全球主机交流论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

CeraNetworks网络延迟测速工具IP归属甄别会员请立即修改密码
查看: 1929|回复: 22

【教程】关于宝塔的个人安全防护措施

[复制链接]
发表于 2020-12-28 11:44:11 | 显示全部楼层 |阅读模式
本帖最后由 nnt 于 2020-12-28 11:46 编辑

看到坛子里总是有MJJ担心宝塔的安全性,实际上把,咱不能保证他绝对安全,但是咱可以把他藏起来呀(隐藏指纹)。

首先,修改服务器的默认网站(不修改的话直接访问IP会留下特征)



其次,修改宝塔默认的8888端口,宝塔的登录页面算是最大的特征...

然后就是在宝塔设置里加上BasicAuth认证,这样的话,扫描器扫出来的数据也只有:

HTTP/1.1 400 Bad Request
Connection: close
Content-length: 0

这个是很常见的BasicAuth认证响应,不用担心被当做指纹(当然记得修改端口)。

不仅如此,宝塔端口下所有url都需要先认证才能访问,也就是即使漏洞存在,如果利用方法是要访问到宝塔的面板,那么BasicAuth同样是可以防住的。

讲得不一定全,如有遗漏欢迎补充

我知道也许会有要抬杠的说了,你这显然治标不治本啊...

任何产品就没有绝对的安全,而且又不是我们写的,不会改躲还不行嘛

绝大多数的攻击都是扫描器批量扫的,把指纹擦干净攻击还是会少很多的...
发表于 2020-12-28 11:49:49 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
发表于 2020-12-28 11:47:21 | 显示全部楼层
本帖最后由 传说中的猫 于 2020-12-28 11:48 编辑

https://www.bt.cn/bbs/thread-61706-1-1.html

关于宝塔安全漏洞的声明

QQ图片20201228114812.png (86.28 KB, 下载次数: 1)
发表于 2020-12-28 11:45:12 | 显示全部楼层
学习了 ZSBDZSBD
发表于 2020-12-28 11:45:49 | 显示全部楼层
这个认同 肯定都是批量扫的,除非指定要搞你 。这个应该能防住不少批量扫的
发表于 2020-12-28 11:46:01 来自手机 | 显示全部楼层
谢谢楼主教程 zsbd
发表于 2020-12-28 11:46:37 | 显示全部楼层
域名反代8888+BasicAuth+防火墙拒绝8888。能破我也认了!
发表于 2020-12-28 11:48:24 | 显示全部楼层
Sooele 发表于 2020-12-28 11:46
域名反代8888+BasicAuth+防火墙拒绝8888。能破我也认了!

我估计是不用登陆bt就能用的洞,BasicAuth应该可以防吧
Fei 该用户已被删除
发表于 2020-12-28 11:48:58 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
发表于 2020-12-28 11:49:06 来自手机 | 显示全部楼层
8888不喜欢,一开始就改别的端口了
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|全球主机交流论坛

GMT+8, 2024-3-29 10:13 , Processed in 0.098532 second(s), 13 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表