这是一个创建于 874 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近看到不少说自己用宝塔面板被黑的用户,有大佬说当装上宝塔面板那一瞬间,你就是肉鸡了,此话丁真吗? 
我自己的话也是在用宝塔面板,机器用的腾讯云,控制台防火墙只开启了 80,443,和宝塔面板端口这三个端口,其中宝塔面板的端口限制访问来源,来源就是我自己电脑的 IP ,这样的话也避免不了被黑吗?
 | 1 knva 2023-05-30 16:47:34 +08:00 那你把宝塔面板发给他让他破解一下 |
 | 2 bjzhush 2023-05-30 16:49:22 +08:00 自己看看宝塔历史漏洞就知道了 |
 | 3 R18 2023-05-30 16:50:45 +08:00 所有机器都在用,目前安好。 |
 | 4 ysc3839 2023-05-30 16:52:33 +08:00 via Android 对于这种商业软件,本质是信任问题,绝大多数用户不可能拿到完整源代码并仔细检查一遍,所以就看你信不信它的安全性了 |
 | 5 caesar 2023-05-30 16:53:08 +08:00 关面板 保平台 不过目前为止 我机子还没被黑 |
 | 6 jackmod 2023-05-30 16:57:33 +08:00 不开端口,而是翻进机器里面用 localhost 访问。 国内不知有没有类似 tunnel 的服务可以隐藏所有端口。 |
 | 7 zergmk2 2023-05-30 16:59:45 +08:00 1panel 咋样? |
 | 8 mineralsalt 2023-05-30 17:01:21 +08:00 所有服务器都在用, 没被黑过, 也没什么特别的安全措施, 就坚持一点, 不用弱密码 |
 | 9 lcy630409 2023-05-30 17:03:30 +08:00 bt 面板 可以不开放 web 访问啊 你可以再 ssh 中 输入 bt ,有个选项就是关闭 web 访问,剩下 还被入侵了 我觉得不应该甩锅给 bt |
 | 12 monkey110 2023-05-30 17:54:05 +08:00 装的东西越少越安全,有些漏洞不曝光根本不知道,用了就别怕被黑。 |
 | 13 ayconanw 2023-05-30 18:17:12 +08:00 如果你指的是被宝塔官方偷窥,那估计没办法防止,但也没有切实的证据官方有做出这类行为 如果指的是被其他人黑,那就把安全设置先做好,然后经常关注漏洞消息即可 我服务器上用了很久,也没出过问题 |
 | 14 crazyweeds 2023-05-30 18:28:23 +08:00  1 生产机器一直最小化,不要偷懒,迟早找你讨债。 |
 | 15 yemoluo 2023-05-30 18:29:31 +08:00 简单啊,要用的时候再开端口号,不用的时候关闭 |
 | 16 dianso 2023-05-30 18:29:53 +08:00 1 宝塔的漏洞和后门其实一样 被发现了就是漏洞,然后修复,推送给用户。 |
 | 17 someonedeng 2023-05-30 18:52:32 +08:00 1 不立危墙之下 |
 | 18 tony1016 2023-05-30 19:13:51 +08:00 用 tailscale 访问 |
 | 20 SelectLanguages 2023-05-30 19:30:44 +08:00 说的好像自己配置比 bt 还安全似的,觉得不安全可以不用,有想要又怕不安全的使用后关闭 web 访问。 |
 | 21 wu529778790 2023-05-30 19:36:05 +08:00 不用宝塔不行么,现在有个开源的 1panel 啊 |
 | 22 MIUIOS 2023-05-30 19:44:01 +08:00 关掉面板入口或者开启 base 认证, 关闭一些没必要的端口, 基本不会被黑,主要还是宝塔喜欢做一些骚操作导致被黑,参考上次的 phpmyadmin |
 | 23 thinkm OP @wu529778790 1panel 体验一言难尽,根本不是 linux 面板,而是阉割版 docker 面板 |
 | 24 tengxunkuku 2023-05-30 19:49:32 +08:00 via Android 1 如果别人曾经用你的 ip 实施了违法行为,而你刚好实名了宝塔,那么喝茶跑不掉 |
 | 25 Huelse 2023-05-30 20:07:28 +08:00 无论是数据库还是 ssh 都用密钥,面板用随机强密码,基本无忧 |
 | 26 cctv6 2023-05-30 20:13:31 +08:00 3 没有明确的证据说是 bt 有后门,但是不排除可能有某些没有被公开的漏洞。 我是这么认为的,主要宝塔的用户大多数是对 linux 系统不太熟悉的和刚刚接触服务器的用户,这里面安全意识差的人占比不在少数。弱密码甚至无密码暴露端口的,各种没有审计的第三方脚本,这种被黑真的是时间问题。 |
| 27 mineralsalt 2023-05-30 20:16:34 +08:00 @tengxunkuku #24 你把警察当傻子啊, ipv4 当身份证用么 |
 | 28 kingjpa 2023-05-30 20:19:49 +08:00 大可不必, 数百万安装量 ,国内占有率第一,而且比其他所有同行之和都要多。 被黑要找到原因,就事论事。bt 本质就是 ptyhon 脚本编写的运维自动化工具,它只能帮你快捷安装环境,但代码安全防火墙这些还的靠自己,别自己上传功能没做好被提权那用什么工具都扯淡。 |
 | 30 tivizi 2023-05-30 20:58:49 +08:00 可以在服务器上装代理工具,把服务端口通过 HTTPS(443) 暴露出来,其他端口不接受任何流量 https://github.com/jpillora/chisel https://github.com/rkonfj/toh |
 | 31 follow 2023-05-30 21:27:07 +08:00 需要时打开端口,启动 bt ;不用时关闭端口, |
 | 32 feaul 2023-05-30 21:41:01 +08:00 之前爆出了好多的漏洞,可以去全球主机论坛看看,之前报的漏洞好多是从这上面爆出来,奈何没有技术,只能依赖于宝塔了,有技术早就不用宝塔了 |
 | 33 Bingchunmoli 2023-05-30 21:43:21 +08:00 via Android 被黑也很多,有很多低级漏洞,不建议使用,也可以用完关闭 |
 | 34 dayeye2006199 2023-05-30 22:34:58 +08:00 via Android 只规定本地访问面板。 SSH 只允许密钥访问。 管理的时候开 SSH 转发端口,访问本地面包 |
 | 35 edk24 2023-05-31 00:01:49 +08:00 说到底不是宝塔安不安全, 而是你的安全措施有没有到位; 即便是不用宝塔也需要做的事情 (如果追求安全的话) 1. 关闭 ssh 密码登录, 使用秘钥登录 2. 关闭外网访问, 仅留 80 443 3. 配置一台 vpn 云服务器, 用来 ssh/访问宝塔 要是再加个堡垒机 就更安全了 |
 | 36 lhbc 2023-05-31 00:20:29 +08:00 via Android 2 不太明白,随便装个 docker + portainer ,不比这好用多了? |
 | 37 rekulas 2023-05-31 08:30:23 +08:00 很简单,我是直接把宝塔端口加上 token 验证,比如 bt-token: 3a9266809e20ba9221307fc9e0549601 没有 token 一律返回 502 ,再黑的黑客也没办法,只有从其他软件着手破解,但这跟宝塔就无关了,端口安全做好基本稳了 |
 | 38 ClarkAbe 2023-05-31 09:37:56 +08:00 via Android 你这个问题...不装宝塔面板就行 ( |
 | 39 xyholic 2023-05-31 09:38:46 +08:00 刚装上最新的可能暂时没问题,漏洞都被修复了,但是保不齐未来再爆 0day ,不安全是持续性的 再差点可能现在也有师傅手里捂着 0day 呢 |
 | 41 heiybb 2023-05-31 11:52:00 +08:00 外部端口只留 wireguard 然后 all traffic over wireguard |
 | 43 FakerLeung 2023-05-31 11:55:12 +08:00 @lhbc 主要是针对比如 nginx 配置啊这些,阁下如何应对? |
| 45 lhbc 2023-05-31 13:08:15 +08:00 @FakerLeung GitHub 托管直接 docker 拉起啊 |
| 46 FakerLeung 2023-05-31 13:54:04 +08:00 @lhbc #45 没看懂 |
| 47 lhbc 2023-05-31 13:58:32 +08:00 via Android @FakerLeung 用 git 管理你的 nginx 配置,写个 dockerfile 一键更新 |
| 48 FakerLeung 2023-05-31 14:03:45 +08:00 @lhbc #47 就是仓库托管 nginx 的 dockerfile ,修改后直接 webhook 或者其他方式通知到机器的 docker 那边自动更新,nginx 的配置直接丢 docker 里面了,只暴露 80,443 |
 | 49 ZhiyuanLin 2023-05-31 14:40:39 +08:00 面板只开给内网,VPN 访问,就好了。 |
| 50 ZhiyuanLin 2023-05-31 14:41:38 +08:00 不喜欢 VPN 的可以 TLS Client Cert 认证,没客户端证书过不了 TLS Termination 。 |
 | 51 msmkls 2023-05-31 16:22:10 +08:00 @ZhiyuanLin 我觉得也是,VPN 或者证书认证安全性会好些 |
 | 52 aaaaaaaaa 2023-06-02 15:21:12 +08:00 via iPhone 楼上说只把面板开放给内网的,是不是忘了宝塔本身就是个贼啊? 忘记上传服务器绑定域名的事了? 忘记通过 webrtc 探测服务器主人 ip 的事了? |
 | 53 qiushile 328 天前 宝塔的水平应该说超过大多数人手动维护 只要保证比大多数服务器更安全就可以了 |
Select Language