宝塔面板是目前国内最流行的几个服务器可视化操作面板之一,装机量非常大,极大降低了服务器运维的技术门槛,对小白用户十分友好,简单看下视频教程就能用它搭建出符合需求的 企业级服务器 运行环境。
我们平时给自己客户建站也非常推荐使用宝塔面板,不过因为大多数人都是非服务器运维专业出身,一般都是用一条命令安装结束,面板能正常打开就可以了,用的都是宝塔的默认配置。这里并不是说宝塔面板的默认配置有问题,而是因为默认配置都是统一的,例如访问端口都是8888,这样就给有心者降低了破解难度,从而形成较大的安全隐患。
本文就来总结一些宝塔面板简单又常用,并且能极大增强服务器及网站安全性的配置方案。
事项清单概览:
- 修改面板默认访问端口;
- 修改 SSH 默认访问端口;
- 修改PHPmyadmin默认端口;
- 关闭所有无用端口;
- 修改面板默认账号密码;
- 禁止 Ping ;
- 修改安全入口路径;
- 启用计划任务;
- 设置消息通知;
- 设置文件权限;
下面逐个说明操作方法。
端口方面
服务器端口 说白了就是服务器向外网世界开放的大门,各种请求和数据都可以通过这些端口进出,开放的端口越多,你的服务器向外的通道就越多,就越不安全。除了80、443等几个必须开放且不可改变的端口,别的一切端口原则上都建议隐藏起来,如果必须要开放端口,那么建议端口要改为数值较大的不常用端口,下面简单普及一下端口知识:
服务器端口范围为:1~65535,1~1024号端口是系统端口,不可随意使用;从1025~65534端口是系统为用户预留的端口,可以使用,而65535号端口为系统保留,不能使用。
也就是说1025~65534是我们可以随意支配的端口号。
一、修改面板默认访问端口;
宝塔面板的访问地址一般是:地址+冒号+端口号+入口路径,这里就来讲 端口号 的更改方法。
先确认好要改成哪个端口,假设改为9876,那么需要先到服务器安全组中开放这个端口,否则会导致端口号修改成功后,宝塔面板就打不开了。
安全组端口开放方法:
以 阿里云 为例,进入服务器控制台,打开安全组
点击手动添加,按图示方式把端口号添加进去:
这样9876端口就放开了。
进入“面板设置”-“面板端口”
点击设置,弹出端口号,填入9876,保存即可。
二、SSH默认端口修改
第一步也是要先到安全组开放端口,步骤参考上述方法,
然后进宝塔面板的安全菜单:
在SSH端口中填入端口号,点击更改即可。
三、修改PHPmyadmin默认端口号
PHPmyadmin 是PHP项目中最常用的数据库管理工具,宝塔面板里也强烈推荐安装使用。宝塔面板为PHPmyadmin设置的默认端口号是888,虽然很吉利,但是容易被渗透工具嗅探到,建议更换。
第一步先到安全组开放端口,步骤参考上述方法;
第二步进入软件商店,找到安装的PHPmyadmin,点击设置
在弹出窗中,选择安全选项卡,填入端口号保存即可:
四、关闭所有无用端口
这一步建议到服务器安全组中操作,还是以阿里云服务器为例,先进入安全组,新增一条安全组规则,按照下图方式添加:
需要特别注意的是 优先级这里,要填入一个较大的数字,数字越大优先级越低 ,也就是把关闭所有端口的规则优先级降为最低,这样你就可以在这条规则存在的条件下,放行别的端口,做到了只开放需要开放的端口效果。
五、修改面板默认账号密码
在面板设置中进行默认的账号密码修改,密码修改为含有数字、大小写字母和特殊符号的高强度密码。
六、禁止ping服务器
Ping是命令行工具的一条命令,客户机会向服务器发出一条请求指令,然后服务器向后返回一串数据,利用客户机接收到数据的时间来测出服务器是否连通,以及网络延迟情况。
有一些不法之徒,会利用ping命令定向攻击服务器,原理是利用大量主机同时向你的服务器发出ping命令,这样就会让服务器同时处理大量ping指令而性能枯竭,最终服务器会瘫痪。禁止ping就可以彻底隔绝 ping攻击 。
禁止ping也可以很大程度隐藏服务器,防止被某些黑客探测工具扫描,降低被入侵的风险。
宝塔面板禁止ping的方法:
进入安全菜单,启用禁ping即可:
七、修改安全入口路径
安全路径就是宝塔面板登录地址的路径,上文说到,宝塔面板登录地址形式为:地址+端口号+/+安全入口路径,系统会自动生成一个安全路径,但是建议把它修改为更长更安全的路径,修改方式:
在面板设置-安全入口中修改,修改完成后下次登录就需要使用新的登录地址了。
八、启动备份计划任务
定期备份网站源代码和数据库是网站运营中不可缺少的工作,数据无价,服务器并不是绝对安全的,一旦数据丢失,后果不堪设想。
但是每次都手动备份无疑是件痛苦的事情,宝塔面板提供了很多计划任务,可以利用它来实现自动备份。
进入计划任务,在下拉菜单中选择对应任务,最后添加即可。
需要注意的是,执行周期这里会让你选择每次执行备份的时间,建议安排在深夜或凌晨这种网站访问量最少的时候进行,避免造成服务器额外的运行压力。
九、设置消息通知
消息通知可以在服务器有异常情况的时候,自动给你发邮件、 钉钉 、微信等信息通知你异常情况,开启方法在面板设置-通知设置中,根据自身情况选择哪种通知形式,具体的配置方法在这里有宝塔面板的官方教程,不再赘述。
十、设置文件权限
把网站除了上传文件目录之外的所有目录关闭写入权限 ,可以很大程度防止病毒和 木马 的感染。
以 WordPress 为例,WP的上传文件路径在/wp-content/uploads,所以把除了这个目录之外的所有目录设置为只读权限是很有必要的,操作方法:
鼠标指向要更改权限的文件夹,点击权限按钮
在弹窗中取消勾选写入权限:
以上十个操作是我们每次给客户部署服务器时必做的任务事项,可以大大提高你的服务器安全防护能力。
当然只保证服务器安全还远远不够,网站源代码是否安全稳定也至关重要,无忧速建可视化建站系统认真打磨6年,安全性和访问速度都有保障,值得一试。
原文链接:https://www.zhihuclub.com/153665.shtml