本文章已收录至本站专栏
玩转宝塔Linux面板
0、概述
宝塔Linux面板从7.8.0版开始,用户信息会绑定服务器ID,然后根据服务器ID使用AES加密:
base64编码、加密模式为CBC、需要计算16位IV、密钥长度128位、密码为16位。
根据AES加密软件列表,插件全部加密,一机一码。从别的服务器复制来的插件无法使用,因此无法解密,难以破解。
专业版、企业版有严格的云端鉴权,就算破解成功了,还需要对应有授权的账号才能下载插件;
目前已经使用虚拟账号的方法完美解决,在此之前使用授权账号登录会导致账号信息不匹配,以至于被宝塔封禁IP,还原回7.9.0免费版也无法使用,只能降级至7.7.0版本。
如果触发了该“彩蛋”的幸运用户,可以参考下列文章:
安装宝塔7.7.0企业版
https://blog.tsinbei.com/tw/archives/7/
宝塔7.7.0更新插件到最新版
https://blog.tsinbei.com/tw/archives/120/
宝塔面板btPanel转为宝塔国际版aaPanel
https://blog.tsinbei.com/tw/archives/289/
1、开心版
宝塔7.9.0开心版由
此处内容需要评论回复(自动审核)或加入 QQ 技术交流群(立即获得内容)后方可阅读。赞助(二维码在文章下方)后联系作者可一次性解锁所有(包括之后的新文章)。
提供,向大佬致敬。
最新:该论坛已开放中国大陆访问,并且取消注册邀请码,喜欢此开心版的可以注册论坛支持一下作者哦~
如果想要私密访问建议查看本站文章:
Linux服务器搭建VPN
https://blog.tsinbei.com/tw/archives/181/
Telegram群组:
此处内容需要评论回复(自动审核)或加入 QQ 技术交流群(立即获得内容)后方可阅读。赞助(二维码在文章下方)后联系作者可一次性解锁所有(包括之后的新文章)。
2、更新记录
系统工具:日志清理工具增加 2.0版本
宝塔插件:堡塔网站加速增加 4.2版本
专业版插件:网站监控报表增加6.8版本
企业版插件:堡塔防提权改名堡塔防入侵
企业版插件:堡塔限制访问型证书-Linux版增加1.2版本
第三方插件:Nginx免费防火墙 更新6.3版本
第三方插件:百度网盘更新 3.9版本
部分第三方插件已经全部更新同步官方;
修复第三方插件百度网盘无法使用问题;
修复已知的一些插件到期的问题;
修复第一次安装脚本,需要退出登录重登才能安装插件的逻辑问题;
修复部分用户登录虚拟账户无法获取列表authlist空白的问题;
3、安装
提示:作者已授权分享安装脚本!
本站已将脚本下载地址更改为本站,并启用SSL加密访问以获得更高传输安全性。
3.1、Centos
注意:默认安装是7.8.0,可以直接在线升级7.9.0
此处内容需要评论回复(自动审核)或加入 QQ 技术交流群(立即获得内容)后方可阅读。赞助(二维码在文章下方)后联系作者可一次性解锁所有(包括之后的新文章)。
3.2、试验性
独立运行环境(Python 3.7),可能存在少量兼容性问题,不断优化中。
此处内容需要评论回复(自动审核)或加入 QQ 技术交流群(立即获得内容)后方可阅读。赞助(二维码在文章下方)后联系作者可一次性解锁所有(包括之后的新文章)。
3.3、Ubuntu/Deepin
此处内容需要评论回复(自动审核)或加入 QQ 技术交流群(立即获得内容)后方可阅读。赞助(二维码在文章下方)后联系作者可一次性解锁所有(包括之后的新文章)。
3.4、Debian
此处内容需要评论回复(自动审核)或加入 QQ 技术交流群(立即获得内容)后方可阅读。赞助(二维码在文章下方)后联系作者可一次性解锁所有(包括之后的新文章)。
3.5、Fedora
此处内容需要评论回复(自动审核)或加入 QQ 技术交流群(立即获得内容)后方可阅读。赞助(二维码在文章下方)后联系作者可一次性解锁所有(包括之后的新文章)。
4、升级
7.7.0/7.8.0可以执行此脚本升级。
此处内容需要评论回复(自动审核)或加入 QQ 技术交流群(立即获得内容)后方可阅读。赞助(二维码在文章下方)后联系作者可一次性解锁所有(包括之后的新文章)。
5、安全性
宝塔论坛用户曾经发过以下文章:
https://www.bt.cn/bbs/thread-23545-1-1.html
宝塔官方也发过所谓“运维笔记”:
https://www.bt.cn/bbs/thread-85448-1-1.html
https://www.bt.cn/bbs/thread-82900-1-1.html
其中有几个用的正是该脚本。但是我经过数星期的测试,尚未发现任何上述“后门”、“漏洞”。
猜想可能是宝塔Linux面板自身有漏洞,因此如无必要,请勿开启面板API接口,如果不对宝塔进行必要的安全加强,用起来将充满隐患。
推荐阅读本站文章:
服务器安全(一)宝塔面板防御
https://blog.tsinbei.com/tw/archives/125/
服务器安全(二)内外网防御
https://blog.tsinbei.com/tw/archives/140/
通过上述方法防御,我的服务器和宝塔Linux面板从未被入侵过,也没有被爆破过密码。
6、总结
- 开心版可能存在被封IP的风险,免费版功能已经足够强大,谨慎选择
- 开心版作者良莠不齐,部分水平不足可能留下漏洞,部分别有用心可能加入后门,开心版要在非生产环境下测试,开启登录告警,确认无后门后再安装至生产环境。
- 如果需要体验专业版/企业版,可以点击链接:https://www.bt.cn/?invite_code=MV93cm1wcGQ=,宝塔服务器面板,一键全能部署及管理,送你3188元礼包。
安装宝塔7.9.0企业版
评论