【教程】宝塔面板登录加固，关闭面板端口，并为面板增...

嘉树

打个广告 Hetzner注册送20欧  https://zhuji.cool/ziyuanfenxiang/hetzner-coupon.html
场景：

1.宝塔面板设置中，如果直接将宝塔面板端口设置为80会与建站的80端口冲突。

2.担心宝塔面板登录页面不够安全，担心面板被扫。

3.想为面板增加二次验证，但不想用后台设置中的2FA谷歌验证器。


本教程可以解决以上三个困扰。


本教程需要用到有：

一个（子）域名（用来绑定宝塔面板）、Cloudflare账号、Nginx。


主要内容：使用80端口绑定宝塔面板登录页面，关闭通过IP端口访问宝塔面板，并为宝塔面板登录入口加入实时邮箱验证码功能。

注：演示所用的宝塔面板版本为7.7。未在最新版本上进行测试，请自行测试。面板端口为默认8888端口。以下操作必须通过ip＋端口访问宝塔面板进行操作。



1.点击添加站点，创建新站点。并在Cloudflare为该域名添加A记录解析。





2.添加反向代理。主机库演示的宝塔面板使用的是默认8888端口，所以目标URL填写http://127.0.0.1:8888，根据自己实际情况设定。



3.反代设置后，访问域名，如果看到以下提示则证明绑定成功，这时候就可以不加端口，直接通过域名访问宝塔面板了。


4.为网站增加源站证书，加密服务器与Cloudflare之间的信息传输（可选，不想添加直接跳过此步骤即可）。
创建证书


下载证书

安装证书

在Cloudflare更改SSL模式为FULL 或者 STRICT
点击规则

创建新规则

ssl模式更改为Full或者Strict

保存部署


5.设置仅允许Cloudflare回源（强烈建议开启，防止网站源站ip被扫）。详细教程请参考https://zhuji.cool/jianzhanbiji/no-iptables-cloudflare.html
打开网站配置文件，输入

1.                      #仅对cdn开放访问
   
2.     if ($http_cfonly != "q()sN6E,k#JfXD(JC"){
   
3.       return 444;
   
4. }

复制代码

请务必将q()sN6E,k#JfXD(JC 替换为你自己设定的字符。建议通过https://zhuji.cool/tool/password.html随机生成。

设置完成后，再次打开域名会显示下图。

进入Cloudflare，设置规则

创建规则


根据实际情况修改Value（值）。

创建完成后，再次访问绑定域名，会发现能正常打开了。

6.关闭通过IP访问面板。
进入面板应用，下载系统防火墙。


修改宝塔端口来源ip，选择指定IP 127.0.0.1。修改完成后将无法通过ip访问宝塔端口。


7.使用Cloudflare的zero trust功能添加登录邮箱验证码功能。

点击应用

创建应用



设置Session时长，如果设置为6小时，那么6小时后需要重新验证。

设置授权邮箱，然后保存即可。

再次访问绑定域名会出现下图，输入邮箱，然后输入获取的验证码即可。


补充：

以上操作完成后，在宝塔面板上用终端连接服务器时，会提示

连接丢失,正在尝试重新连接!

解决方案
1.进入nginx.conf的server{}区域前添加下面配置：

1. map $http_upgrade $connection_upgrade {
   
2.     default upgrade;
   
3.     '' close;}

复制代码

保存后重载Nginx配置。

2. 在反向代理location内添加下面配置：

1. proxy_http_version 1.1;
   
2. proxy_set_header Upgrade $http_upgrade;
   
3. proxy_set_header Connection "upgrade";

复制代码

原文链接 https://zhuji.cool/jianzhanbiji/bt-panel-101.html

雪丫鬟

用宝塔，是嫌自己命太硬吗

嘉树

自顶

超级无敌小马甲

干货贴 回复的人那么少 感谢分享
我已经转发了 留了原始链接

tsdog

家贼难防

mujj

我一般都是宝塔和SSH端口只允许梯子IP访问。

朝花夕拾

Authy其实更方便，设置，手机扫码就好了。

围观者

感谢分享~

虽然不实用，太复杂了，花里胡哨的

嘉树

tsdog 发表于 2023-3-11 22:14
家贼难防

嘉树

tsdog 发表于 2023-3-11 22:14
家贼难防

你的那个图床cdn在国外有时候会连接不上，我拿uptimerobot做了监控，偶尔会连接超时。https://stats.uptimerobot.com/qn2xEc15WP