宝塔面板安全的配置与建议

之前的文章中，有提到宝塔插件的设置，本文的内容与宝塔安全相关的插件配合使用，可以进一步提高安全度

正文

下文是目前宝塔支持安全设置，需操作的项目，同时要配合上面文章卡片链接的文章内容配合(主要为安全插件设置)

服务器安全组

询问服务器运营方，只放行使用中的端口，推荐以下规则

TCP放行：80(http)；443(https)；面板端口；SSH远程服务端口(尽量修改为非22端口)；FTP协议默认端口(尽量修改为非21端口，如未使用该服务，直接关闭)；phpMyAdmin端口(尽量修改为非888端口，或者直接关闭该端口并通过面板访问)；FTP被动模式端口范围(39000-40000，如未使用该服务，直接关闭)

UDP禁止：只建站时，通常无需开启

宝塔面板安全入口

点击安全入口，输入自己记得住的安全入口提交

在面板设置中，开启密码复杂度验证，用于提醒自己密码不够复杂

面板账号密码

在面板设置中，找到面板账号和面板密码，分别点击它们的设置

分别设置账号密码，建议至少使用三种组合的账号密码，当然自己记不住的密码最好，记不住的密码可以使用以下工具记录

未认证响应状态

在面板设置中点击未响应状态，选择一个非默认的状态码并提交保存？这样做的目的是隐藏面板特征，避免因面板0day漏洞而导致的面板被攻破

面板BasicAuth认证

在面板设置中，开启BasicAuth认证

设置用户名和密码

设置后，当打开面板网址时，会登陆弹窗，如下图。这个弹窗可以防止面板被扫描发现，以及多一层账号密码保护。

关闭PING

关闭ping，不影响网站使用，还可以避免被扫描

修改SSH设置

远程SSH视情况关闭，如不关闭，建议进行以下设置

关闭SSH密码登录，开启密钥登录

SSH端口改为非22端口，端口范围1-65535，其中未占用的端口，注意服务器安全组设置

root登录改为只能密钥

可查看密钥

SSH远程工具需依据宝塔修改而修改

修改SSH端口后要修改Fail2ban防爆破配置，此插件在此文章说明过：https://wxsnote.cn/360.html

修改FTP端口

修改FTP端口，修改为非21端口，若不使用该服务，请关闭

修改FTP端口后要修改Fail2ban防爆破配置，此插件在此文章说明过：https://wxsnote.cn/360.html

修改phpmyadmin配置

关闭phpmyadmin公共访问，安全端口规则和服务器安全组都可以把888端口封了

PHP安装防跨站扩展

在每个PHP中安装bt_safe扩展，原因看扩展说明

告警通知

选择一个自己喜欢的模块

点击设置或者编辑，会跳出配置页面，下面有设置教程

添加SSH和面板的登录告警，有人登录成功或失败时，会通过的选择的方式通知你

其他安全设置