宝塔面板的安全管理指南

宝塔面板作为一种流行的服务器管理工具，提供了一套全面的安全解决方案，帮助管理员轻松地实现对服务器的安全管理。从系统防火墙的配置到SSH访问控制、从端口管理到IP屏蔽规则，宝塔面板使管理员能够在一个集成的界面中管理和配置这些安全特性。本指南将深入探讨宝塔面板的安全功能，并指导如何利用这些功能来增强服务器的安全性。

一、宝塔面板安全管理简介

安全管理是用来保护系统的安全，增强系统防护能力。安全管理可以开启/关闭防火墙、设置SSH开关、禁用PING、放行端口、屏蔽IP等操作。

Windows面板有部分功能未实现，其余部分与Linux面板同步。

二、宝塔面板系统防火墙

点击防火墙开关按钮，即可开启或关闭防火墙。

点击禁ping按钮，即可开启或关闭PING命令。禁用PING命令的主要功能是：为了防止用户频繁PING服务器而导致服务器性能下降。

点击清空按钮，即可清空web日志，日志存放的目录为：/www/wwwlogs。

防火墙规则中可设置端口规则、IP规则、端口转发规则、地区规则。

端口规则有：添加端口规则、导入规则、导出规则。

点击添加端口规则按钮，即可设置端口规则。

根据你的实际情况输入协议、端口、来源、策略、备注，点击提交按钮即可完成端口规则的配置。

• 协议：默认为TCP协议，有TCP、UDP、TCP/UDP协议，根据你的实际情况选择。
• 端口：输入你要设置规则的端口，自定义，端口范围是：0-65535。
• 来源：默认为所有IP，选择有：所有IP、指定IP、指定域名，其中指定域名为企业版专享，如有需求，开通企业版。
• 策略：默认为允许，有允许、拒绝。
• 备注：默认为空，用来注明端口的功能。

端口放行成功后，可以查看防火墙列表查看当前端口的运行情况。

• Centos6使用的是iptables防火墙；
• Centos7使用的是firewall防火墙；
• debian/ubuntu使用的是ufw防火墙。

若是使用的firewall防火墙会直接读取防火墙配置文件，将所有规则显示出来，其他的只会显示面板操作过的规则。

状态说明：

未使用：

1、当前没有服务程序监听此端口！

2、使用此端口的服务程序没有启动！

3、此端口已废弃，若确定端口已废弃，可以直接删除！

外网不通：

1、服务程序未监听外网。

2、防火墙放行未生效，尝试删除并重新添加放行。

3、阿里云/腾讯云/华为云等运营商，安全组的未放行此端口，请在对应运营商控制台放行此端口。

4、若显示外网不同仍能正常访问，那么无需理会。

正常：

1、端口通畅。

2、有服务在使用该端口。

常用端口说明：

• 22 SSH默认端口；
• 80 网站默认端口；
• 443 ssl默认端口；
• 3306 Mysql默认端口；
• 888 phpmyadmin默认端口；
• 20、21、39000-40000 FTP默认端口。

导入规则：点击导入规则按钮，即可将本地规则导入面板中；导出规则：点击导出规则按钮，即可将面板中设置的规则导出到本地。

IP规则有：添加IP规则、导入规则、导出规则。点击添加IP规则按钮，即可设置IP规则。

根据你的实际情况输入来源、策略、备注，点击提交按钮即可完成IP规则的配置。

• 来源：默认为IP，有IP、域名，其中域名为企业版专享，如有需求，开通企业版；
• 策略：默认为屏蔽，有屏蔽、开放
• 备注：默认为空，用来注明该IP规则的作用；
• 导入规则：点击导入规则按钮，即可将本地规则导入面板中；
• 导出规则：点击导出规则按钮，即可将面板中设置的规则导出到本地。

端口转发有：添加端口转发、导入规则、导出规则。点击添加端口转发按钮，即可设置端口转发规则。

根据你的实际情况输入协议、源端口、目标IP、目标端口，点击提交按钮即可完成端口转发的配置。

• 协议：默认为TCP协议，有TCP、UDP、TCP/UDP协议；
• 源端口：输入你需要转发的源端口号，自定义；
• 目标IP：输入你需要转发的目标IP地址，自定义；
• 目标端口：输入你需要转发的目标端口号，自定义；
• 导入规则：点击导入规则按钮，即可将本地规则导入面板中；
• 导出规则：点击导出规则按钮，即可将面板中设置的规则导出到本地。

地区规则有：添加地区规则、导入规则、导出规则。点击添加地区规则按钮，即可配置地区规则。

根据你的实际情况输入地区、策略、端口，点击提交按钮即可完成地区规则的配置。

• 地区：默认为美国，可自定义选择其它国家；
• 策略：默认为屏蔽，有屏蔽、开放；
• 端口：默认为所有端口，有所有端口、指定端口；
• 导入规则：点击导入规则按钮，即可将本地规则导入面板中；
• 导出规则：点击导出规则按钮，即可将面板中设置的规则导出到本地。

三、宝塔面板SSH管理

记录SSH登录的信息，用来设置SSH远程登录规则，进一步保护系统安全。点击SSH开关按钮，可以开启或者关闭SSH登录，关闭SSH登录，就无法远程登录系统。

点击成功或者失败按钮，可查看登录成功或者失败的具体信息。

SSH基础设置管理，可对其中的配置进行修改。

• SSH端口：默认为22，可修改默认端口，修改之前，要检查要修改的端口是否被占用、该端口是否已开放；
• root登录设置：默认为yes - 可密码和密钥登录，有yes - 可密码和密钥登录、no-禁止登录、without-password - 只能密钥登录、forced-commands-only - 只能执行命令四种选项，可自定义修改；
• SSH密码登录：默认是开启的，可关闭，关闭之后不能使用密码登录；
• SSH密钥登录：默认是关闭的，可开启，开启之后可以使用密钥登录，点击下载按钮，可下载密钥到本地；
• SSH登录告警：设置登录告警，在SSH登录异常的时候，能实时推送告警信息。告警通道有：微信公众号、邮箱、钉钉、企业微信、飞书；

密码登录和密钥登录的区别：

• 密码登录：基于密码的登录，需要记住复杂的密码，且如果机器数量太多，难以使用密码进行管理；
• 密钥登录：可以实现免密登录，能对被连接的机器进行批量化处理，减少运维人员的负担。

四、面板日志

面板日志记录了当前面板操作的日志，比如在面板上站点的添加、数据库的添加、还有面板登录记录等，可用于查询是否有人恶意登录和操作。