【已回应】宝塔SS终端带来的安全隐患
有两点安全隐患:1.进入控制面板后,无需任何安全措施验证,即可使用宝塔终端。2.进入宝塔终端后,根本无需验证ROOT账号密码即可使用。
建议:
宝塔终端使用不要默认直接连接服务器控制台,需要验证root帐号密码后方可使用。这样不仅能最大保证服务器数据安全,也能让使用用户放心。
没钱买专业版,只能每天发现一些问题,提交上来,谁知道什么时候才能凑够积分,体验一个月。
DDOSer 发表于 2019-8-5 09:22
照你这么说,宝塔一旦防御崩溃就是任人宰割呗?我认为,涉及到超级权限的操作都需要设定权限验证。否则一 ...
所以开启了basicauth二次认证了。 不赞同楼主意见。
能够进入面板代表已经拥有了最大程度上的执行权限,按照楼主逻辑,假设我不知道root密码,那么我利用计划任务里的执行shell命令功能,执行shell直接更改root密码不就好了。也就是说,此处设置root密码没有任何意义。事实上很多时候我服务器密码忘了,都是从这里改的密码 领券:https://www.bt.cn/?invite_code=MV9pcHlkeWQ=
0.99 体验一个月专业版 IW3C 发表于 2019-8-5 00:55
不赞同楼主意见。
能够进入面板代表已经拥有了最大程度上的执行权限,按照楼主逻辑,假设我不知道root密码 ...
照你这么说,宝塔一旦防御崩溃就是任人宰割呗?我认为,涉及到超级权限的操作都需要设定权限验证。否则一旦被攻破后台或者漏洞进入,整个服务器就给某些人打开了方便之门。 您说的问题我们有考虑过,但是发觉过于繁琐,反而和我们定位的简单高效相违背,因此我们在面板上开启了一个Basicauth的二次验证。
页:
[1]