【教程】宝塔面板登录加固,关闭面板端口,并为面板增…

161次阅读

共计 1990 个字符,预计需要花费 5 分钟才能阅读完成。

打个广告 Hetzner 注册送 20 欧  https://zhuji.cool/ziyuanfenxiang/hetzner-coupon.html
场景:

1. 宝塔面板设置中,如果直接将宝塔面板端口设置为 80 会与建站的 80 端口冲突。

2. 担心宝塔面板登录页面不够安全,担心面板被扫。

3. 想为面板增加二次验证,但不想用后台设置中的 2FA 谷歌验证器。

本教程可以解决以上三个困扰。

本教程需要用到有

一个(子)域名(用来绑定宝塔面板)、Cloudflare 账号、Nginx。

主要内容:使用 80 端口绑定宝塔面板登录页面,关闭通过 IP 端口访问宝塔面板,并为宝塔面板登录入口加入实时邮箱验证码功能。

注:演示所用的宝塔面板版本为 7.7。未在最新版本上进行测试,请自行测试。面板端口为默认 8888 端口。以下操作必须通过 ip+端口访问宝塔面板进行操作。

1. 点击添加站点,创建新站点。并在 Cloudflare 为该域名添加 A 记录解析。

2. 添加反向代理。主机库演示的宝塔面板使用的是默认 8888 端口,所以目标 URL 填写 http://127.0.0.1:8888,根据自己实际情况设定。

3. 反代设置后,访问域名,如果看到以下提示则证明绑定成功,这时候就可以不加端口,直接通过域名访问宝塔面板了。

4. 为网站增加源站证书,加密服务器与 Cloudflare 之间的信息传输(可选,不想添加直接跳过此步骤即可)。
创建证书


下载证书

安装证书

在 Cloudflare 更改 SSL 模式为 FULL 或者 STRICT
点击规则

创建新规则

ssl 模式更改为 Full 或者 Strict

保存部署

5. 设置仅允许 Cloudflare 回源(强烈建议开启,防止网站源站 ip 被扫)。详细教程请参考https://zhuji.cool/jianzhanbiji/no-iptables-cloudflare.html
打开网站配置文件,输入

  1.                      #仅对 cdn 开放访问
  2.     if ($http_cfonly != “q()sN6E,k#JfXD(JC”){
  3.       return 444;
  4. }

复制代码

请务必将 q()sN6E,k#JfXD(JC 替换为你自己设定的字符。建议通过 https://zhuji.cool/tool/password.html 随机生成。

设置完成后,再次打开域名会显示下图。

进入 Cloudflare,设置规则

创建规则


根据实际情况修改 Value(值)。

创建完成后,再次访问绑定域名,会发现能正常打开了。

6. 关闭通过 IP 访问面板。
进入面板应用,下载系统防火墙。


修改宝塔端口来源 ip,选择指定 IP 127.0.0.1。修改完成后将无法通过 ip 访问宝塔端口。

7. 使用 Cloudflare 的 zero trust 功能添加登录邮箱验证码功能。

点击应用

创建应用



设置 Session 时长,如果设置为 6 小时,那么 6 小时后需要重新验证。

设置授权邮箱,然后保存即可。

再次访问绑定域名会出现下图,输入邮箱,然后输入获取的验证码即可。


补充:

以上操作完成后,在宝塔面板上用终端连接服务器时,会提示

连接丢失, 正在尝试重新连接!

解决方案
1. 进入 nginx.conf 的 server{} 区域前添加下面配置:


  1. map $http_upgrade $connection_upgrade {
  2.     default upgrade;
  3.     ” close;}

复制代码

保存后重载 Nginx 配置。

2. 在反向代理 location 内添加下面配置:


  1. proxy_http_version 1.1;
  2. proxy_set_header Upgrade $http_upgrade;
  3. proxy_set_header Connection “upgrade”;

复制代码

原文链接 https://zhuji.cool/jianzhanbiji/bt-panel-101.html

网友回复:

注册 用宝塔,是嫌自己命太硬吗

嘉树 自顶

雪丫鬟 干货贴 回复的人那么少 感谢分享 我已经转发了 留了原始链接

嘉树 家贼难防

超级无敌小马甲 我一般都是宝塔和 SSH 端口只允许梯子 IP 访问。

tsdog Authy 其实更方便,设置,手机扫码就好了。

mujj 感谢分享~ 虽然不实用,太复杂了,花里胡哨的

朝花夕拾

围观者 你的那个图床 cdn 在国外有时候会连接不上,我拿 uptimerobot 做了监控,偶尔会连接超时。https://stats.uptimerobot.com/qn2xEc15WP

注册 在这个场景里,用 zero trust 安全性更高。

注册

嘉树 虽然是技术贴!但是主机镇表示屁用没有。

FAT128 因为源站在国内,所有国外访问有时候就会受到影响

34995549 bt service stop 完

tsdog mark

egge 我已经收藏了

ucpaopao 技术贴

makizhang ip+1

sun9289 给 BT 套个 zero trust = 光皮狗带钢盔

注册 技术贴,支持一下。

正文完