【已解答】腾讯云COS插件安全问题
腾讯云COS插件,配置好后,相关数据可备份至腾讯云相应的桶。但是呢,在宝塔页面板页面进行此插件后 可以浏览到所有文件,并且可以直接删除。此后备份的文件就玩完啦!!
能否加个控制,比如说绑定 MFA 设备或短信进行二次验证后 再执行删除。
这样 即使面板被坏人入侵后,也有最后一层保险,数据还在COS里面。
这个是直接调用腾讯云的接口的,那边没开放的话就没办法做~
一些防挂马、篡改、恶意提权的小防护攻略。
1.网站上线前,对自己的项目用常用的一些工具进行程序漏洞安全扫描,并且做多份备份;
2.为了安全起见,网站后台管理地址经常改,改完做多份纪录保存,并且做好历史修改记录;
3.默认数据库名称要改,能复杂尽量复杂,用好复制粘贴按键;
4.后台启用验证码登录模块,不要怕麻烦,人家弄您网站的人都不嫌麻烦;
5.做好网站防护,比如非法上传文件、会员上传恶意文件的功能等,装好web防火墙;
6.服务器主机的ssh能不开就不能,尽量少使用root用户登录;即使登录也做好登录限制为仅允许自己的ip,高强度复杂的密码是第一必设项;
7.宝塔面板有多个辅助防护插件,例如调用系统防火墙、web防火墙(nginx防火墙/apache防火墙)、php安全防护、防篡改、防入侵等。 堡塔安全赤井秀一 发表于 2022-6-30 21:56
这个是直接调用腾讯云的接口的,那边没开放的话就没办法做~
一些防挂马、篡改、恶意提权的小防护攻略。
咱们这个插件是在咱们的界面进行操作的。比如删除这个按钮,也是在咱们的插件里面。
我的意思是:
安全增强:
点这个删除后,咱们自身进行二次鉴权,如果通过鉴权,再向腾讯COS那边真正的发起删除请求。
二次鉴权可设定为 MFA 设备或短信进行二次验证
就像 新服务器安装了咱们的宝塔后,
进入都会判断是否有登录宝塔账号,如没有,则强行弹出来要求绑定。只有绑定了账号才能使用宝塔的各项服务。
逻辑是一样的。 萧峰 发表于 2022-7-3 12:37
就像 新服务器安装了咱们的宝塔后,
进入都会判断是否有登录宝塔账号,如没有,则强行弹出来要求绑定。只有 ...
后期可以考虑加一下,可以使用堡塔APP做二次验证,堡塔APP支持面板验证码登录,同理这个插件也可以,不过暂时没空改,我先记一下,宝塔币已发送到论坛绑定的堡塔账户中
页:
[1]