关于28号凌晨宝塔官方安全通知及解决办法?
关于28号凌晨宝塔官方安全通知及解决办法?
宝塔官方在宝塔论坛发布的《【置顶】关于宝塔安全漏洞的声明》,经过仔细阅读,给出一点处理方法。
从上次数据库漏洞以来,宝塔强制要求绑定手机号。然而这次并没有大范围短信通知,可见该漏洞影响不大;通过官方公告仅 Nginx 1.8 版本用户收到影响,而该版本为很早以前,甚至 Nginx 官方都停更的版本,受众范围极小。
关于本次 Nginx 1.8 漏洞问题,即便你不用宝塔面板,仍然可能存在漏洞的。
宝塔安全使用方案
服务器安全使用的好习惯是每个人应该做的,下面就来讲几个宝塔安全使用方案,或者说是习惯。下面就懒得截图了,就在宝塔设置里面:
很多时候看一个站点有没有使用宝塔面板只需要域名+8888访问就能知道,所以安装好面板第一步最好就是修改默认端口,隐藏面板
修改默认 8888 宝塔面板端口,这个不修改面板也会强制无法关闭的提醒你;
即使给面板修改了端口 但只要有有心人,那么随便扫扫依旧是能扫到面板的端口的
这时候就需要给面板设置一个安全入口了,在不知道入口的情况下直接输入端口访问面板将被禁止访问
是非常简单有效的一个安全措施,强烈建议设置开启此功能
根据提示开启(图中以www_bt_cn为例,实际使用请使用其他路径)
添加 BasicAuth 认证,在原有面板登录验证基础上再加一层用户密码验证,防止面板被扫描发现;
[慎用]宝塔授权 IP,该功能虽然安全,但是很多站长朋友没有固定 IP,一旦重启光猫或者路由,将会改变当前 IP,导致无法进入,需要 ssh 解除。可以考虑绑定多个授权IP,其中建议包含其他服务器 IP,可以远程通过 Windows 服务器来进行控制面板;
停止使用 Nginx 1.8 版本,升级到 1.18.1 稳定版跟 1.19.6 开发版;
如果你还是非常担心出问题,可以通过 SSH 输入bt
执行2
选项(输入2回车即可)停止宝塔面板服务(不会影响网站的正常运行)。等需要用的时候再输入bt
执行3
选项(输入3回车即可)启动宝塔面板服务。
免费影视站推荐:白嫖TV
DUDU资源 » 关于28号凌晨宝塔官方安全通知及解决办法?