我们平时给自己客户建站也非常推举利用宝塔面板,不过由于大多数人都是非做事器运维专业出身,一样平常都是用一条命令安装结束,面板能正常打开就可以了,用的都是宝塔的默认配置。这里并不是说宝塔面板的默认配置有问题,而是由于默认配置都是统一的,例如访问端口都是8888,这样就给有心者降落了破解难度,从而形成较大的安全隐患。
本文就来总结一些宝塔面板大略又常用,并且能极大增强做事器及网站安全性的配置方案。
事变清单概览:
下面逐个解释操作方法。
端口方面
做事器端口说白了便是做事器向外网天下开放的大门,各种要乞降数据都可以通过这些端口进出,开放的端口越多,你的做事器向外的通道就越多,就越不屈安。除了80、443等几个必须开放且不可改变的端口,别的统统端口原则上都建议隐蔽起来,如果必须要开放端口,那么建议端口要改为数值较大的不常用端口,下面大略遍及一下端口知识:
做事器端口范围为:1~65535,1~1024号端口是系统端口,不可随意利用;从1025~65534端口是系统为用户预留的端口,可以利用,而65535号端口为系统保留,不能利用。
也便是说1025~65534是我们可以随意支配的端口号。
一、修正面板默认访问端口;
宝塔面板的访问地址一样平常是:http://+ip地址+冒号+端口号+入口路径,这里就来讲端口号的变动方法。
先确认好要改成哪个端口,假设改为9876,那么须要先到做事器安全组中开放这个端口,否则会导致端口号修正成功后,宝塔面板就打不开了。
安全组端口开放方法:
以阿里云为例,进入做事器掌握台,打开安全组
阿里云安全组
点击手动添加,按图示办法把端口号添加进去:
安全组配置
这样9876端口就放开了。
进入“面板设置”-“面板端口”
面板端口
点击设置,弹出端口号,填入9876,保存即可。
二、SSH默认端口修正
第一步也是要先到安全组开放端口,步骤参考上述方法,
然后进宝塔面板的安全菜单:
SSH端口
在SSH端口中填入端口号,点击变动即可。
三、修正PHPmyadmin默认端口号
PHPmyadmin是PHP项目中最常用的数据库管理工具,宝塔面板里也强烈推举安装利用。宝塔面板为PHPmyadmin设置的默认端口号是888,虽然很吉利,但是随意马虎被渗透工具嗅探到,建议改换。
第一步先到安全组开放端口,步骤参考上述方法;
第二步进入软件商店,找到安装的PHPmyadmin,点击设置
PHPmyadmin软件
在弹出窗中,选择安全选项卡,填入端口号保存即可:
PHPmyadmin端口号
四、关闭所有无用端口
这一步建议到做事器安全组中操作,还是以阿里云做事器为例,前辈入安全组,新增一条安全组规则,按照下图办法添加:
安全组关闭端口号
须要特殊把稳的是优先级这里,要填入一个较大的数字,数字越大优先级越低,也便是把关闭所有端口的规则优先级降为最低,这样你就可以在这条规则存在的条件下,放行别的端口,做到了只开放须要开放的端口效果。
五、修正面板默认账号密码
在面板设置中进行默认的账号密码修正,密码修正为含有数字、大小写字母和分外符号的高强度密码。
面板账号密码
六、禁止ping做事器
Ping是命令行工具的一条命令,客户机会向做事器发出一条要求指令,然后做事器向后返回一串数据,利用客户机吸收到数据的韶光来测出做事器是否连通,以及网络延迟情形。
有一些不法之徒,会利用ping命令定向攻击做事器,事理是利用大量主机同时向你的做事器发出ping命令,这样就会让做事器同时处理大量ping指令而性能枯竭,终极做事器会瘫痪。禁止ping就可以彻底隔绝ping攻击。
禁止ping也可以很大程度隐蔽做事器,防止被某些黑客探测工具扫描,降落被入侵的风险。
宝塔面板禁止ping的方法:
进入安全菜单,启用禁ping即可:
启用禁ping
七、修正安全入口路径
安全路径便是宝塔面板登录地址的路径,上文说到,宝塔面板登录地址形式为:http://+ip地址+端口号+/+安全入口路径,系统会自动天生一个安全路径,但是建议把它修正为更长更安全的路径,修正办法:
在面板设置-安全入口中修正,修正完成后下次登录就须要利用新的登录地址了。
八、启动备份操持任务
定期备份网站源代码和数据库是网站运营中不可短缺的事情,数据无价,做事器并不是绝对安全的,一旦数据丢失,后果不堪设想。
但是每次都手动备份无疑是件痛楚的事情,宝塔面板供应了很多操持任务,可以利用它来实现自动备份。
进入操持任务,不才拉菜单中选择对应任务,末了添加即可。
操持任务
须要把稳的是,实行周期这里会让你选择每次实行备份的韶光,建议安排在深夜或凌晨这种网站访问量最少的时候进行,避免造成做事器额外的运行压力。
九、设置关照
关照可以在做事器有非常情形的时候,自动给你发邮件、钉钉、微信等信息关照你非常情形,开启方法在面板设置-关照设置中,根据自身情形选择哪种关照形式,详细的配置方法在这里有宝塔面板的官方教程,不再赘述。
十、设置文件权限
把网站除了上传文件目录之外的所有目录关闭写入权限,可以很大程度防止病毒和木马的传染。
以WordPress为例,WP的上传文件路径在/wp-content/uploads,以是把除了这个目录之外的所有目录设置为只读权限是很有必要的,操作方法:
鼠标指向要变动权限的文件夹,点击权限按钮
文件权限
在弹窗中取消勾选写入权限:
取消写入权限
以上十个操作是我们每次给客户支配做事器时必做的任务事变,可以大大提高你的做事器安全防护能力。
当然只担保做事器安全还远远不足,网站源代码是否安全稳定也至关主要,无忧速建可视化建站系统负责打磨6年,安全性和访问速率都有保障,值得一试。
