Linux服务器安装宝塔面板后如何进行安全配置

本人服务器配置如下
服务器：阿里云ECS主机 2核4G内存5M带宽
操作系统：CentOS 6.9 64位(Linux)
控制面板：宝塔免费版5.9
运行环境：LNMP（Linux+Nginx1.14+MySQL5.5+PHP5.4）

写下并更新此文的目的：劳资辛苦运作半年的一个网站被后门了！一夜之间网站权重报废，他娘的，我还是太菜了，服务器裸奔了半年都没想着去做安全防范，真是活该啊我(顺祝黑帽dead all family)，所以下死心要把服务器的安全环境搞安全些！分享此文，只希望跟我一样的菜鸟一定要吸取我的教训，重视安全与漏洞，让那些黑帽和hacker吃屎去！

安全配置开始！

一：阿里云平台内的安全设置

1.安骑士

基础版：免费，能检测后门及网站漏洞并提醒，不能隔离后门文件和修复漏洞，也不能检测端口
企业版：收费，612元/台/年，能查后门/查漏洞/检测端口，并且给你自动修正好
所以，如果站点很重要，最好买企业版

2.web应用防火墙

无试用无免费，贵，若网站重要，并且流量不少，建议购买！
普通的小企业，可不用购买，安装第三方安全软件补充
(我还是比较喜欢阿里云的应用防火墙)

3.端口开放范围以及禁止开启

• 21端口：如果你的站点不需要经常传文件，可以选择关闭21端口，因为其实在宝塔网页面板上也可以实现文件传输，虽然没有FTP软件那么丰富的功能，但是基础的够用了，黑客就没办法通过21端口的FTP暴力破解了；如果你需要经常使用这个端口，建议只开放给你自己经常使用的IP，原理类似白名单。
• 远程端口：这个端口因人而异，有些人喜欢888，有些人喜欢8888等自定义的端口数值，如果有使用远程端口，建议也给这些端口使用白名单开放的方式(如果你的IP是动态的，那么只能全部开放，要么就是关闭这个端口，等需要远程了，再开放！)

注：如果你是其他的云，比如百度云、华为云、腾讯云、西部数码等等，他们都有相对应的自家安全配套软件，自己去琢磨怎么安全配置吧，思路一样就是；如果你的主机是在那些小一些的平台或者服务商买的，那么你基本不用看这一步骤，因为人家运维自己会弄好的；如果你是虚拟空间，不好意思，随缘吧…

二：服务器本身的安全配置

1.宝塔控制面板的设置

①封禁PHP：选择要禁止PHP的网站-设置-配置文件，找到

#PHP-INFO-START  PHP引用配置，可以注释或修改
include enable-php-54.conf;
#PHP-INFO-END

然后注释或者删除include enable-php-54.conf;这一段(PHP版本每个人都不一样，不要在意)

• 静态页面网站，比如织梦，在不需要操作后台的时候，可以封禁PHP，需要开后台的时候，再开PHP，如果网站有站内搜索功能，那是不能禁掉PHP的
• 动态页面网站，比如PHPCMS或者thinkphp等，就忽略这一步骤，是不能禁止PHP的

②SSH端口更改：

SSH端口是进入服务器Linux系统的重要通道，默认是22端口，如果你的端口没改，假设你的服务器账号密码被攻破，那么玩死服务器易如反掌，所以更改下SSH端口非常有必要，建议改成高数值端口(10000~65535)，
可以在【安全-SSH端口】处修改，修改后重启服务器生效；
也可以直接在Linux里改，参考 https://help.aliyun.com/knowledge_detail/41212.html?spm=5176.11065259.1996646101

③SSH关闭：

如上面所述，SSH很重要，但是一般也是用于基础环境搭建或者系统配置上面，平常运行基本用不到，那么就关掉这个SSH！在【安全-启用SSH】给关了，然后重启服务器，给黑客增加了一个门槛！

④面板端口/面板域名绑定/面板用户名和密码

宝塔默认面板访问端口是8888，改了，也是建议改成高数值端口；
域名绑定也建议改成自己的域名绑定，这样就不能用IP访问面板了；
用户名和密码这都不用说，是基本操作了，建议改复杂些，密码我就喜欢使用20位复合密码，给暴力破解多个障碍！

⑤启用禁PING：

这个功能要选择性使用，如果你的网站有优化趋向，建议不要打开(虽然禁ping不是很影响优化)，如果你的网站更趋向于选择安全，那就关了吧，省的网站被人扫！

⑥宝塔的Nginx防御管理：

【软件管理-运行环境-Nginx-设置-过滤器】，打开，建议勾选URL过滤/防CC攻击/记录防御信息，CC攻击触发频率(次)改为60，CC攻击触发周期(秒)改为60，60秒内访问你的网站60次，可以扔进黑名单了！

⑦宝塔自带网站防火墙：

付费，你可以买单独Nginx版，19元/月；
也可以买全套永久专业版1388元，相关设置参考 https://www.bt.cn/bbs/thread-13647-1-1.html

⑧防止恶意解析

这部设置是为了防止那些故意或无意，我们的服务器IP被其他域名解析指向，对于一个服务器只有一个站，并且重视优化的网站是很严重的伤害，我们可以宝塔面板设置禁止这些做法
【网站】>【默认站点】>选择一个你没用的站点
然后在【配置文件】中加入return 502;

这样有人如果恶意解析至我们的服务器IP，就算是访问了，也是返回错误！

2.安装安全软件

市面上主流的有安全狗、悬镜、云锁、D盾
经过一番折腾，放弃悬镜和D盾，更倾向于使用云锁，其次是安全狗

• 云锁：兼容性最高，当然也挺多功能要钱！不过基础功能基本能满足需求了！
• 安全狗：安装过程不顺畅，出现了对Nginx不友好问题，也是因为宝塔本身这个模块的问题，其他都OK，运行都顺利，如果要求不高，可以使用安全狗
• 悬镜：服务器端好不容易安装好了(对于Nginx还是不友好，但这好像是因为宝塔的问题)，然后客户端最坑了，登陆好几次登陆不上去，好不容易登陆了吧，服务器死活添加不上去！明明在服务端已经安装好了，还重装了好几次，最终放弃！
• D盾：不支持Linux，只支持Win，所以放弃；

三：网站本身的漏洞修复

不管是什么平台或者安全软件，一般都会提供web应用防卫服务的，阿里云的web应用防护、云锁的网站漏洞防护、安全狗的网站卫士等，都是这个道理，并且这种服务一般都是要收费的，并且费用也不是那么便宜，当然也有基础版的，只能防卫初级的！

如果没钱，那么你只能自己去修复这些漏洞了，下面提供部分站点系统漏洞修复方案，不定时更新！

• 织梦DEDECMS系统的安全优化设置及漏洞修复大全