宝塔官方在宝塔论坛发布的《【置顶】关于宝塔安全漏洞的声明》,经过仔细阅读,老刘这里建议针对性处理一下。宝塔官方公告原文链接 https://www.bt.cn/bbs/thread-61706-1-1.html
首先,从上次(4个月前)数据库漏洞(参见《宝塔Linux面板7.4.2和Windows面板6.8版本存安全隐患需升级》)以来,宝塔强制要求绑定手机号。然而这次并没有大范围短信通知,可见该漏洞影响不大;通过官方公告仅 Nginx 1.8 版本用户收到影响,而该版本为很早以前,甚至 Nginx 官方都停更的版本,受众范围极小。
一个及时披露且修补漏洞(提供解决方案)的公司老刘博客还是比较相信的,参见 WordPress 版本漏洞改进更新、微软漏洞补丁更新。用的人越多,发现漏洞越快,纠正就越快。而本次 Nginx 1.8 漏洞问题,即便你不用宝塔面板,仍旧也是有漏洞的。所以,担心有问题的小伙伴可参加下方内容,加强安全使用宝塔控制面板!
服务器安全使用的好习惯是每个人应该做的,下面就来讲几个宝塔安全使用方案,或者说是习惯。下面就懒得截图了,就在宝塔设置里面:
1,修改宝塔面板别名,尽量避免宝塔、服务器等容易被检索的关键词,防止被搜索到,用于隐藏面板;
2,修改默认 8888 宝塔面板端口,这个不修改面板也会强制无法关闭的提醒你;
3,宝塔安全入口,默认自带的挺安全,很多人记不住会给它取消掉,记得加回去;
4,添加 BasicAuth 认证,在原有面板登录验证基础上再加一层用户密码验证,防止面板被扫描发现;
5,[慎用]宝塔授权 IP,该功能虽然安全,但是很多小伙伴没有固定 IP,一旦重启光猫或者路由,将会改变当前 IP,导致无法进入,需要 ssh 解除。可以考虑绑定多个授权IP,其中建议包含其他服务器 IP,可以远程通过 Windows 服务器来进行控制面板;
6,停止使用 Nginx 1.8 版本,升级到 1.18.1 稳定版跟 1.19.6 开发版;
7,如果你还是非常担心和害怕,等所有环境调试好后,通过 SSH 输入bt执行2选项(输入2回车即可)停止宝塔面板服务(不影响网站运行)。等需要用的时候再输入bt执行3选项(输入3回车即可)启动宝塔面板服务。