本文提供12项宝塔面板安全加固的实用建议,涵盖端口修改、密码策略、防火墙配置等关键设置,帮助用户有效防范暴力破解、DDoS攻击等安全威胁,适合运维人员及站长收藏实践。
一、基础安全设置
- 修改默认8888端口
通过SSH执行 bt 8选择选项修改面板端口,建议使用1024-65535之间的非常用端口
- 强制HTTPS访问
在面板设置 → 安全设置中开启HTTPS,并配置有效的SSL证书
- 启用BasicAuth认证
在面板SSH终端执行 bt 12设置二次认证账号密码,可有效防止撞库攻击
二、访问控制强化
- 限制IP访问
在
/www/server/panel/data/limitip.conf中添加可信IP:每行一个IP 192.168.1.100 203.0.113.45 - 禁用PHP危险函数
在PHP管理 → 禁用函数中添加:
exec,passthru,shell_exec,system,proc_open,popen
三、系统级防护
- 配置防火墙规则
在宝塔防火墙 → 系统防火墙中:
- 关闭ICMP协议(防Ping)
- 限制SSH端口访问频次
- 启用CC攻击防护
- 定期自动备份
添加定时任务(每天2点备份) 0 2 /etc/init.d/bt default
四、高级安全策略
- 修改MySQL默认端口
修改my.cnf [mysqld] port=33060 - 启用Fail2ban防护
安装配置 yum install fail2ban -y systemctl enable fail2ban - 文件监控告警
使用宝塔「安全」→「文件监控」功能,设置核心目录的变更告警
五、维护建议
- 每月检查面板更新日志,及时升级到最新版本
- 禁用不必要的服务模块(如FTP、旧版PHP等)
- 定期审计
/www/wwwlogs目录下的访问日志
通过以上15项设置组合,可显著提升服务器安全等级。建议在修改配置前做好备份,部分设置需重启服务生效。
评论