# 服务器安全配置

> 在宝塔面板集中配置 SSH 端口、密码复杂度、密码长度、SSH 登录告警与防爆破，快速完成服务器安全加固与合规化推荐设置。

# 安全配置

## 功能说明

安全配置页面集中管理服务器的各项安全设置，您可以在此快速配置SSH、密码、面板等安全选项。
![安全配置页面](https://docs.bt.cn/img/security-config-overview.png)

## SSH安全配置

![SSH安全配置](https://docs.bt.cn/img/security-ssh-config.png)

### SSH端口修改

**推荐设置**：使用非标准端口（建议使用高位端口，比如21111）

**操作步骤**：

1. 进入【安全】>【服务器安全】>【安全配置】
2. 找到"SSH端口修改"选项
3. 输入新的端口号（范围：1-65535）
4. 点击【应用】

:::warning 重要提示
- 修改SSH端口前，请确保新端口未被占用
- 修改后请在防火墙中放行新端口
- 建议同时修改安全组规则
:::

### 密码复杂度

**推荐设置**：启用复杂密码策略

**配置说明**：

启用后密码必须同时包含：
- 数字
- 大写字母
- 小写字母  
- 特殊字符

**复杂度等级**：

系统会实时显示密码复杂度等级（1/4 - 4/4），建议设置为最高等级。

### 密码长度限制

**推荐设置**：最小8位，建议16位以上

**操作步骤**：

1. 设置密码最小长度
2. 输入具体位数（建议16位以上）
3. 点击【设置】

### SSH登录告警

**推荐设置**：开启

**功能说明**：

开启后，当有SSH登录行为时，系统会发送告警通知，帮助您及时发现异常登录。

**配置方式**：

1. 切换开关至"配置告警"
2. 根据提示设置告警方式（如邮件、微信等）、发送间隔、发送上限等。
![SSH登录告警配置](https://docs.bt.cn/img/security-ssh-login-alert.png)

### SSH防爆破

**推荐设置**：开启

**功能说明**：

开启后自动拦截SSH暴力破解攻击，防止密码被破解。

**操作步骤**：

1. 切换开关开启SSH防爆破
2. 系统会自动监控并拦截异常登录尝试

## 面板安全配置

![面板安全配置](https://docs.bt.cn/img/security-panel-config.png)

### 面板登录告警

**推荐设置**：开启

**功能说明**：

开启后，当有面板登录行为时发送告警通知。

**配置方式**：

1. 点击【配置告警】
2. 选择告警方式（邮件、微信、钉钉等）
3. 保存配置

### 面板登录动态口令认证

**推荐设置**：开启（增强安全性）

**功能说明**：

启用TOTP动态口令，登录时除密码外还需输入动态验证码，大大增强安全性。

**操作步骤**：

1. 切换开关开启动态口令
2. 使用手机验证器APP（如Google Authenticator、Microsoft Authenticator）扫描二维码
3. 输入验证码完成绑定

:::tip 提示
绑定后请妥善保管密钥或备份二维码，以防手机丢失无法登录。
:::

### 未登录响应状态码

**推荐设置**：404（隐藏面板）

**功能说明**：

设置未登录时访问面板返回的HTTP状态码，可隐藏面板避免被扫描发现。

**可选项**：

- **404 - 页面不存在**：推荐，让扫描工具认为面板不存在
- **其他状态码**：根据需要自定义

### 面板开启SSL

**推荐设置**：开启

**功能说明**：

启用HTTPS加密访问面板，防止登录信息被窃取。

**操作步骤**：

1. 切换开关开启SSL
2. 系统会自动配置证书
3. 启用后使用HTTPS访问面板

:::info 说明
开启SSL后，面板地址会从 `http://` 变为 `https://`，请使用新地址访问。
:::

## root密码管理

![root密码管理](https://docs.bt.cn/img/security-root-password.png)

### root密码设置

**推荐设置**：使用复杂密码或密钥认证

**操作步骤**：

1. 进入root密码设置区域
2. 选择密码策略：
   - **只能密钥登录**：仅允许密钥认证（推荐）
   - **只能密码登录**：仅允许密码认证
   - **可密钥和密码登录**：两种方式都允许（默认）
   - **禁止登录**：禁止root用户登录（最安全）
3. 点击【查看密钥】或【下载密钥】管理SSH密钥

### 安全建议

1. **优先使用密钥认证**：比密码更安全
2. **定期更换密码**：建议每3-6个月更换一次
3. **禁止root直接登录**：使用普通用户登录后su切换
4. **保管好密钥文件**：密钥泄露等同于密码泄露

## 应用配置

完成所有设置后：

1. 检查各项配置是否正确
2. 点击页面底部的【应用】按钮
3. 等待配置生效
4. 返回安全概览查看安全评分变化

:::warning 注意事项
- 修改SSH配置前请确保有其他登录方式，避免无法连接服务器
- 启用动态口令前请先测试，确保可以正常生成验证码
- 建议在维护窗口期间进行安全配置修改
:::

## 常见问题

**Q: 修改SSH端口后无法连接怎么办？**

A: 请检查：
1. 防火墙是否放行新端口
2. 云服务器安全组是否开放新端口
3. 可以通过面板的Web终端登录修复

**Q: 开启SSL后提示证书不受信任？**

A: 这是因为使用了自签名证书，您可以：
1. 信任该证书继续访问
2. 申请正式的SSL证书替换