宝塔面板加固插件

宝塔面板

类型：服务器管理面板

简介：基于Linux和Windows系统的网页控制面板，主要用于服务器管理、网站建设与运维

百科词条 访问网站

服务器存储了大量的敏感数据，包括客户信息、公司财务信息或者是个人隐私，需要一个工具来帮助我防止未经授权的访问和数据泄露。宝塔面板系统加固插件可以帮助我们加固系统的环境变量，防止系统环境变量和用户环境变量被篡改。此外，我们还可以使用端口防扫描功能来防止我们的系统被黑客恶意扫描。

一、宝塔面板加固插件功能介绍

宝塔面板加固插件插件共有五项功能项，分别为防护配置、等保加固、日志审计、操作日志、端口防扫描这五大项，可以精准保护服务器的重要文件、进程、计划任务等重要信息、确保系统不会因各种非法入侵导致系统被破坏或数据篡改、或因中挖矿木马导致系统运行异常。

二、宝塔面板加固插件插件安装方法

软件商店—-专业版应用点击购买安装即可，安装后开启防护界面如下：

三、宝塔面板加固插件详细功能介绍

（一）防护配置

1、服务加固

主要作用于保护/etc/init.d及/etc/systemd目录，作用类似家用电脑的防软件开机自启功能，即使服务器遭受入侵也可以防止软件被添加到服务器自启列表中，并确保当前的软件服务列表正常，不会遭到破坏。

类型一、只读型

使用场景、不允许任何人任何进程进行修改、删除、创建，只能读取这个服务的配置。

示例、不允许任何服务对我的 /www/server/nginx/sbin/目录下的nginx服务脚本进行修改、删除、创建，就可以这样添加。

类型二、追加型

使用场景、可以针对当前的服务进行修改，但是不能删除或者修改之前的配置内容。

使用推荐、使用默认的规则，以只读的方式使用操作系统中的配置。

测试环节

touch /etc/init.d/btaaa

2、环境变量加固

保护常见的系统环境变量，不被人恶意修改、新增、删除等操作，分有只读和追加这两种类型。

3、用户加固

主要是保护用户账号密码的安全性，包含有防护新增、删除用户、修改当前用户的密码等。

使用场景、开启后，无法新增、删除用户、修改用户的密码等操作，可以防止黑客或者木马程序生成新的用户，方便黑客或者木马登录服务器、运行特殊程序等。

使用推荐、使用默认的规则，以只读的模式访问操作系统里用户管理的文件。

4、关键目录加固

保护系统关键文件不被修改或者替换，可自定义目录。

使用场景、开启后，添加的关键目录无法被修改、新增、删除等操作，防止黑客或者木马程序修改系统或者自定义的关键目录中的文件被修改。

使用推荐、使用默认规则，以只读的模式访问关键目录。

5、计划任务加固

保护计划任务不被篡改、新增，开启后无法修改、删除、新增计划任务。

【使用场景】开启后，无法新增、修改、删除当前的计划任务，可以防止黑客或者病毒生成计划任务获取有价值的信息。

【使用推荐】使用默认的规则，当有需要添加计划任务的时候，手动关闭计划任务防护，待添加完后在开启。

6、SSH服务加固

保护SSH服务不被暴力破解，记录登录账号、IP、登录状态（失败/成功），登录时间。

使用场景、在触发到SSH加固策略后，会将对应的IP进行封锁一段时间（跟设置的阈值有关，默认3600秒），开启后可以防止暴力破解服务器SSH远程账号的密码。

使用推荐、使用默认规则，或者调整SSH加固策略符合自己的使用场景。

7、异常进程监控

监控服务器进程列表，如果发现异常进程会立即结束，常用指数 5颗星。

使用场景、开启后会监控服务器中的异常监控，凡不再白名单中的进程，会被结束，防止黑客或者挖矿病毒启动一些进程，导致服务器资源飙升。

使用推荐、使用默认规则，如果遇到有使用到的进程，请参考FAQ中的问题2处理。

（二）等保加固

1、身份鉴别

主要针对密码配置信息的管理，内容包括有五个方面，分别是登录用户的密码过期时间、密码重试次数、密码最小长度、密码复杂度、强制root用户使用复杂密码；

高级设置中密码包含的数字、大小写字符、特殊符号，与旧密码不同字符数、重复字符最大次数、允许最大字符序列长度、最大同类联系重复字数、检测密码中是否包含用户名等，开启后会强制按照等保要求使用登录账号的密码相关配置信息。

2、访问控制

包含了SSH基础配置，文件默认权限、关键文件权限、用户审计、安全增强SELinux。

3、入侵防范

功能包含系统防火墙、WAF防火墙、Linux服务；

开启该功能可以从操作系统防火墙（Firewalld/Iptables/UFW等）查看监听的地址、监听端口、进程ID、进程路径、是否运行外网访问等参数查看程序使用情况；Linux服务的服务名、服务状态等。

4、恶意代码防范

如果自己安装了主流的杀毒软件，可以在此检测到。

5、资源控制

有两项功能、一是允许或者禁止某个IP进行SSH访问，二是ssh超时时间配置。

使用场景、可以使得某个IP（段）允许或者禁止使用SSH远程连接到本服务器。

6、日志审计

极其丰富的日志审计模块，在这里，可以看到：

7、端口防扫描

界面展示

四、开启后的一些问题

1、开启了系统加固，无法进行Git或者SVN提交代码了怎么办？

答:可以在防护配置—异常进程监控中配置进程白名单

2、在命令行运行命令或者安装软件的时候，提示运行失败或者安装失败怎么办？

答、如果是运行命令，可以把对应的运行命令放到异常进程监控白名单中，安装软件需要关闭服务加固、环境变量加固、关键目录加固，记得在安装完之后，把这些服务再开起来