给宝塔的后台用nginx加上密码还会被黑么

sharp097 · 发表于 2023-1-2 19:16:16

location /
   {
            auth_basic "Please enter your username and password";
            auth_basic_user_file /home/htpasswd;
            autoindex on;
   }
}
就加这种密码，我之前自己搭建的自用的jenkins和alist都加上了这种密码，密码30位左右，这样子除非nginx有漏洞就算宝塔有漏洞也没事吧，我也不是很懂，有知道的mjj说说行不

周润发 · 发表于 2023-1-2 19:22:22

漏洞是系统级别的加啥密码也没有用啊

xc55 · 发表于 2023-1-2 19:26:56

这样你nginx挂了宝塔就进不去，需要登录ssh改掉，会有一点麻烦

zc_cz · 发表于 2023-1-2 19:29:44

http basic auth需要配合tls，不然没啥安全保障。

小鸡真爱无疑 · 发表于 2023-1-2 19:37:51

对方连宝塔的权限都有。。。你改啥，他弄不弄你，全看他心情啊。

sharp097 · 发表于 2023-1-2 19:49:01

xc55 发表于 2023-1-2 19:26
这样你nginx挂了宝塔就进不去，需要登录ssh改掉，会有一点麻烦

确实，感觉可以给自己编译的nginx加个systemctl守护，这样不乱搞nginx配置基本就稳了~

sharp097 · 发表于 2023-1-2 19:51:52

zc_cz 发表于 2023-1-2 19:29
http basic auth需要配合tls，不然没啥安全保障。

现在ssl免费的证书满大街都是的，随手加一个，只要nginx没漏洞攻不破，宝塔基本屁事没有，毕竟宝塔只监听127，公网要想黑进宝塔要先过nginx密码这一关。

fang · 发表于 2023-1-2 21:04:22

感觉并不是攻破的，是后门，逆向的，你弄啥也白搭。

fang · 发表于 2023-1-2 21:05:24

除非你把宝塔代码全读懂，再做一个无漏洞版。

sharp097 · 发表于 2023-1-2 21:46:33

fang 发表于 2023-1-2 21:04
感觉并不是攻破的，是后门，逆向的，你弄啥也白搭。

确实有这种可能~

		自动登录	找回密码
密码			注册

给宝塔的后台用nginx加上密码还会被黑么

浏览过的版块