关于阿里云安全中心的漏洞风险提醒说明及处理方式

经过宝塔工程师的测试使用发现
因宝塔的配置文件是放置在宝塔目录而不是常见目录，阿里云可能扫描不完整就会产生误报。
如mysql默认是已开启错误日志的，而没有检测到就会提示高危
如mysql默认root密码是16位的随机小写字母数字组合，依旧提示中危弱口令
如默认没有配置MYSQL_PWD环境变量，仅提醒确保未设置，亦提示中危。
等等

宝塔默认环境均已做过安全处理，所以绝大部分情况是可以直接忽略的。
如有确实存在的漏洞风险，宝塔也会第一时间修复更新、放心使用即可。

如有其他疑问（如漏洞风险提醒），本贴留言即可，会有专人指导回复。

河妖 · 发表于 2021-1-13 11:55:12

以下是各种已知的漏洞风险提示，参考处理即可（持续更新）

面板程序执行下载防火墙的文件忽略即可

QQ图片20210113114807.png

宝塔默认是www用户运行nginx，且不能登陆www用户，忽略即可

大炮运维V587 · 发表于 2021-1-13 21:10:05

大炮运维V587 · 发表于 2021-1-13 21:10:26

宝塔用户_eyeady · 发表于 2021-1-27 11:15:49

大炮运维V587 发表于 2021-1-13 21:10

问一下PAGE_ERR_500_H1是怎么回事呀

大炮运维V587 · 发表于 2021-1-28 09:59:46

宝塔用户_eyeady 发表于 2021-1-27 11:15
问一下PAGE_ERR_500_H1是怎么回事呀

逐个重启下nginx和php试试

大炮运维V587 · 发表于 2021-3-2 17:31:01

这里的bt_safe_warning.zip中的文件解压出来是安全风险扫描的文件，并非是恶意代码
安全监测.png

堡塔开发wzz · 发表于 2021-3-2 21:00:51

堡塔开发wzz · 发表于 2021-8-19 09:52:38

大炮运维V587 · 发表于 2021-9-1 11:51:41

大炮运维V587 · 发表于 2021-9-1 11:53:27

宝塔用户_awfjoa · 发表于 2021-12-12 00:45:33

大炮运维V587 发表于 2021-1-13 21:10

有详细教程吗，试了一晚上了还是无法验证

大炮运维V587 · 发表于 2021-12-23 09:45:10

宝塔用户_awfjoa 发表于 2021-12-12 00:45
有详细教程吗，试了一晚上了还是无法验证

验证什么？

412838966 · 发表于 2023-6-10 02:11:10

问下禁用的函数不生效是咋回事

余说 · 发表于 2023-9-2 18:32:54

腾讯云提醒以下内容，是否正常？

python3.7(2195)
进程所属用户：
0
进程所属用户组：
0
进程文件路径：
/www/server/panel/pyenv/bin/python3.7
进程命令行：
/www/server/panel/pyenv/bin/python3 /www/server/panel/BT-Task
进程启动时间：
2023-09-01 09:35:20

另有见图微信截图_20230902183232.png

【菠萝云】免费装宝塔,4G内存68	★美国CN2高防服务器★打死退款★	★香港CN2云/站群/高防/特价机★	【滴盾】高防服务器专抗DDOS	【多途云】高防CDN
高防服务器，无视一切流量攻击	SSL证书，防止数据被劫持	OV/EV SSL证书，可当日签发	宝塔一键部署DV,EV,OV,SSL证书	A10招租，联系qq394030111
★易探云.香港/美国/国内/游戏云★	【苍穹云】高性能云服务器 1.2折起	【迅线云盒】内网穿透-固定公网IP	高防服务器40核 64G 20M 199/月	【恒爱云】香港低至8元1核1G2M