宝塔面板安装后须立即执行五项安全加固:一、修改默认8888端口为高位非常规端口并放行防火墙;二、启用IP白名单限制访问来源;三、强制开启双因素认证并保存恢复密钥;四、修改SSH端口、禁用root密码登录并改用密钥认证;五、启动内置防火墙及CC防护,精简放行端口。
如果您已完成宝塔面板的安装,但尚未进行任何安全配置,则服务器正暴露在大量自动化扫描与暴力破解风险之中。以下是安装后必须立即执行的五个基础安全加固项:
一、修改面板默认管理端口
宝塔面板默认使用8888端口,该端口是全球攻击脚本高频扫描目标,等同于将管理后台地址公之于众。更换为非常规高位端口可显著降低被探测概率,并构成第一道访问门槛。
1、登录宝塔面板,点击左侧菜单“设置”,进入“面板设置”页面。
2、在“基本设置”区域找到“面板端口”,将原值8888替换为1024–65535区间内的非热门端口,例如37291。
3、点击“保存”按钮,面板将自动重启并应用新端口。
4、立即前往“安全”页面,在防火墙规则中放行该新端口。
5、同步检查云服务商(如阿里云、腾讯云)控制台中的安全组策略,确保对应TCP端口已添加入站规则。
二、启用IP白名单访问限制
仅允许可信固定IP地址访问面板后台,可彻底阻断来自未知来源的登录请求,从源头杜绝暴力破解与恶意探测。
1、在“设置”→“面板设置”→“安全设置”中,勾选“开启IP白名单”选项。
2、在下方输入框中填写您日常办公或运维所用的公网IP地址,格式为203.124.56.11/32(单IP)或112.65.0.0/16(IP段)。
3、若使用动态IP,可先临时添加常用宽带出口IP,后续配合DDNS方案更新。
4、保存设置后,尝试从非白名单IP访问面板地址,应返回403拒绝状态。
三、强制启用双因素认证(2FA)
仅依赖密码存在单点失效风险,双因素认证要求用户除密码外还需提供动态验证码,极大提升账户抗泄露能力。
1、进入“设置”→“面板设置”→“安全设置”,点击“启用双因素认证”按钮。
2、使用手机端Google Authenticator或宝塔官方APP扫描页面显示的二维码。
3、在APP中读取6位动态码,填入面板验证框并提交。
4、系统将生成一组16位应急恢复密钥,请立即复制并离线保存至安全位置,丢失后无法重置。
四、修改SSH服务默认端口并禁用root密码登录
SSH是服务器最常被暴力破解的服务之一,22端口长期开放等于主动邀请扫描;而root密码登录则赋予攻击者最高权限直达路径。
1、在宝塔后台点击“安全”→“SSH管理”,将SSH端口由22改为43827等高位端口。
2、执行命令重启SSH服务:systemctl restart sshd。
3、编辑/etc/ssh/sshd_config文件,将PermitRootLogin行改为no,PasswordAuthentication行改为no。
4、确认已提前配置好SSH密钥对,并可通过密钥正常登录,再执行systemctl restart sshd生效。
五、开启宝塔内置防火墙并配置CC防护
宝塔防火墙可拦截高频恶意请求、封禁异常IP、防御CC攻击,是面向Web层的第一道实时过滤网,无需额外安装第三方组件即可启用。
1、进入“安全”→“防火墙”,点击“启动防火墙”按钮。
2、在“CC防护”区域,勾选“开启CC防护”,设置阈值为30秒内请求超过15次即拦截。
3、启用“登录失败5次自动封锁”功能,并勾选“启用恶意IP自动封禁”。
4、检查“放行端口”列表,仅保留80、443、您自定义的SSH端口、您自定义的面板端口,其余全部删除。
