当前位置:论坛首页 > Windows面板 > 讨论

【已解答】腾讯云COS插件安全问题

发表在 Windows面板2022-6-30 21:41 [复制链接] 4 4805

腾讯云COS插件,配置好后,相关数据可备份至腾讯云相应的桶。
但是呢,在宝塔页面板页面进行此插件后 可以浏览到所有文件,并且可以直接删除。此后备份的文件就玩完啦!!

能否加个控制,比如说绑定 MFA 设备或短信进行二次验证后 再执行删除

这样 即使面板被坏人入侵后,也有最后一层保险,数据还在COS里面。
使用道具 举报 只看该作者 回复
发表于 2022-6-30 21:56:51 | 显示全部楼层
这个是直接调用腾讯云的接口的,那边没开放的话就没办法做~

一些防挂马、篡改、恶意提权的小防护攻略。
1.网站上线前,对自己的项目用常用的一些工具进行程序漏洞安全扫描,并且做多份备份;
2.为了安全起见,网站后台管理地址经常改,改完做多份纪录保存,并且做好历史修改记录;
3.默认数据库名称要改,能复杂尽量复杂,用好复制粘贴按键;
4.后台启用验证码登录模块,不要怕麻烦,人家弄您网站的人都不嫌麻烦;
5.做好网站防护,比如非法上传文件、会员上传恶意文件的功能等,装好web防火墙;
6.服务器主机的ssh能不开就不能,尽量少使用root用户登录;即使登录也做好登录限制为仅允许自己的ip,高强度复杂的密码是第一必设项;
7.宝塔面板有多个辅助防护插件,例如调用系统防火墙、web防火墙(nginx防火墙/apache防火墙)、php安全防护、防篡改、防入侵等。
使用道具 举报 回复 支持 反对
发表于 2022-7-2 19:20:54 | 显示全部楼层
堡塔安全赤井秀一 发表于 2022-6-30 21:56
这个是直接调用腾讯云的接口的,那边没开放的话就没办法做~

一些防挂马、篡改、恶意提权的小防护攻略。

咱们这个插件是在咱们的界面进行操作的。比如删除这个按钮,也是在咱们的插件里面。
我的意思是:


安全增强:
点这个删除后,咱们自身进行二次鉴权,如果通过鉴权,再向腾讯COS那边真正的发起删除请求。

二次鉴权可设定为 MFA 设备或短信进行二次验证


使用道具 举报 回复 支持 反对
发表于 2022-7-3 12:37:33 | 显示全部楼层
就像 新服务器安装了咱们的宝塔后,
进入都会判断是否有登录宝塔账号,如没有,则强行弹出来要求绑定。只有绑定了账号才能使用宝塔的各项服务。
逻辑是一样的。
使用道具 举报 回复 支持 反对
发表于 2022-7-5 09:16:25 | 显示全部楼层
萧峰 发表于 2022-7-3 12:37
就像 新服务器安装了咱们的宝塔后,
进入都会判断是否有登录宝塔账号,如没有,则强行弹出来要求绑定。只有 ...

后期可以考虑加一下,可以使用堡塔APP做二次验证,堡塔APP支持面板验证码登录,同理这个插件也可以,不过暂时没空改,我先记一下,宝塔币已发送到论坛绑定的堡塔账户中
使用道具 举报 回复 支持 反对
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

普通问题处理

论坛响应时间:72小时

问题处理方式:排队(仅解答)

工作时间:白班:9:00 - 18:00

紧急运维服务

响应时间:3分钟

问题处理方式:宝塔专家1对1服务

工作时间:工作日:9:00 - 18:30

宝塔专业团队为您解决服务器疑难问题

立即付费处理

工作时间:09:00至24:00

快速回复 返回顶部 返回列表