宝塔面板基础防御全攻略(2024实战版)
一、面板入口加固
- 修改默认入口 bash复制
# 修改默认8888端口(需同步调整防火墙) bt 8 # 随机生成安全访问路径(32位哈希值) bt 11示例路径:http://服务器IP:57891/3e5f8a1c9d
注:禁用/login、/admin等易猜解路径 - 访问限制 bash复制
# 仅允许指定IP访问面板(办公室/家庭IP) echo '123.45.67.89' >> /www/server/panel/data/limitip.conf systemctl restart bt - 二次验证
在面板设置中开启「Google Authenticator」动态验证,绑定手机令牌(如Authy)
二、系统级防护
- SSH安全加固 bash复制
# 修改SSH默认端口 sed -i 's/#Port 22/Port 56234/' /etc/ssh/sshd_config # 禁用root登录&密码认证 echo 'PermitRootLogin no' >> /etc/ssh/sshd_config echo 'PasswordAuthentication no' >> /etc/ssh/sshd_config systemctl restart sshd - 内核级防御 bash复制
# 安装入侵防御系统 yum install -y aide # CentOS apt install -y tripwire # Ubuntu # 初始化文件完整性校验库 aide --init && mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz - 暴力破解防护 bash复制
# 安装fail2ban wget -O fail2ban.sh http://download.bt.cn/tools/fail2ban.sh && bash fail2ban.sh # 自定义防护规则(/etc/fail2ban/jail.local): [sshd] maxretry = 3 bantime = 86400
三、Web服务加固
- Nginx防护 nginx复制
# 在网站配置中追加安全头 add_header X-Content-Type-Options "nosniff" always; add_header Content-Security-Policy "default-src 'self'"; # 限制上传大小 client_max_body_size 20m; - PHP安全配置 php复制
; 禁用危险函数 disable_functions = passthru,exec,system,chroot,chgrp,chown,shell_exec ; 限制文件操作 open_basedir = /www/wwwroot/当前站点目录:/tmp - 数据库防护
- 为每个网站创建独立数据库账号
- 禁用
LOAD_FILE()、INTO OUTFILE等高危函数 - 开启二进制日志审计(MySQL配置): ini复制
[mysqld] log-bin=mysql-bin binlog_format=row
四、实时监控策略
- 异常进程报警 bash复制
# 创建监控脚本(/root/process_monitor.sh) #!/bin/bash ps aux | grep -E '\./tmp/|/dev/shm' | grep -v grep | mail -s "可疑进程警报" admin@domain.com # 加入定时任务 crontab -e */5 * * * * /root/process_monitor.sh - 日志自动分析 bash复制
# 安装日志分析工具 btpip install loganalyzer # 配置自动扫描(每天凌晨2点): loganalyzer --path /www/wwwlogs --rules sqli,xss,rce --report /root/security_report.html - 宝塔安全告警
在「安全」模块开启:- 网站CC攻击防御(自动模式)
- 敏感文件监控(.php、.jsp等)
- 异常登录提醒
五、入侵应急处理
- 快速隔离 bash复制
# 立即断开公网访问 iptables -A INPUT -p tcp --dport 80 -j DROP # 创建取证快照 bt create_snapshot - 溯源分析 bash复制
# 检查最近修改的PHP文件 find /www/wwwroot -name "*.php" -mtime -3 # 分析可疑连接 netstat -antp | grep ESTABLISHED - 后门清理
使用「河马查杀」专业工具扫描: bash复制wget https://down.shellpub.com/hm-linux.tgz && tar zxf hm-linux.tgz ./hm scan /www/wwwroot
六、必备安全插件
- 宝塔应用商店推荐
- 网站防篡改程序(企业版)
- Nginx防火墙(免费版已包含基础防护)
- 木马查杀(定期全盘扫描)
- 第三方神器
- ClamAV 病毒扫描:
bt install clamav - Lynis 系统审计:
curl -sSL https://download.bt.cn/tools/lynis.sh | bash
- ClamAV 病毒扫描:
防御效果验证:
- 使用「黑客模拟器」测试:
curl -X POST http://域名/?cmd=id - 通过SSL Labs测试SSL配置(A+评级)
- 用
nmap -p 1-65535 服务器IP验证端口暴露情况
注:建议每季度执行一次全系统安全评估,保留至少3份不同时间点的服务器快照。 保持安全配置的持续更新是防御的关键!
感谢您的来访,获取更多精彩文章请收藏。
THE END
