大炮说安全之面板安全

上次更新后面板做了一系列的安全调整，本篇文章将讲解面板中自带的安全配置。
面板版本：正式版7.9.4
操作系统：Debian11
面板Python环境：3.7.9


一、面板设置

1、面板SSL，非必须选项，建议开启面板SSL，具体的操作方式请参考如何申请SSL：B站教程视频-申请SSL
如果开启了SSL后，发现无法打开面板，请到服务器SSH终端里执行下面命令，会取消面板的SSL配置(需要使用Root权限）

1. 删除面板上的SSL配置
   
2. rm -f /www/server/panel/data/ssl.pl && /etc/init.d/bt restart
   
3. 查看默认的面板地址
   
4. bt 14
   

复制代码

2、BasicAuth认证，推荐开启，为面板增加一道安全访问
点击开启BasicAuth，

配置账号和密码

登录面板的时候需要输入正确的BasicAuth认证后，才能登录

如果忘记了BasicAuth账号密码，到服务器SSH终端里使用root权限执行下面的命令关闭：

1. bt  23

复制代码

3、动态口令认证，推荐开启，该功能需要提前安装堡塔APP，详情页面链接：堡塔APP
堡塔APP使用介绍：堡塔APP使用介绍
堡塔APP活动：堡塔APP活动
配置好的界面如下：

如果需要关闭动态口令验证，请到服务器SSH终端里使用rioot权限执行

1. bt 24

复制代码

4、设备访问限制，只有在允许的设备中才能访问面板，可以开启，开启教程开启设备访问限制教程
5、密码复杂度验证，必须开启。
6、绑定域名，推荐绑定，可以参考之前的视频教程面板安全配置视频
7、授权IP，只有授权了的IP才能访问面板，否则无法访问，如果您有 固定的IP建议开启。
8、面板端口，建议修改默认的8888 端口，目前新安装的面板已经是随机端口了。端口范围应是1000---65535内无其他服务使用的端口。
主流云服务器放行端口教程：
华为云放行端口：https://www.bt.cn/bbs/thread-3923-1-1.html
腾讯云放行端口：https://www.bt.cn/bbs/thread-1229-1-1.html
阿里云放行端口：https://www.bt.cn/bbs/thread-2897-1-1.html
如果您的服务器不再这几个服务器厂商中，可以提工单咨询服务器运营商如何放行。
如果您使用的是物理机，可以联系机房或者网络管理员放行您所需的端口
检测端口是否放行的网站：
端口检测网址
9、安全入口，必须开启
10、未认证访问状态，如图，我配置的是403，那么有人恶意访问我的面板，且安全入口未正确，访问返回403，用于混淆恶意访问者的判断，隐藏面板特征的情况

11、密码过期，推荐设置，我设置的是60天更新一次面板密码

12、临时访问授权，非必须情况下不要开启，因为面板也是拥有最高管理员权限的。

面板安全配置先写到这里，会不定期进行更新。