05-30 18:29:53 +08:00   ❤️ 1
    宝塔的漏洞和后门其实一样

    被发现了就是漏洞,然后修复,推送给用户。
    someonedeng
        17
    someonedeng  
       2023-05-30 18:52:32 +08:00   ❤️ 1
    不立危墙之下
    tony1016
        18
    tony1016  
       2023-05-30 19:13:51 +08:00
    用 tailscale 访问
    thinkm
        19
    thinkm  
    OP
       2023-05-30 19:17:43 +08:00
    @ayconanw 不是怕官方,是怕其他人黑
    SelectLanguages
        20
    SelectLanguages  
       2023-05-30 19:30:44 +08:00
    说的好像自己配置比 bt 还安全似的,觉得不安全可以不用,有想要又怕不安全的使用后关闭 web 访问。
    wu529778790
        21
    wu529778790  
       2023-05-30 19:36:05 +08:00
    不用宝塔不行么,现在有个开源的 1panel 啊
    totoro52
        22
    totoro52  
       2023-05-30 19:44:01 +08:00
    关掉面板入口或者开启 base 认证, 关闭一些没必要的端口, 基本不会被黑,主要还是宝塔喜欢做一些骚操作导致被黑,参考上次的 phpmyadmin
    thinkm
        23
    thinkm  
    OP
       2023-05-30 19:47:57 +08:00
    @wu529778790 1panel 体验一言难尽,根本不是 linux 面板,而是阉割版 docker 面板
    tengxunkuku
        24
    tengxunkuku  
       2023-05-30 19:49:32 +08:00 via Android   ❤️ 1
    如果别人曾经用你的 ip 实施了违法行为,而你刚好实名了宝塔,那么喝茶跑不掉
    Huelse
        25
    Huelse  
       2023-05-30 20:07:28 +08:00
    无论是数据库还是 ssh 都用密钥,面板用随机强密码,基本无忧
    cdlnls
        26
    cdlnls  
       2023-05-30 20:13:31 +08:00   ❤️ 3
    没有明确的证据说是 bt 有后门,但是不排除可能有某些没有被公开的漏洞。
    我是这么认为的,主要宝塔的用户大多数是对 linux 系统不太熟悉的和刚刚接触服务器的用户,这里面安全意识差的人占比不在少数。弱密码甚至无密码暴露端口的,各种没有审计的第三方脚本,这种被黑真的是时间问题。
    mineralsalt
        27
    mineralsalt  
       2023-05-30 20:16:34 +08:00
    @tengxunkuku #24 你把警察当傻子啊, ipv4 当身份证用么
    kingjpa
        28
    kingjpa  
       2023-05-30 20:19:49 +08:00
    大可不必,
    数百万安装量 ,国内占有率第一,而且比其他所有同行之和都要多。
    被黑要找到原因,就事论事。bt 本质就是 ptyhon 脚本编写的运维自动化工具,它只能帮你快捷安装环境,但代码安全防火墙这些还的靠自己,别自己上传功能没做好被提权那用什么工具都扯淡。
    thinkm
        29
    thinkm  
    OP
       2023-05-30 20:22:51 +08:00
    @kingjpa 客观
    tivizi
        30
    tivizi  
       2023-05-30 20:58:49 +08:00
    可以在服务器上装代理工具,把服务端口通过 HTTPS(443) 暴露出来,其他端口不接受任何流量

    https://github.com/jpillora/chisel
    https://github.com/rkonfj/toh
    follow
        31
    follow  
       2023-05-30 21:27:07 +08:00
    需要时打开端口,启动 bt ;不用时关闭端口,
    feaul
        32
    feaul  
       2023-05-30 21:41:01 +08:00
    之前爆出了好多的漏洞,可以去全球主机论坛看看,之前报的漏洞好多是从这上面爆出来,奈何没有技术,只能依赖于宝塔了,有技术早就不用宝塔了
    Bingchunmoli
        33
    Bingchunmoli  
       2023-05-30 21:43:21 +08:00 via Android
    被黑也很多,有很多低级漏洞,不建议使用,也可以用完关闭
    dayeye2006199
        34
    dayeye2006199  
       2023-05-30 22:34:58 +08:00 via Android
    只规定本地访问面板。
    SSH 只允许密钥访问。
    管理的时候开 SSH 转发端口,访问本地面包
    edk24
        35
    edk24  
       2023-05-31 00:01:49 +08:00
    说到底不是宝塔安不安全, 而是你的安全措施有没有到位; 即便是不用宝塔也需要做的事情 (如果追求安全的话)

    1. 关闭 ssh 密码登录, 使用秘钥登录
    2. 关闭外网访问, 仅留 80 443
    3. 配置一台 vpn 云服务器, 用来 ssh/访问宝塔

    要是再加个堡垒机 就更安全了
    lhbc
        36
    lhbc  
       2023-05-31 00:20:29 +08:00 via Android   ❤️ 2
    不太明白,随便装个 docker + portainer ,不比这好用多了?
    rekulas
        37
    rekulas  
       2023-05-31 08:30:23 +08:00
    很简单,我是直接把宝塔端口加上 token 验证,比如 bt-token: 3a9266809e20ba9221307fc9e0549601
    没有 token 一律返回 502 ,再黑的黑客也没办法,只有从其他软件着手破解,但这跟宝塔就无关了,端口安全做好基本稳了
    ClarkAbe
        38
    ClarkAbe  
       2023-05-31 09:37:56 +08:00 via Android
    你这个问题...不装宝塔面板就行 (
    xyholic
        39
    xyholic  
       2023-05-31 09:38:46 +08:00
    刚装上最新的可能暂时没问题,漏洞都被修复了,但是保不齐未来再爆 0day ,不安全是持续性的
    再差点可能现在也有师傅手里捂着 0day 呢
    thinkm
        40
    thinkm  
    OP
       2023-05-31 09:42:14 +08:00
    @xyholic 是不是我不开宝塔的端口就没问题?
    heiybb
        41
    heiybb  
       2023-05-31 11:52:00 +08:00
    外部端口只留 wireguard
    然后 all traffic over wireguard
    thinkm
        42
    thinkm  
    OP
       2023-05-31 11:53:04 +08:00
    @heiybb 80 端口也要 wireguard 吗
    FakerLeung
        43
    FakerLeung  
       2023-05-31 11:55:12 +08:00
    @lhbc 主要是针对比如 nginx 配置啊这些,阁下如何应对?
    heiybb
        44
    heiybb  
       2023-05-31 12:11:47 +08:00
    @thinkm #42 80 443 可以开
    反正 WG 的作用就是保证只有你能访问到宝塔的端口仅此而已
    lhbc
        45
    lhbc  
       2023-05-31 13:08:15 +08:00
    @FakerLeung GitHub 托管直接 docker 拉起啊
    FakerLeung
        46
    FakerLeung  
       2023-05-31 13:54:04 +08:00
    @lhbc #45 没看懂😂
    lhbc
        47
    lhbc  
       2023-05-31 13:58:32 +08:00 via Android
    @FakerLeung 用 git 管理你的 nginx 配置,写个 dockerfile
    一键更新
    FakerLeung
        48
    FakerLeung  
       2023-05-31 14:03:45 +08:00
    @lhbc #47 就是仓库托管 nginx 的 dockerfile ,修改后直接 webhook 或者其他方式通知到机器的 docker 那边自动更新,nginx 的配置直接丢 docker 里面了,只暴露 80,443
    ZhiyuanLin
        49
    ZhiyuanLin  
       2023-05-31 14:40:39 +08:00
    面板只开给内网,VPN 访问,就好了。
    ZhiyuanLin
        50
    ZhiyuanLin  
       2023-05-31 14:41:38 +08:00
    不喜欢 VPN 的可以 TLS Client Cert 认证,没客户端证书过不了 TLS Termination 。
    msmkls
        51
    msmkls  
       2023-05-31 16:22:10 +08:00
    @ZhiyuanLin 我觉得也是,VPN 或者证书认证安全性会好些
    aaaaaaaaa
        52
    aaaaaaaaa  
       2023-06-02 15:21:12 +08:00 via iPhone
    楼上说只把面板开放给内网的,是不是忘了宝塔本身就是个贼啊?

    忘记上传服务器绑定域名的事了?
    忘记通过 webrtc 探测服务器主人 ip 的事了?
    qiushile
        53
    qiushile  
       2 小时 41 分钟前
    宝塔的水平应该说超过大多数人手动维护
    只要保证比大多数服务器更安全就可以了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5854 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 06:31 · PVG 14:31 · LAX 22:31 · JFK 01:31
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.