这是一个创建于 398 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近看到不少说自己用宝塔面板被黑的用户,有大佬说当装上宝塔面板那一瞬间,你就是肉鸡了,此话丁真吗?
我自己的话也是在用宝塔面板,机器用的腾讯云,控制台防火墙只开启了 80,443,和宝塔面板端口这三个端口,其中宝塔面板的端口限制访问来源,来源就是我自己电脑的 IP ,这样的话也避免不了被黑吗?
 |
1
knva 2023-05-30 16:47:34 +08:00
那你把宝塔面板发给他让他破解一下
|
 |
2
bjzhush 2023-05-30 16:49:22 +08:00
自己看看宝塔历史漏洞就知道了
|
 |
3
R18 2023-05-30 16:50:45 +08:00
所有机器都在用,目前安好。
|
 |
4
ysc3839 2023-05-30 16:52:33 +08:00 via Android
对于这种商业软件,本质是信任问题,绝大多数用户不可能拿到完整源代码并仔细检查一遍,所以就看你信不信它的安全性了
|
 |
5
caesar 2023-05-30 16:53:08 +08:00
关面板 保平台 不过目前为止 我机子还没被黑
|
 |
6
jackmod 2023-05-30 16:57:33 +08:00
不开端口,而是翻进机器里面用 localhost 访问。
国内不知有没有类似 tunnel 的服务可以隐藏所有端口。 |
 |
7
zergmk2 2023-05-30 16:59:45 +08:00
1panel 咋样?
|
 |
8
mineralsalt 2023-05-30 17:01:21 +08:00
所有服务器都在用, 没被黑过, 也没什么特别的安全措施, 就坚持一点, 不用弱密码
|
 |
9
lcy630409 2023-05-30 17:03:30 +08:00
bt 面板 可以不开放 web 访问啊 你可以再 ssh 中 输入 bt ,有个选项就是关闭 web 访问,剩下 还被入侵了 我觉得不应该甩锅给 bt
|
 |
12
monkey110 2023-05-30 17:54:05 +08:00
装的东西越少越安全,有些漏洞不曝光根本不知道,用了就别怕被黑。
|
 |
13
ayconanw 2023-05-30 18:17:12 +08:00
如果你指的是被宝塔官方偷窥,那估计没办法防止,但也没有切实的证据官方有做出这类行为
如果指的是被其他人黑,那就把安全设置先做好,然后经常关注漏洞消息即可 我服务器上用了很久,也没出过问题 |
 |
14
crazyweeds 2023-05-30 18:28:23 +08:00  1
生产机器一直最小化,不要偷懒,迟早找你讨债。
|
 |
15
GTim 2023-05-30 18:29:31 +08:00
简单啊,要用的时候再开端口号,不用的时候关闭
|
 |
16
dianso 2023-05-30 18:29:53 +08:00 1
宝塔的漏洞和后门其实一样
被发现了就是漏洞,然后修复,推送给用户。 |
 |
17
someonedeng 2023-05-30 18:52:32 +08:00 1
不立危墙之下
|
 |
18
tony1016 2023-05-30 19:13:51 +08:00
用 tailscale 访问
|
 |
20
SelectLanguages 2023-05-30 19:30:44 +08:00
说的好像自己配置比 bt 还安全似的,觉得不安全可以不用,有想要又怕不安全的使用后关闭 web 访问。
|
 |
21
wu529778790 2023-05-30 19:36:05 +08:00
不用宝塔不行么,现在有个开源的 1panel 啊
|
 |
22
totoro52 2023-05-30 19:44:01 +08:00
关掉面板入口或者开启 base 认证, 关闭一些没必要的端口, 基本不会被黑,主要还是宝塔喜欢做一些骚操作导致被黑,参考上次的 phpmyadmin
|
 |
23
thinkm OP @wu529778790 1panel 体验一言难尽,根本不是 linux 面板,而是阉割版 docker 面板
|
 |
24
tengxunkuku 2023-05-30 19:49:32 +08:00 via Android 1
如果别人曾经用你的 ip 实施了违法行为,而你刚好实名了宝塔,那么喝茶跑不掉
|
 |
25
Huelse 2023-05-30 20:07:28 +08:00
无论是数据库还是 ssh 都用密钥,面板用随机强密码,基本无忧
|
 |
26
cdlnls 2023-05-30 20:13:31 +08:00 3
没有明确的证据说是 bt 有后门,但是不排除可能有某些没有被公开的漏洞。
我是这么认为的,主要宝塔的用户大多数是对 linux 系统不太熟悉的和刚刚接触服务器的用户,这里面安全意识差的人占比不在少数。弱密码甚至无密码暴露端口的,各种没有审计的第三方脚本,这种被黑真的是时间问题。 |
|
27
mineralsalt 2023-05-30 20:16:34 +08:00
@tengxunkuku #24 你把警察当傻子啊, ipv4 当身份证用么
|
 |
28
kingjpa 2023-05-30 20:19:49 +08:00
大可不必,
数百万安装量 ,国内占有率第一,而且比其他所有同行之和都要多。 被黑要找到原因,就事论事。bt 本质就是 ptyhon 脚本编写的运维自动化工具,它只能帮你快捷安装环境,但代码安全防火墙这些还的靠自己,别自己上传功能没做好被提权那用什么工具都扯淡。 |
 |
30
tivizi 2023-05-30 20:58:49 +08:00
可以在服务器上装代理工具,把服务端口通过 HTTPS(443) 暴露出来,其他端口不接受任何流量
https://github.com/jpillora/chisel https://github.com/rkonfj/toh |
 |
31
follow 2023-05-30 21:27:07 +08:00
需要时打开端口,启动 bt ;不用时关闭端口,
|
 |
32
feaul 2023-05-30 21:41:01 +08:00
之前爆出了好多的漏洞,可以去全球主机论坛看看,之前报的漏洞好多是从这上面爆出来,奈何没有技术,只能依赖于宝塔了,有技术早就不用宝塔了
|
 |
33
Bingchunmoli 2023-05-30 21:43:21 +08:00 via Android
被黑也很多,有很多低级漏洞,不建议使用,也可以用完关闭
|
 |
34
dayeye2006199 2023-05-30 22:34:58 +08:00 via Android
只规定本地访问面板。
SSH 只允许密钥访问。 管理的时候开 SSH 转发端口,访问本地面包 |
 |
35
edk24 2023-05-31 00:01:49 +08:00
说到底不是宝塔安不安全, 而是你的安全措施有没有到位; 即便是不用宝塔也需要做的事情 (如果追求安全的话)
1. 关闭 ssh 密码登录, 使用秘钥登录 2. 关闭外网访问, 仅留 80 443 3. 配置一台 vpn 云服务器, 用来 ssh/访问宝塔 要是再加个堡垒机 就更安全了 |
 |
36
lhbc 2023-05-31 00:20:29 +08:00 via Android 2
不太明白,随便装个 docker + portainer ,不比这好用多了?
|
 |
37
rekulas 2023-05-31 08:30:23 +08:00
很简单,我是直接把宝塔端口加上 token 验证,比如 bt-token: 3a9266809e20ba9221307fc9e0549601
没有 token 一律返回 502 ,再黑的黑客也没办法,只有从其他软件着手破解,但这跟宝塔就无关了,端口安全做好基本稳了 |
 |
38
ClarkAbe 2023-05-31 09:37:56 +08:00 via Android
你这个问题...不装宝塔面板就行 (
|
 |
39
xyholic 2023-05-31 09:38:46 +08:00
刚装上最新的可能暂时没问题,漏洞都被修复了,但是保不齐未来再爆 0day ,不安全是持续性的
再差点可能现在也有师傅手里捂着 0day 呢 |
 |
41
heiybb 2023-05-31 11:52:00 +08:00
外部端口只留 wireguard
然后 all traffic over wireguard |
 |
43
FakerLeung 2023-05-31 11:55:12 +08:00
@lhbc 主要是针对比如 nginx 配置啊这些,阁下如何应对?
|
|
45
lhbc 2023-05-31 13:08:15 +08:00
@FakerLeung GitHub 托管直接 docker 拉起啊
|
|
46
FakerLeung 2023-05-31 13:54:04 +08:00
@lhbc #45 没看懂😂
|
|
47
lhbc 2023-05-31 13:58:32 +08:00 via Android
@FakerLeung 用 git 管理你的 nginx 配置,写个 dockerfile
一键更新 |
|
48
FakerLeung 2023-05-31 14:03:45 +08:00
@lhbc #47 就是仓库托管 nginx 的 dockerfile ,修改后直接 webhook 或者其他方式通知到机器的 docker 那边自动更新,nginx 的配置直接丢 docker 里面了,只暴露 80,443
|
 |
49
ZhiyuanLin 2023-05-31 14:40:39 +08:00
面板只开给内网,VPN 访问,就好了。
|
|
50
ZhiyuanLin 2023-05-31 14:41:38 +08:00
不喜欢 VPN 的可以 TLS Client Cert 认证,没客户端证书过不了 TLS Termination 。
|
 |
51
msmkls 2023-05-31 16:22:10 +08:00
@ZhiyuanLin 我觉得也是,VPN 或者证书认证安全性会好些
|
 |
52
aaaaaaaaa 2023-06-02 15:21:12 +08:00 via iPhone
楼上说只把面板开放给内网的,是不是忘了宝塔本身就是个贼啊?
忘记上传服务器绑定域名的事了? 忘记通过 webrtc 探测服务器主人 ip 的事了? |
Select Language