为满足等保2.0要求,需配置五项安全机制:一、修改宝塔默认端口并同步防火墙与云安全组;二、绑定备案域名并启用HTTPS加密通信;三、开启双因素认证(2FA)并备份恢复密钥;四、设置登录失败锁定及IP白名单;五、关闭非必要服务端口并卸载phpMyAdmin。
如果您正在为信息系统通过网络安全等级保护(等保)2.0要求做准备,而使用宝塔面板作为运维管理平台,则需将面板自身安全配置与等保中“安全计算环境”“安全管理中心”等条款对齐。以下是满足等保基本要求的多项可落地安全机制配置步骤:
一、修改默认面板端口并同步防火墙策略
等保2.0要求控制管理通道暴露面,避免使用通用端口降低被自动化扫描识别的风险。将默认8888端口更改为高位非标准端口,并确保系统防火墙与云平台安全组同步放行,是收敛攻击面的基础动作。
1、登录宝塔面板,点击左侧菜单栏“面板设置” > “基本设置”。
2、在“面板端口”输入框中填写新端口号,建议选择10000–65535区间内未被占用的端口(如54321)。
3、点击“保存”,面板自动重启生效。
4、进入宝塔“安全”模块 > “防火墙”,点击“放行端口”,输入新端口号并确认添加。
5、登录云服务商控制台(如阿里云ECS安全组),新增入方向规则:协议类型TCP,端口范围填入新端口号,授权对象设为必要管理IP段(如203.123.45.0/24)。
二、强制启用HTTPS通信并绑定独立域名
等保2.0明确要求管理平台通信应加密传输,防止凭证与操作指令明文泄露。仅依赖IP访问无法启用完整SSL链路,绑定已备案域名并申请有效证书,是达成“身份鉴别+通信保密”双重要求的关键环节。
1、确保该域名已完成DNS A记录解析,指向服务器公网IP。
2、进入“面板设置” > “SSL”选项卡,点击“申请”按钮。
3、选择“Let’s Encrypt”方式,输入已解析的域名(如panel.example.com)。
4、等待证书签发完成(通常30秒内),勾选“强制HTTPS”并保存。
5、验证访问地址是否已切换为https://panel.example.com:54321,浏览器地址栏显示锁形图标且无证书警告。
三、开启双因素认证(2FA)并备份恢复密钥
等保2.0第三级要求“应对登录的用户进行身份标识和鉴别,身份鉴别信息具有复杂度要求并定期更换”,单密码机制不满足“多因素鉴别”条款。启用2FA可满足“至少两种鉴别技术组合”的合规性支撑点。
1、进入“面板设置” > “安全” > “双因素认证”。
2、点击“启用”,使用Google Authenticator或宝塔APP扫描二维码绑定设备。
3、成功绑定后,页面将显示16位恢复密钥,必须立即复制并离线保存至可信位置。
4、启用后每次登录需依次输入账户密码与6位动态验证码,缺一不可。
四、配置登录失败锁定与IP白名单策略
等保2.0要求“应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录失败次数超限时采取措施”。该机制可有效防御暴力破解,属于“访问控制”与“安全审计”的交叉控制项。
1、进入“面板设置” > “安全” > “登录限制”。
2、启用“登录失败锁定”,设置“最大失败次数”为5次,“锁定时长”为3600秒(1小时)。
3、在“IP白名单”区域点击“添加”,填入允许登录的固定公网IP(如公司出口IP),多个IP用换行分隔。
4、勾选“启用IP白名单”,保存后仅列表内IP可发起登录请求,其余全部拒绝。
五、关闭非必要服务端口并禁用phpMyAdmin内置入口
等保2.0强调“最小安装、最小权限”,要求关闭未使用的网络服务以减少潜在攻击面。宝塔默认开放的888(phpMyAdmin)、3306(MySQL直连)、21/22(FTP/SFTP)等端口若无实际需求,均应主动关闭。
1、进入宝塔“安全” > “防火墙”,检查当前放行端口列表。
2、对以下端口执行“删除”操作(若确认未使用):888、3306、21、22、6379。
3、进入“软件商店”,找到“phpMyAdmin”插件,点击“卸载”并确认。
4、返回“数据库”模块,确认所有数据库均通过宝塔内置Web界面管理,不再依赖外部直连工具。
5、如确需远程数据库访问,应在云平台安全组中单独放行3306端口,并限定源IP为运维跳板机地址,而非全网开放。
