经验总结,宝塔面板安装完必须要做的一些事,可保服务器安全无忧
宝塔面板是目前国内最流行的几个服务器可视化操作面板之一,装机量非常大,极大降低了服务器运维的技术门槛,对小白用户十分友好,简单看下视频教程就能用它搭建出符合需求的企业级服务器运行环境。
我们平时给自己客户建站也非常推荐使用宝塔面板,不过因为大多数人都是非服务器运维专业出身,一般都是用一条命令安装结束,面板能正常打开就可以了,用的都是宝塔的默认配置。这里并不是说宝塔面板的默认配置有问题,而是因为默认配置都是统一的,例如访问端口都是8888,这样就给有心者降低了破解难度,从而形成较大的安全隐患。
本文就来总结一些宝塔面板简单又常用,并且能极大增强服务器及网站安全性的配置方案。
事项清单概览:
修改面板默认访问端口;修改SSH默认访问端口;修改PHPmyadmin默认端口;关闭所有无用端口;修改面板默认账号密码;禁止ping;修改安全入口路径;启用计划任务;设置消息通知;设置文件权限;下面逐个说明操作方法。
端口方面
服务器端口说白了就是服务器向外网世界开放的大门,各种请求和数据都可以通过这些端口进出,开放的端口越多,你的服务器向外的通道就越多,就越不安全。除了80、443等几个必须开放且不可改变的端口,别的一切端口原则上都建议隐藏起来,如果必须要开放端口,那么建议端口要改为数值较大的不常用端口,下面简单普及一下端口知识:
服务器端口范围为:1~65535,1~1024号端口是系统端口,不可随意使用;从1025~65534端口是系统为用户预留的端口,可以使用,而65535号端口为系统保留,不能使用。
也就是说1025~65534是我们可以随意支配的端口号。
一、修改面板默认访问端口;
宝塔面板的访问地址一般是:http://+ip地址+冒号+端口号+入口路径,这里就来讲端口号的更改方法。
先确认好要改成哪个端口,假设改为9876,那么需要先到服务器安全组中开放这个端口,否则会导致端口号修改成功后,宝塔面板就打不开了。
安全组端口开放方法:
以阿里云为例,进入服务器控制台,打开安全组
阿里云安全组
点击手动添加,按图示方式把端口号添加进去:
安全组配置
这样9876端口就放开了。
进入“面板设置”-“面板端口”
面板端口
点击设置,弹出端口号,填入9876,保存即可。
二、SSH默认端口修改
第一步也是要先到安全组开放端口,步骤参考上述方法,
然后进宝塔面板的安全菜单:
SSH端口
在SSH端口中填入端口号,点击更改即可。
三、修改PHPmyadmin默认端口号
PHPmyadmin是PHP项目中最常用的数据库管理工具,宝塔面板里也强烈推荐安装使用。宝塔面板为PHPmyadmin设置的默认端口号是888,虽然很吉利,但是容易被渗透工具嗅探到,建议更换。
第一步先到安全组开放端口,步骤参考上述方法;
第二步进入软件商店,找到安装的PHPmyadmin,点击设置
PHPmyadmin软件
在弹出窗中,选择安全选项卡,填入端口号保存即可:
PHPmyadmin端口号
四、关闭所有无用端口
这一步建议到服务器安全组中操作,还是以阿里云服务器为例,先进入安全组,新增一条安全组规则,按照下图方式添加:
安全组关闭端口号
需要特别注意的是优先级这里,要填入一个较大的数字,数字越大优先级越低,也就是把关闭所有端口的规则优先级降为最低,这样你就可以在这条规则存在的条件下,放行别的端口,做到了只开放需要开放的端口效果。
五、修改面板默认账号密码
在面板设置中进行默认的账号密码修改,密码修改为含有数字、大小写字母和特殊符号的高强度密码。
面板账号密码
六、禁止ping服务器
Ping是命令行工具的一条命令,客户机会向服务器发出一条请求指令,然后服务器向后返回一串数据,利用客户机接收到数据的时间来测出服务器是否连通,以及网络延迟情况。
有一些不法之徒,会利用ping命令定向攻击服务器,原理是利用大量主机同时向你的服务器发出ping命令,这样就会让服务器同时处理大量ping指令而性能枯竭,最终服务器会瘫痪。禁止ping就可以彻底隔绝ping攻击。
禁止ping也可以很大程度隐藏服务器,防止被某些黑客探测工具扫描,降低被入侵的风险。
宝塔面板禁止ping的方法:
进入安全菜单,启用禁ping即可:
启用禁ping
七、修改安全入口路径
安全路径就是宝塔面板登录地址的路径,上文说到,宝塔面板登录地址形式为:http://+ip地址+端口号+/+安全入口路径,系统会自动生成一个安全路径,但是建议把它修改为更长更安全的路径,修改方式:
在面板设置-安全入口中修改,修改完成后下次登录就需要使用新的登录地址了。
八、启动备份计划任务
定期备份网站源代码和数据库是网站运营中不可缺少的工作,数据无价,服务器并不是绝对安全的,一旦数据丢失,后果不堪设想。
但是每次都手动备份无疑是件痛苦的事情,宝塔面板提供了很多计划任务,可以利用它来实现自动备份。
进入计划任务,在下拉菜单中选择对应任务,最后添加即可。
计划任务
需要注意的是,执行周期这里会让你选择每次执行备份的时间,建议安排在深夜或凌晨这种网站访问量最少的时候进行,避免造成服务器额外的运行压力。
九、设置消息通知
消息通知可以在服务器有异常情况的时候,自动给你发邮件、钉钉、微信等信息通知你异常情况,开启方法在面板设置-通知设置中,根据自身情况选择哪种通知形式,具体的配置方法在这里有宝塔面板的官方教程,不再赘述。
十、设置文件权限
把网站除了上传文件目录之外的所有目录关闭写入权限,可以很大程度防止病毒和木马的感染。
以WordPress为例,WP的上传文件路径在/wp-content/uploads,所以把除了这个目录之外的所有目录设置为只读权限是很有必要的,操作方法:
鼠标指向要更改权限的文件夹,点击权限按钮
文件权限
在弹窗中取消勾选写入权限:
取消写入权限
以上十个操作是我们每次给客户部署服务器时必做的任务事项,可以大大提高你的服务器安全防护能力。
当然只保证服务器安全还远远不够,网站源代码是否安全稳定也至关重要,无忧速建可视化建站系统认真打磨6年,安全性和访问速度都有保障,值得一试。
本文系作者 @河马 原创发布在河马博客站点。未经许可,禁止转载。
暂无评论数据