# 宝塔面板安全加固配置指南

> 宝塔面板（BT Panel）与服务器安全加固完整配置指南，覆盖面板端口修改、账号加固、SSH 加固、防火墙、二要素认证、PassKey 与面板安全检测等面板运维高频加固项。

# 宝塔面板安全加固配置

本文将为您介绍如何对宝塔面板和服务器进行安全加固配置，提升系统整体安全性。

## 安全配置入口

点击左侧菜单栏的 **安全** 进入安全管理模块

![安全菜单](https://docs.bt.cn/img/best-practices/security-hardening/ScreenShot_2025-11-08_155149_732.png)

## 安全状态概览

在安全页面可以查看服务器的整体安全信息和状态

![安全状态](https://docs.bt.cn/img/best-practices/security-hardening/image-20251108155312521.png)

## 安全配置

点击 **安全配置** 进入详细配置页面

![安全配置入口](https://docs.bt.cn/img/best-practices/security-hardening/image-20251108155444897.png)

![安全配置页面](https://docs.bt.cn/img/best-practices/security-hardening/image-20251108155521442.png)

## 安全配置功能详解

### SSH 端口修改

**功能说明：**
修改 SSH 服务的默认端口（默认 22 端口），避免攻击者通过默认端口进行恶意扫描和登录尝试。

**使用场景：**
当服务器暴露在公网时，可以通过修改为高位非 22 端口，降低被"端口扫描-暴力登录"类攻击的概率，适用于云服务器、线下物理服务器等所有运行 SSH 服务的设备。

**配置建议：**
- 选择 10000-65535 范围内的端口
- 避免使用常见的服务端口（如 80、443、3306 等）
- 修改后记录新端口号，避免忘记无法登录

### 密码复杂度设置

**功能说明：**
强制要求密码包含数字、大写字母、小写字母、特殊字符中的多种类型，通过提升密码复杂度，增加暴力破解或猜测的难度。

**使用场景：**
适用于对安全性要求较高的系统（如业务系统、数据库、服务器管理账户等），防止因"弱密码"（如简单数字、纯字母密码）被轻易破解，导致账户被盗用。

**配置建议：**
- 要求包含至少 3 种字符类型
- 禁用常见弱密码（如 123456、password 等）
- 定期提醒用户更改密码

### 密码长度限制

**功能说明：**
设置密码的最低长度要求，避免用户设置过短的密码（如 3-5 位），从长度维度提升密码安全性。

**使用场景：**
各类需要账户密码登录的系统均可使用，例如企业办公系统、服务器管理后台、数据库系统等，通过强制长密码减少被暴力破解的风险。

**配置建议：**
- 最低密码长度设置为 8-12 位
- 重要系统建议设置更长的密码要求
- 结合密码复杂度要求使用

### SSH 登录告警

**功能说明：**
当有 SSH 登录行为时，自动发送告警通知（如邮件、短信、平台消息等）。

**使用场景：**
管理员需要实时掌握服务器 SSH 登录动态时，例如重要生产服务器、核心数据库服务器，一旦出现异常登录（如非工作时间登录、异地登录），可及时收到告警并介入排查，防止未授权访问。

**配置建议：**
- 配置多种通知方式（邮件+短信）
- 设置白名单 IP，减少误报
- 记录登录日志便于追溯

### SSH 防暴破

**功能说明：**
开启后会限制 SSH 登录的尝试次数，阻挡攻击者通过"暴力枚举密码"的方式攻破账户。

**使用场景：**
公网环境下的服务器（如暴露在互联网的云服务器）易成为暴力破解的目标，开启该功能可有效拦截此类攻击，保护服务器登录入口的安全。

**配置建议：**
- 设置合理的尝试次数限制（如 5 次）
- 配置锁定时间（如 30 分钟）
- 建立白名单避免误封管理员 IP

### 面板登录告警

**功能说明：**
面板登录时发送告警通知，实时监控面板登录行为。

**使用场景：**
适用于管理核心业务的面板（如服务器管理面板、业务系统管理面板）。当出现异常登录（如非授权登录、非工作时段登录）时，管理员可及时收到告警并介入排查，避免因未授权访问导致数据泄露或系统被篡改。

### 面板登录动态口令认证

**功能说明：**
双因素认证机制，在账号密码基础上增加动态码校验。

**使用场景：**
适用于对安全性要求极高的面板（如涉及金融数据、核心技术机密的管理面板）。

**配置建议：**
- 使用标准的 TOTP 算法
- 配置备用验证码
- 定期备份恢复密钥

### 未登录响应状态码

**功能说明：**
设置未登录访问时的 HTTP 响应状态码。

**使用场景：**
适用于公网可访问的面板。可以隐藏真实的未授权状态，增加攻击者信息收集的难度。

### 面板开启 SSL

**功能说明：**
启用 HTTPS 访问，对面板通信数据进行加密。

**使用场景：**
所有公网暴露的面板均应配置。可防止面板登录凭证、操作指令等数据在传输过程中被窃听、篡改，是保障面板通信安全的基础配置。

**配置建议：**
- 使用有效的 SSL 证书
- 强制 HTTPS 访问
- 定期更新证书

### Root 密码登录设置

**功能说明：**
配置 Root 账户的登录权限，支持"仅密钥登录"、"密码+密钥登录"等多种模式，限制 Root 账户的访问方式。

**使用场景：**
适用于服务器核心账户的权限管理。Root 账户权限极高，通过限制其登录方式（推荐"仅密钥登录"），可降低 Root 密码泄露后被全局控制的风险，保障服务器核心资源的安全。

### Root 密钥设置

**功能说明：**
提供 Root 密钥的查看和下载功能，基于密钥进行身份认证。

**使用场景：**
适用于高安全等级的服务器认证场景。密钥认证比密码认证更安全，可彻底避免暴力破解风险，管理员通过该功能管理 Root 账户密钥，实现安全的身份校验。

## 安全加固建议

### 基础安全配置

1. **修改默认端口**：SSH、面板等服务端口
2. **启用防火墙**：只开放必要的端口
3. **定期更新**：保持系统和软件最新版本
4. **强化密码策略**：复杂度+长度要求

### 高级安全配置

1. **双因素认证**：为关键账户启用 2FA
2. **证书加密**：使用 SSL/TLS 加密通信
3. **访问控制**：IP 白名单和访问限制
4. **日志监控**：启用详细的安全日志记录

### 监控和告警

1. **实时告警**：登录、操作等关键事件告警
2. **定期检查**：安全配置和系统状态检查
3. **备份策略**：重要配置和数据的备份

## 注意事项

1. **配置备份**：修改安全配置前务必备份原配置
2. **测试验证**：配置修改后及时测试功能是否正常
3. **文档记录**：记录所有安全配置变更
4. **权限管理**：严格控制安全配置的修改权限

通过以上安全加固配置，可以显著提升宝塔面板和服务器的安全防护能力，降低安全风险。