需通过子账户、自定义权限组、资源级授权及安全限制四步实现差异化权限管理:先创建子账户并绑定预设权限组;再新建权限组精细控制功能开关;接着限定其仅可见可操作的网站与数据库;最后禁用SSH、文件管理等高危功能并设置IP白名单。
如果您在宝塔面板中需要为多个管理员分配差异化的操作权限,以确保各管理员仅能执行其职责范围内的功能,则需通过面板内置的子账户与权限策略进行精细化配置。以下是实现该目标的具体步骤:
一、创建子账户并绑定初始权限组
宝塔面板通过“子账户”机制实现权限隔离,每个子账户可独立登录且默认继承系统预设的权限组,后续可调整其可访问模块与操作范围。
1、登录宝塔主账户,在左侧菜单栏点击【用户】→【子账户】。
2、点击【添加子账户】按钮,填写用户名、密码及确认密码。
3、在【权限组】下拉框中选择一个预设组(如“网站管理员”或“FTP管理员”),该选择将决定该子账户初始可见的功能模块。
4、勾选【启用】后点击【提交】完成创建。
二、自定义权限组以细化操作粒度
预设权限组无法满足高度定制化需求时,可通过新建权限组并手动开启/关闭具体功能开关,实现对“能否进入某页面”“能否执行某按钮操作”的双重控制。
1、在【用户】→【权限组】页面点击【添加权限组】。
2、输入组名称(如“数据库只读组”),然后在下方列表中逐项勾选允许的操作项,包括【MySQL管理】、【phpMyAdmin访问】、【备份数据库】、【删除数据库】等细粒度开关。
3、取消勾选所有不希望该组执行的操作,例如禁用【删除数据库】和【修改数据库密码】选项。
4、点击【提交】保存新权限组,随后可在子账户编辑页将其分配给对应子账户。
三、限制子账户可操作的具体网站或数据库
当多个管理员共管同一台服务器但负责不同业务站点时,需进一步限定其仅能操作指定网站目录、SSL证书、数据库实例等资源,避免越权访问。
1、进入【网站】→【网站列表】,点击目标站点右侧的【设置】按钮。
2、切换至【权限】选项卡,在【子账户可见】区域勾选允许访问该站点的子账户,未勾选者将完全不可见该站点及其所有子功能(如伪静态、SSL、监控等)。
3、对数据库执行相同操作:进入【数据库】→【管理】,点击某数据库右侧【权限】,在弹出窗口中指定可管理该库的子账户。
4、保存后,相关子账户登录后仅显示已授权的网站与数据库条目,其余资源不可见亦不可操作。
四、禁用高危功能入口并锁定登录IP范围
为强化安全边界,除功能级权限外,还可通过关闭敏感入口与限制访问来源,防止子账户绕过界面权限执行危险动作。
1、在【安全】→【防火墙】中,为子账户登录端口(默认8888)添加IP白名单规则,仅允许可信运维IP访问。
2、返回【用户】→【子账户】,点击目标账户右侧【编辑】,取消勾选【允许使用SSH终端】与【允许使用文件管理器】(若无需命令行或全盘文件操作)。
3、在【面板设置】→【面板安全】中,关闭【允许子账户使用计划任务】选项,防止通过定时任务间接调用系统命令。
4、重启面板服务使安全策略生效:【软件管理】→【宝塔面板】→【重启】。
