京东云服务器使用宝塔面板搭建网站需要注意哪些安全设置？-CLOUD技术笔记

在京东云服务器上使用宝塔面板搭建网站时，为了保障服务器和网站的安全，必须进行一系列安全设置。以下是关键的安全建议和操作步骤：

修改默认SSH端口
- 默认SSH端口为22，容易被暴力破解。
- 修改方法：编辑 /etc/ssh/sshd_config，将 Port 22 改为其他端口（如 Port 22222），然后重启SSH服务。
- 注意：修改前确保新端口已在京东云安全组中放行。
禁用root直接登录
- 编辑 /etc/ssh/sshd_config，设置：
```
PermitRootLogin no
```
- 创建普通用户并赋予sudo权限，通过该用户登录后再切换到root。
启用密钥登录，禁用密码登录（可选但推荐）
- 使用SSH密钥对认证，提升安全性。
- 设置后关闭密码登录：
```
PasswordAuthentication no
```

更新系统与软件包

yum update -y    # CentOS
apt update && apt upgrade -y    # Ubuntu/Debian

修改宝塔默认端口
- 宝塔默认端口为8888，易被扫描。
- 在面板「安全」→「修改面板端口」中更改为非常见端口（如8675）。
- 同时在京东云安全组中开放新端口。
设置强密码 + 绑定IP访问限制
- 使用高强度密码（大小写+数字+符号，12位以上）。
- 在宝塔「安全」→「IP访问限制」中，只允许你自己的公网IP访问面板。
开启宝塔防火墙（或使用系统防火墙）
- 安装宝塔自带的“防火墙”插件，限制违规访问。
- 或使用 ufw / firewalld 配置系统级防火墙。
定期更新宝塔面板
- 登录面板后及时升级到最新稳定版本，修复已知漏洞。
关闭不必要的面板入口
- 禁用未使用的FTP、数据库远程访问等功能。

使用HTTPS加密
- 在宝塔中为网站申请免费SSL证书（Let’s Encrypt）。
- 强制HTTP跳转HTTPS，防止中间人攻击。
文件权限设置
- 网站根目录权限建议设为 755，文件为 644。
- 上传目录（如uploads）可设为 755，但避免执行PHP脚本（可通过Nginx配置禁止）。
禁止敏感目录执行脚本
- 在Nginx/Apache配置中，禁止上传目录执行PHP：
```
location ~* ^/uploads/.*.(php|php5)$ {
    deny all;
}
```
隐藏PHP版本信息
- 修改 php.ini：
```
expose_php = Off
```
防跨站攻击（XSS/CSRF）
- 启用PHP的 open_basedir 限制。
- 对用户输入进行严格过滤和转义。

在京东云控制台中配置安全组规则，最小化开放端口：

❗ 切勿开放22、3306、8888等默认端口给0.0.0.0/0！

定期备份
- 使用宝塔的自动备份功能，将网站和数据库备份到本地或其他存储。
安装fail2ban（防暴力破解）
```
yum install fail2ban -y    # CentOS
apt install fail2ban -y    # Debian/Ubuntu
```
- 配置监控SSH、宝塔登录等日志，自动封禁异常IP。
监控系统日志
- 定期查看 /www/wwwlogs/ 下的网站访问日志和错误日志，发现可疑请求。
关闭不需要的服务
- 如未使用FTP、MongoDB、Redis等，建议卸载或停止相关服务。
定期扫描木马和后门
- 使用宝塔的“木马查杀”功能或第三方工具（如rkhunter、chkrootkit）。

✅ 最终目标：让攻击者无法轻易扫描到你的管理端口，即使扫描到也无法登录，从而大幅提升服务器安全性。

如需进一步自动化防护，可考虑接入WAF（Web应用防火墙）或使用云厂商提供的安全服务。