应为宝塔环境创建首个安全隔离普通用户,步骤包括:一、创建系统级用户并禁用shell;二、在宝塔中绑定网站与FTP权限;三、配置ACL细化目录访问控制;四、禁用面板高危功能并审计登录行为。
如果您已完成宝塔面板安装,但尚未创建独立于root的普通用户用于日常网站管理,则可能存在权限过大、误操作风险高、安全隔离不足等问题。以下是为宝塔环境配置首个安全隔离普通用户的详细步骤:
一、创建系统级普通用户并限制shell访问权限
该步骤旨在从操作系统层面建立身份隔离,避免直接使用root执行网站相关操作,同时禁用交互式shell以降低被提权利用的风险。
1、通过SSH以root身份登录服务器,执行以下命令创建用户名为wwwuser的普通账户:
2、为该用户设置强密码,输入两次确认:
3、禁用该用户的交互式shell,仅允许其通过SFTP或宝塔文件管理器访问指定目录:
4、将用户加入www组(若未存在则先创建),便于后续与Nginx/Apache运行用户协同:
5、验证用户已创建且shell被正确设为/sbin/nologin:
二、在宝塔面板中绑定并限制该用户权限范围
宝塔不提供原生多租户功能,但可通过“网站”与“FTP”模块实现逻辑隔离。本方法将用户绑定至单一网站根目录,禁止跨站访问及系统级操作。
1、登录宝塔面板,在左侧菜单点击「网站」→「添加站点」,输入域名(如test.local)并完成创建。
2、进入该站点设置页,点击「权限设置」选项卡,将「运行目录所有者」修改为wwwuser:www,勾选「递归修改目录权限」后保存。
3、点击左侧「FTP」→「添加FTP」,填写如下信息:用户名填wwwuser,密码设为独立强密码,主目录选择该网站根目录(例如/var/www/test.local),取消勾选「允许访问上级目录」。
4、返回FTP列表,点击wwwuser右侧「权限设置」,确保仅开启「读取」和「写入」,关闭「删除」与「重命名」权限(防止误删核心文件)。
5、在面板右上角点击「安全」→「IP白名单」,为wwwuser关联的FTP服务启用IP限制(如仅允许可信办公IP段)。
三、配置文件系统级访问控制(ACL)增强隔离
Linux ACL可对特定用户授予精确到子目录的读写权限,弥补传统UGO权限模型的粗粒度缺陷,确保wwwuser无法访问其他网站目录或系统关键路径。
1、检查系统是否启用ACL支持(通常默认启用):
2、为网站根目录启用ACL,并为wwwuser赋予r-x权限(仅浏览与进入,不可写):
3、针对需上传内容的子目录(如uploads/、wp-content/),单独授予wwwuser读写执行权限:
4、验证ACL规则已生效:
5、设置默认ACL,使该目录下新建文件自动继承wwwuser权限:
四、禁用面板内高危功能入口并审计登录行为
即使创建了普通用户,若其仍能通过宝塔界面访问数据库管理、终端、计划任务等模块,则隔离效果大打折扣。需主动关闭非必要入口并启用操作留痕。
1、进入宝塔面板「面板设置」→「功能开关」,关闭「终端」、「计划任务」、「软件商店」、「监控报表」四项功能(普通用户无需使用)。
2、在「安全」→「面板日志」中启用「操作日志记录」,确保wwwuser的所有面板操作(含FTP登录、文件修改)均被完整留存。
3、进入「安全」→「IP访问限制」,添加规则:仅允许wwwuser通过FTP协议访问,禁止其通过HTTP/HTTPS方式登录面板后台(即封锁其面板登录能力)。
4、执行命令强制清除wwwuser的面板登录会话(若已存在):
5、验证wwwuser无法通过浏览器访问http://服务器IP:8888,但可通过SFTP客户端正常连接指定目录。
