当前位置:论坛首页 > 新功能建议 > Linux面板

【已回应】宝塔SS终端带来的安全隐患

发表在 新功能建议2019-8-4 09:55 [复制链接] 5 5729

有两点安全隐患:
1.进入控制面板后,无需任何安全措施验证,即可使用宝塔终端。2.进入宝塔终端后,根本无需验证ROOT账号密码即可使用。

建议:
宝塔终端使用不要默认直接连接服务器控制台,需要验证root帐号密码后方可使用。这样不仅能最大保证服务器数据安全,也能让使用用户放心。


没钱买专业版,只能每天发现一些问题,提交上来,谁知道什么时候才能凑够积分,体验一个月。
使用道具 举报 只看该作者 回复
发表于 2019-8-5 10:30:30 | 显示全部楼层
DDOSer 发表于 2019-8-5 09:22
照你这么说,宝塔一旦防御崩溃就是任人宰割呗?我认为,涉及到超级权限的操作都需要设定权限验证。否则一 ...

所以开启了basicauth二次认证了。
使用道具 举报 回复 支持 1 反对 0
发表于 2019-8-5 00:55:16 | 显示全部楼层
不赞同楼主意见。
能够进入面板代表已经拥有了最大程度上的执行权限,按照楼主逻辑,假设我不知道root密码,那么我利用计划任务里的执行shell命令功能,执行shell直接更改root密码不就好了。也就是说,此处设置root密码没有任何意义。事实上很多时候我服务器密码忘了,都是从这里改的密码
使用道具 举报 回复 支持 1 反对 0
发表于 2019-8-4 22:52:07 | 显示全部楼层
领券:https://www.bt.cn/?invite_code=MV9pcHlkeWQ=
0.99 体验一个月专业版
使用道具 举报 回复 支持 反对
发表于 2019-8-5 09:22:29 | 显示全部楼层
IW3C 发表于 2019-8-5 00:55
不赞同楼主意见。
能够进入面板代表已经拥有了最大程度上的执行权限,按照楼主逻辑,假设我不知道root密码 ...

照你这么说,宝塔一旦防御崩溃就是任人宰割呗?我认为,涉及到超级权限的操作都需要设定权限验证。否则一旦被攻破后台或者漏洞进入,整个服务器就给某些人打开了方便之门。
使用道具 举报 回复 支持 反对
发表于 2019-8-5 10:32:00 | 显示全部楼层
您说的问题我们有考虑过,但是发觉过于繁琐,反而和我们定位的简单高效相违背,因此我们在面板上开启了一个Basicauth的二次验证。
使用道具 举报 回复 支持 反对
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

普通问题处理

论坛响应时间:72小时

问题处理方式:排队(仅解答)

工作时间:白班:9:00 - 18:00

紧急运维服务

响应时间:3分钟

问题处理方式:宝塔专家1对1服务

工作时间:工作日:9:00 - 18:30

宝塔专业团队为您解决服务器疑难问题

立即付费处理

工作时间:09:00至24:00

快速回复 返回顶部 返回列表