【已回应】宝塔SS终端带来的安全隐患

有两点安全隐患：
1.进入控制面板后，无需任何安全措施验证，即可使用宝塔终端。2.进入宝塔终端后，根本无需验证ROOT账号密码即可使用。

建议：
宝塔终端使用不要默认直接连接服务器控制台，需要验证root帐号密码后方可使用。这样不仅能最大保证服务器数据安全，也能让使用用户放心。

没钱买专业版，只能每天发现一些问题，提交上来，谁知道什么时候才能凑够积分，体验一个月。

大炮运维V587 · 发表于 2019-8-5 10:30:30

DDOSer 发表于 2019-8-5 09:22
照你这么说，宝塔一旦防御崩溃就是任人宰割呗？我认为，涉及到超级权限的操作都需要设定权限验证。否则一 ...

所以开启了basicauth二次认证了。

IW3C · 发表于 2019-8-5 00:55:16

不赞同楼主意见。
能够进入面板代表已经拥有了最大程度上的执行权限，按照楼主逻辑，假设我不知道root密码，那么我利用计划任务里的执行shell命令功能，执行shell直接更改root密码不就好了。也就是说，此处设置root密码没有任何意义。事实上很多时候我服务器密码忘了，都是从这里改的密码

hxuf520 · 发表于 2019-8-4 22:52:07

领券：https://www.bt.cn/?invite_code=MV9pcHlkeWQ=
0.99 体验一个月专业版

Deviser · 发表于 2019-8-5 09:22:29

IW3C 发表于 2019-8-5 00:55
不赞同楼主意见。
能够进入面板代表已经拥有了最大程度上的执行权限，按照楼主逻辑，假设我不知道root密码 ...

照你这么说，宝塔一旦防御崩溃就是任人宰割呗？我认为，涉及到超级权限的操作都需要设定权限验证。否则一旦被攻破后台或者漏洞进入，整个服务器就给某些人打开了方便之门。

大炮运维V587 · 发表于 2019-8-5 10:32:00

您说的问题我们有考虑过，但是发觉过于繁琐，反而和我们定位的简单高效相违背，因此我们在面板上开启了一个Basicauth的二次验证。

█ 菠萝云-免费装宝塔,4G内存68 █	速智云-高性能高防服务器/五折起	★香港CN2云/站群/高防/特价机★	A4招租，联系qq394030111	【多途云】高防CDN
高防服务器，无视一切流量攻击	+++++高防BGP云4C4G69元+++++	OV/EV SSL证书，可当日签发	【阿里云】宝塔一键部署，5.5折	宝塔一键部署DV,EV,OV,SSL证书
█ 易探云·香港/美国vps仅9元 █	===真高防===CDN99元起\|全球节点	★香港VPS首月免费★续费68元★	【阿里云】2核2G，3M，45.1元/年	在线网站测速、批量PING运维工具