【已解答】腾讯云COS插件安全问题

腾讯云COS插件，配置好后，相关数据可备份至腾讯云相应的桶。
但是呢，在宝塔页面板页面进行此插件后可以浏览到所有文件，并且可以直接删除。此后备份的文件就玩完啦！！

能否加个控制，比如说绑定 MFA 设备或短信进行二次验证后再执行删除。

这样即使面板被坏人入侵后，也有最后一层保险，数据还在COS里面。

堡塔开发wzz · 发表于 2022-6-30 21:56:51

这个是直接调用腾讯云的接口的，那边没开放的话就没办法做~

一些防挂马、篡改、恶意提权的小防护攻略。
1.网站上线前，对自己的项目用常用的一些工具进行程序漏洞安全扫描，并且做多份备份；
2.为了安全起见，网站后台管理地址经常改，改完做多份纪录保存，并且做好历史修改记录；
3.默认数据库名称要改，能复杂尽量复杂，用好复制粘贴按键；
4.后台启用验证码登录模块，不要怕麻烦，人家弄您网站的人都不嫌麻烦；
5.做好网站防护，比如非法上传文件、会员上传恶意文件的功能等，装好web防火墙；
6.服务器主机的ssh能不开就不能，尽量少使用root用户登录；即使登录也做好登录限制为仅允许自己的ip，高强度复杂的密码是第一必设项；
7.宝塔面板有多个辅助防护插件，例如调用系统防火墙、web防火墙（nginx防火墙/apache防火墙）、php安全防护、防篡改、防入侵等。

萧峰 · 发表于 2022-7-2 19:20:54

堡塔安全赤井秀一发表于 2022-6-30 21:56
这个是直接调用腾讯云的接口的，那边没开放的话就没办法做~

一些防挂马、篡改、恶意提权的小防护攻略。

咱们这个插件是在咱们的界面进行操作的。比如删除这个按钮，也是在咱们的插件里面。
我的意思是：

安全增强：
点这个删除后，咱们自身进行二次鉴权，如果通过鉴权，再向腾讯COS那边真正的发起删除请求。

二次鉴权可设定为 MFA 设备或短信进行二次验证

萧峰 · 发表于 2022-7-3 12:37:33

就像新服务器安装了咱们的宝塔后，
进入都会判断是否有登录宝塔账号，如没有，则强行弹出来要求绑定。只有绑定了账号才能使用宝塔的各项服务。
逻辑是一样的。

堡塔开发wzz · 发表于 2022-7-5 09:16:25

萧峰发表于 2022-7-3 12:37
就像新服务器安装了咱们的宝塔后，
进入都会判断是否有登录宝塔账号，如没有，则强行弹出来要求绑定。只有 ...

后期可以考虑加一下，可以使用堡塔APP做二次验证，堡塔APP支持面板验证码登录，同理这个插件也可以，不过暂时没空改，我先记一下，宝塔币已发送到论坛绑定的堡塔账户中

【菠萝云】免费装宝塔,4G内存68	★美国CN2高防服务器★打死退款★	★香港CN2云/站群/高防/特价机★	【滴盾】高防服务器专抗DDOS	【多途云】高防CDN
高防服务器，无视一切流量攻击	SSL证书，防止数据被劫持	OV/EV SSL证书，可当日签发	宝塔一键部署DV,EV,OV,SSL证书	A10招租，联系qq394030111
★易探云.香港/美国/国内/游戏云★	【苍穹云】高性能云服务器 1.2折起	【迅线云盒】内网穿透-固定公网IP	A14招租，联系qq394030111	【恒爱云】香港低至8元1核1G2M