宝塔面板安全加固,这几个设置一定要改
宝塔面板降低了建站门槛,但默认配置的安全风险常常被新手忽略。
下面直接列出几个必须马上改的设置,每一步都按零基础操作习惯写,跟着做就能把服务器安全提升一个档次。
1. 修改SSH与面板默认端口
SSH默认端口22、宝塔面板默认端口8888是扫描器首选目标。
修改后能过滤掉99%的自动化攻击。
- 修改SSH端口:在宝塔面板左侧点击“SSH管理” → 端口设置,将默认22改成一个高位端口(如22988),点击“修改”,然后重启SSH服务。若用命令行执行:
sed -i 's/#Port 22/Port 22988/' /etc/ssh/sshd_config && systemctl restart sshd。注意:修改后记得在防火墙放行新端口。 - 修改宝塔面板端口:在宝塔面板“安全” → “系统安全” → “端口管理”中,找到8888端口,点击“修改”,改成五位数(如55678),保存后刷新面板。
- 验证方法:尝试用旧端口连接,应显示连接失败;用新端口能正常登录。
2. 禁用root直接登录,改用sudo用户
root是最高权限账号,禁止直接SSH登录后,攻击者无法暴力破解root密码。
- 创建普通用户:在宝塔“SSH管理”或通过终端执行:
useradd -m -s /bin/bash opuser && passwd opuser。 - 赋予sudo权限:
usermod -aG wheel opuser(CentOS)或usermod -aG sudo opuser(Ubuntu)。 - 禁止root登录:编辑SSH配置文件
/etc/ssh/sshd_config,找到PermitRootLogin改为PermitRootLogin no,保存后重启SSH:systemctl restart sshd。 - 验证方法:用root直接SSH应被拒绝;用opuser登录后再通过
sudo -i切换到root。
3. 设置强密码与双因素认证(2FA)
密码是最后一道防线,弱密码等于开门揖盗。
- 密码强度:宝塔面板用户密码至少12位,包含大小写、数字和特殊符号。可在“面板设置” → “修改密码”中直接设置。服务器SSH密码同理。
- 启用面板双因素认证:在宝塔面板“安全” → “系统安全” → “双因素认证”中开启,推荐Google Authenticator或Authy,扫描二维码绑定。这样登录面板时除了密码还需要动态验证码。
- SSH双因素认证(进阶):安装
libpam-google-authenticator,配置PAM模块,但新手建议先完成前两步。
4. 配置防火墙,只放行业务端口
默认防火墙往往全开,或仅放行80/443。
需要精确控制。
- 宝塔自带防火墙:在“安全” → “系统防火墙”中,先点击“关闭”清空已有规则,然后依次添加:
- SSH新端口(如22988)
- 宝塔面板新端口(如55678)
- HTTP(80)
- HTTPS(443)
- 其他如MySQL端口(3306)只放行指定IP(例如只允许应用服务器IP)
- 使用系统防火墙(CentOS):
systemctl enable firewalld && firewall-cmd --set-default-zone=drop --permanent && firewall-cmd --add-port=22988/tcp --permanent && firewall-cmd --add-port=55678/tcp --permanent && ... && firewall-cmd --reload。 - 验证方法:用
nc -zv 你的IP 端口测试未放行的端口应超时或拒绝。
5. 定期备份与更新,修复已知漏洞
安全是动态过程,不更新等于留后门。
- 更新宝塔面板:面板右上角“更新”按钮,一键升级。
- 更新软件包:在“软件商店”中勾选所有安装的软件(Nginx、MySQL、PHP等),点击“更新”。
- 设置备份计划:在“定时任务”中添加“备份数据库”和“备份网站”,周期按需设置(建议每天一次),备份到阿里云OSS、腾讯云COS或本地磁盘。
避坑与高频问题
- 修改端口后连不上怎么办?:检查服务器厂商的安全组(如阿里云安全组)是否放行了新端口,否则宝塔防火墙放行也无效。
- 双因素认证丢失怎么办:宝塔面板提供应急验证码,务必在开启后下载或截图保存。
- 禁用root登录后无法执行sudo:确认用户属于sudo组,且
/etc/sudoers中该组有权限。
以上五个设置全部完成后,你的宝塔面板和服务器安全等级已经超过90%的默认配置。
建议每隔几个月复查一次端口和用户列表,养成习惯。
如果遇到异常报错,优先回看这篇的避坑说明,基本都能解决。
