V2EX = way to explore V2EX 是一个关于分享和探索的地方
Sign Up Now For Existing Member Sign In
请不要在回答技术问题时复制粘贴 AI 生成的内容
This topic created in 1066 days ago, the information mentioned may be changed or developed.
最近看到不少说自己用宝塔面板被黑的用户,有大佬说当装上宝塔面板那一瞬间,你就是肉鸡了,此话丁真吗? 
我自己的话也是在用宝塔面板,机器用的腾讯云,控制台防火墙只开启了 80,443,和宝塔面板端口这三个端口,其中宝塔面板的端口限制访问来源,来源就是我自己电脑的 IP ,这样的话也避免不了被黑吗?
 | 1 knva May 30, 2023 那你把宝塔面板发给他让他破解一下 |
 | 2 bjzhush May 30, 2023 自己看看宝塔历史漏洞就知道了 |
 | 3 R18 May 30, 2023 所有机器都在用,目前安好。 |
 | 4 ysc3839 May 30, 2023 via Android 对于这种商业软件,本质是信任问题,绝大多数用户不可能拿到完整源代码并仔细检查一遍,所以就看你信不信它的安全性了 |
 | 5 caesar May 30, 2023 关面板 保平台 不过目前为止 我机子还没被黑 |
 | 6 jackmod May 30, 2023 不开端口,而是翻进机器里面用 localhost 访问。 国内不知有没有类似 tunnel 的服务可以隐藏所有端口。 |
 | 7 zergmk2 May 30, 2023 1panel 咋样? |
 | 8 mineralsalt May 30, 2023 所有服务器都在用, 没被黑过, 也没什么特别的安全措施, 就坚持一点, 不用弱密码 |
 | 9 lcy630409 May 30, 2023 bt 面板 可以不开放 web 访问啊 你可以再 ssh 中 输入 bt ,有个选项就是关闭 web 访问,剩下 还被入侵了 我觉得不应该甩锅给 bt |
 | 12 monkey110 May 30, 2023 装的东西越少越安全,有些漏洞不曝光根本不知道,用了就别怕被黑。 |
 | 13 ayconanw May 30, 2023 如果你指的是被宝塔官方偷窥,那估计没办法防止,但也没有切实的证据官方有做出这类行为 如果指的是被其他人黑,那就把安全设置先做好,然后经常关注漏洞消息即可 我服务器上用了很久,也没出过问题 |
 | 14 crazyweeds May 30, 2023  1 生产机器一直最小化,不要偷懒,迟早找你讨债。 |
 | 15 yemoluo May 30, 2023 简单啊,要用的时候再开端口号,不用的时候关闭 |
 | 16 dianso May 30, 2023 1 宝塔的漏洞和后门其实一样 被发现了就是漏洞,然后修复,推送给用户。 |
 | 17 someonedeng May 30, 2023 1 不立危墙之下 |
 | 18 tony1016 May 30, 2023 用 tailscale 访问 |
 | 20 SelectLanguages May 30, 2023 说的好像自己配置比 bt 还安全似的,觉得不安全可以不用,有想要又怕不安全的使用后关闭 web 访问。 |
 | 21 wu529778790 May 30, 2023 不用宝塔不行么,现在有个开源的 1panel 啊 |
 | 22 MIUIOS May 30, 2023 关掉面板入口或者开启 base 认证, 关闭一些没必要的端口, 基本不会被黑,主要还是宝塔喜欢做一些骚操作导致被黑,参考上次的 phpmyadmin |
 | 23 thinkm OP @wu529778790 1panel 体验一言难尽,根本不是 linux 面板,而是阉割版 docker 面板 |
 | 24 tengxunkuku May 30, 2023 via Android 1 如果别人曾经用你的 ip 实施了违法行为,而你刚好实名了宝塔,那么喝茶跑不掉 |
 | 25 Huelse May 30, 2023 无论是数据库还是 ssh 都用密钥,面板用随机强密码,基本无忧 |
 | 26 cctv6 May 30, 2023 3 没有明确的证据说是 bt 有后门,但是不排除可能有某些没有被公开的漏洞。 我是这么认为的,主要宝塔的用户大多数是对 linux 系统不太熟悉的和刚刚接触服务器的用户,这里面安全意识差的人占比不在少数。弱密码甚至无密码暴露端口的,各种没有审计的第三方脚本,这种被黑真的是时间问题。 |
| 27 mineralsalt May 30, 2023 @tengxunkuku #24 你把警察当傻子啊, ipv4 当身份证用么 |
 | 28 kingjpa May 30, 2023 大可不必, 数百万安装量 ,国内占有率第一,而且比其他所有同行之和都要多。 被黑要找到原因,就事论事。bt 本质就是 ptyhon 脚本编写的运维自动化工具,它只能帮你快捷安装环境,但代码安全防火墙这些还的靠自己,别自己上传功能没做好被提权那用什么工具都扯淡。 |
 | 30 tivizi May 30, 2023 可以在服务器上装代理工具,把服务端口通过 HTTPS(443) 暴露出来,其他端口不接受任何流量 https://github.com/jpillora/chisel https://github.com/rkonfj/toh |
 | 31 follow May 30, 2023 需要时打开端口,启动 bt ;不用时关闭端口, |
 | 32 feaul May 30, 2023 之前爆出了好多的漏洞,可以去全球主机论坛看看,之前报的漏洞好多是从这上面爆出来,奈何没有技术,只能依赖于宝塔了,有技术早就不用宝塔了 |
 | 33 Bingchunmoli May 30, 2023 via Android 被黑也很多,有很多低级漏洞,不建议使用,也可以用完关闭 |
 | 34 dayeye2006199 May 30, 2023 via Android 只规定本地访问面板。 SSH 只允许密钥访问。 管理的时候开 SSH 转发端口,访问本地面包 |
 | 35 edk24 May 31, 2023 说到底不是宝塔安不安全, 而是你的安全措施有没有到位; 即便是不用宝塔也需要做的事情 (如果追求安全的话) 1. 关闭 ssh 密码登录, 使用秘钥登录 2. 关闭外网访问, 仅留 80 443 3. 配置一台 vpn 云服务器, 用来 ssh/访问宝塔 要是再加个堡垒机 就更安全了 |
 | 36 lhbc May 31, 2023 via Android 2 不太明白,随便装个 docker + portainer ,不比这好用多了? |
 | 37 rekulas May 31, 2023 很简单,我是直接把宝塔端口加上 token 验证,比如 bt-token: 3a9266809e20ba9221307fc9e0549601 没有 token 一律返回 502 ,再黑的黑客也没办法,只有从其他软件着手破解,但这跟宝塔就无关了,端口安全做好基本稳了 |
 | 38 ClarkAbe May 31, 2023 via Android 你这个问题...不装宝塔面板就行 ( |
 | 39 strong>xyholic May 31, 2023 刚装上最新的可能暂时没问题,漏洞都被修复了,但是保不齐未来再爆 0day ,不安全是持续性的 再差点可能现在也有师傅手里捂着 0day 呢 |
 | 41 heiybb May 31, 2023 外部端口只留 wireguard 然后 all traffic over wireguard |
 | 43 FakerLeung May 31, 2023 @lhbc 主要是针对比如 nginx 配置啊这些,阁下如何应对? |
| 45 lhbc May 31, 2023 @FakerLeung GitHub 托管直接 docker 拉起啊 |
| 46 FakerLeung May 31, 2023 @lhbc #45 没看懂 |
| 47 lhbc May 31, 2023 via Android @FakerLeung 用 git 管理你的 nginx 配置,写个 dockerfile 一键更新 |
| 48 FakerLeung May 31, 2023 @lhbc #47 就是仓库托管 nginx 的 dockerfile ,修改后直接 webhook 或者其他方式通知到机器的 docker 那边自动更新,nginx 的配置直接丢 docker 里面了,只暴露 80,443 |
 | 49 ZhiyuanLin May 31, 2023 面板只开给内网,VPN 访问,就好了。 |
| 50 ZhiyuanLin May 31, 2023 不喜欢 VPN 的可以 TLS Client Cert 认证,没客户端证书过不了 TLS Termination 。 |
 | 51 msmkls May 31, 2023 @ZhiyuanLin 我觉得也是,VPN 或者证书认证安全性会好些 |
 | 52 aaaaaaaaa Jun 2, 2023 via iPhone 楼上说只把面板开放给内网的,是不是忘了宝塔本身就是个贼啊? 忘记上传服务器绑定域名的事了? 忘记通过 webrtc 探测服务器主人 ip 的事了? |
 | 53 qiushile Nov 27, 2024 宝塔的水平应该说超过大多数人手动维护 只要保证比大多数服务器更安全就可以了 |
Select Language