【已回应】宝塔SS终端带来的安全隐患

有两点安全隐患：
1.进入控制面板后，无需任何安全措施验证，即可使用宝塔终端。2.进入宝塔终端后，根本无需验证ROOT账号密码即可使用。

建议：
宝塔终端使用不要默认直接连接服务器控制台，需要验证root帐号密码后方可使用。这样不仅能最大保证服务器数据安全，也能让使用用户放心。

没钱买专业版，只能每天发现一些问题，提交上来，谁知道什么时候才能凑够积分，体验一个月。

大炮运维V587 · 发表于 2019-8-5 10:30:30

DDOSer 发表于 2019-8-5 09:22
照你这么说，宝塔一旦防御崩溃就是任人宰割呗？我认为，涉及到超级权限的操作都需要设定权限验证。否则一 ...

所以开启了basicauth二次认证了。

IW3C · 发表于 2019-8-5 00:55:16

不赞同楼主意见。
能够进入面板代表已经拥有了最大程度上的执行权限，按照楼主逻辑，假设我不知道root密码，那么我利用计划任务里的执行shell命令功能，执行shell直接更改root密码不就好了。也就是说，此处设置root密码没有任何意义。事实上很多时候我服务器密码忘了，都是从这里改的密码

hxuf520 · 发表于 2019-8-4 22:52:07

领券：https://www.bt.cn/?invite_code=MV9pcHlkeWQ=
0.99 体验一个月专业版

Deviser · 发表于 2019-8-5 09:22:29

IW3C 发表于 2019-8-5 00:55
不赞同楼主意见。
能够进入面板代表已经拥有了最大程度上的执行权限，按照楼主逻辑，假设我不知道root密码 ...

照你这么说，宝塔一旦防御崩溃就是任人宰割呗？我认为，涉及到超级权限的操作都需要设定权限验证。否则一旦被攻破后台或者漏洞进入，整个服务器就给某些人打开了方便之门。

大炮运维V587 · 发表于 2019-8-5 10:32:00

您说的问题我们有考虑过，但是发觉过于繁琐，反而和我们定位的简单高效相违背，因此我们在面板上开启了一个Basicauth的二次验证。

【菠萝云】免费装宝塔,4G内存68	★美国CN2高防服务器★打死退款★	★香港CN2云/站群/高防/特价机★	【滴盾】高防服务器专抗DDOS	【多途云】高防CDN
高防服务器，无视一切流量攻击	SSL证书，防止数据被劫持	OV/EV SSL证书，可当日签发	宝塔一键部署DV,EV,OV,SSL证书	A10招租，联系qq394030111
★易探云.香港/美国/国内/游戏云★	【苍穹云】高性能云服务器 1.2折起	【迅线云盒】内网穿透-固定公网IP	高防服务器40核 64G 20M 199/月	【恒爱云】香港低至8元1核1G2M