宝塔面板安全设置：禁 ping、SSH 端口修改与登录限制

RAKsmart 站群实操小编聚焦禁 ping、SSH 端口修改、SSH 登录限制三大核心操作，适配 RAKsmart 站群服务器的多 IP / 多站点特性，全程基于宝塔面板可视化操作 + 服务器底层配置，新手也能一步到位完成安全加固，避免站群服务器因通用端口 / 开放 ping 被恶意扫描、暴力破解。

前置条件

1. 已完成 RAKsmart 站群服务器系统安装（CentOS7/8/9、Ubuntu20.04/22.04 均可，推荐 CentOS7）；
2. 已成功安装宝塔面板（Linux 版，6.0/7.0 通用），并能正常登录面板；
3. 拥有 RAKsmart 服务器root 账号密码（站群服务器后台可获取），宝塔面板管理员账号；
4. 提前记录 RAKsmart 站群服务器的公网 IP / 站群 IP，避免操作后失联。

核心原则

RAKsmart 站群服务器多用于多站点运营，安全设置需兼顾防护性和可用性，所有操作均需先放行防火墙规则，再修改配置，杜绝 “先改配置再放行，导致服务器失联”。

一、基础准备：宝塔面板防火墙与 RAKsmart 后台防火墙双开启

RAKsmart 站群服务器有两层防火墙：服务器系统防火墙（iptables/firewalld）、RAKsmart 商家后台防火墙（机房级），宝塔面板防火墙基于系统防火墙封装，需先完成双防火墙基础配置，后续所有安全操作均基于此。

1. 宝塔面板防火墙开启

1. 登录宝塔面板，左侧导航栏点击安全，进入防火墙页面；
2. 点击防火墙开关，将状态改为开启，默认放行 80、443、8888（宝塔面板端口）、3306 等端口；
3. 开启自动放行宝塔端口，避免后续操作误封面板端口导致无法登录。

2. RAKsmart 后台防火墙放行基础端口

1. 登录 RAKsmart 官方后台，找到自己的站群服务器，点击防火墙 / 安全组；
2. 新增规则，放行宝塔面板端口（默认 8888，若已修改需放行新端口）、22 端口（SSH 默认，修改后替换为新端口），协议均为TCP，来源为0.0.0.0/0（后续可缩小范围）；
3. 保存规则，RAKsmart 机房防火墙规则生效时间约 1-2 分钟，无需重启服务器。

注意：RAKsmart 站群服务器支持多 IP 独立防火墙，若为单 IP 站群服务器，直接配置全局防火墙即可；多 IP 站群可按站点 IP 单独配置，建议全局统一放行核心端口，简化管理。

二、核心操作 1：服务器禁 ping，避免恶意扫描定位 IP

ping 命令是黑客扫描服务器存活的常用手段，RAKsmart 站群服务器拥有多个公网 IP，禁 ping 后可有效避免整站群 IP 被批量扫描，操作分为临时禁 ping（重启失效）和永久禁 ping（重启生效），推荐永久配置，适配站群服务器长期运行需求。

方法 1：宝塔面板一键禁 ping（推荐，可视化操作）

1. 宝塔面板左侧导航栏安全→基础防护，找到禁 ping选项；
2. 点击开启，宝塔面板会自动修改服务器内核参数，无需手动编辑配置文件；
3. 验证：本地电脑打开 CMD/PowerShell，输入ping 你的RAKsmart服务器IP，显示请求超时即表示禁 ping 成功。

方法 2：服务器终端永久禁 ping（备用，适配宝塔面板操作失效）

1. 登录宝塔面板，点击左侧终端，输入 root 密码进入服务器命令行；
2. 编辑内核配置文件，输入命令：vi /etc/sysctl.conf；
3. 按i进入编辑模式，在文件末尾添加以下两行代码：

plaintext

net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1

4. 按Esc，输入:wq保存退出；
5. 加载配置使修改生效，输入命令：sysctl -p；
6. 验证：同方法 1，ping 服务器 IP 显示请求超时即成功。

站群服务器专属注意：RAKsmart 站群服务器的多 IP 会同步生效禁 ping，无需为每个 IP 单独配置，一次操作即可实现全 IP 禁 ping。

三、核心操作 2：SSH 端口修改，远离 22 端口暴力破解

SSH 默认 22 端口是全网暴力破解的重点目标，RAKsmart 站群服务器因多站点运营，一旦 22 端口被攻破，所有站点都会面临风险，修改为 10000-65535 之间的随机端口是必做操作，全程需遵循先放行新端口，再修改 SSH 配置的顺序，杜绝失联。

步骤 1：宝塔面板防火墙放行新 SSH 端口

1. 宝塔面板安全→防火墙→添加规则；
2. 配置规则：端口号输入自定义端口（示例：26888，建议 10000 以上，避免与宝塔 / 站点端口冲突）、协议TCP、备注SSH 新端口、放行时间永久；
3. 点击确定，宝塔防火墙自动放行该端口。

步骤 2：RAKsmart 后台防火墙放行新 SSH 端口

1. 登录 RAKsmart 站群服务器后台，进入防火墙 / 安全组；
2. 新增规则，端口填写步骤 1 的自定义端口（如 26888），协议TCP，来源0.0.0.0/0，生效范围全局（多 IP 站群）；
3. 保存规则，等待 1-2 分钟让机房防火墙生效。

步骤 3：修改 SSH 配置文件，更换默认端口

方式 1：宝塔面板终端操作（推荐，新手友好）

1. 宝塔面板终端，输入 root 密码登录，输入命令编辑 SSH 配置文件：
   • CentOS 系统：vi /etc/ssh/sshd_config
   • Ubuntu 系统：vi /etc/ssh/sshd_config
2. 按i进入编辑模式，找到#Port 22这一行，先删除 **#** 注释，再将 22 改为自定义新端口（如 26888），即Port 26888；
3. 继续向下找PermitRootLogin，确保值为yes（宝塔面板依赖 root 权限，站群服务器需保留，后续通过登录限制加固）；
4. 按Esc，输入:wq保存退出；
5. 重启 SSH 服务使配置生效：
   • CentOS7/8：systemctl restart sshd
   • CentOS6：service sshd restart
   • Ubuntu：service ssh restart
6. 验证 SSH 新端口：本地打开 Xshell/Finalshell，新建连接，端口填写新端口（26888），输入服务器 IP 和 root 密码，能正常登录即表示端口修改成功。

方式 2：宝塔面板文件管理器操作（无终端权限可用）

1. 宝塔面板文件→根目录→etc→ssh，找到sshd_config文件，右键编辑；
2. 按方式 1 修改Port参数，保存文件；
3. 宝塔面板软件商店→系统工具，找到ssh，点击重启即可。

步骤 4：关闭旧 SSH 端口（22 端口）

1. 验证新 SSH 端口能正常登录后，再进行此操作，避免失联；
2. 宝塔面板安全→防火墙，找到 22 端口规则，点击删除 / 禁用；
3. RAKsmart 后台防火墙，删除 22 端口的放行规则；
4. 可选：服务器终端输入netstat -tulnp | grep ssh，确认 SSH 仅监听新端口（如 26888）。

站群服务器注意：RAKsmart 站群服务器的 SSH 服务为全局单服务，修改端口后所有站群 IP 均可通过「IP + 新端口」登录 SSH，无需为每个 IP 单独配置 SSH 端口。

四、核心操作 3：SSH 登录限制，进一步加固，杜绝暴力破解

修改 SSH 端口后，再配置登录 IP 限制、密码复杂度、禁止空密码登录，形成双层防护，适配 RAKsmart 站群服务器的运营场景，既保证管理员正常登录，又彻底拦截陌生 IP 的暴力破解。

操作 1：宝塔面板一键限制 SSH 登录 IP（推荐，可视化）

1. 宝塔面板安全→SSH 防护，找到登录 IP 限制；
2. 点击开启，输入允许登录的 IP（如管理员本地公网 IP、办公网络 IP），多个 IP 用英文逗号分隔；
3. 勾选拒绝所有未允许 IP，点击保存，此时仅指定 IP 能通过 SSH 登录服务器；
4. 站群运营专属：若有多个运营人员，可添加所有运营人员的固定 IP，避免异地登录导致的安全风险。

操作 2：修改 SSH 配置，强化登录规则

1. 宝塔面板终端，编辑 SSH 配置文件：vi /etc/ssh/sshd_config；
2. 按i进入编辑模式，找到以下参数，修改为对应值（无则手动添加）：

plaintext

# 禁止空密码登录
PermitEmptyPasswords no
# 开启密码复杂度验证（需服务器安装pam_cracklib模块）
UsePAM yes
# 限制每次登录的尝试次数，失败3次断开
MaxAuthTries 3
# 限制登录超时时间，60秒无操作则断开
LoginGraceTime 60s
# 关闭DNS反向解析，加快SSH登录速度，同时防DNS欺骗
UseDNS no
# 禁止TCP端口转发，防止端口穿透
AllowTcpForwarding no

3. 按Esc，:wq保存退出，重启 SSH 服务：systemctl restart sshd（CentOS7/8）。

操作 3：设置 root 密码复杂度（站群服务器核心）

RAKsmart 站群服务器的 root 账号是最高权限，密码需满足8 位以上 + 字母 + 数字 + 特殊符号，避免简单密码被破解：

1. 宝塔面板终端，输入命令修改 root 密码：passwd root；
2. 按提示输入新密码（输入时无显示，直接输入即可），重复确认；
3. 宝塔面板端：面板设置→账号安全，同时修改宝塔面板管理员密码，与 root 密码区分开。

操作 4：可选 —— 禁止 root 直接 SSH 登录，创建普通用户登录

若站群服务器有多人运维，可创建普通用户，仅允许普通用户 SSH 登录，通过sudo提权至 root，进一步降低风险：

1. 终端创建普通用户：useradd ops（ops 为用户名，自定义）；
2. 设置普通用户密码：passwd ops；
3. 编辑 SSH 配置：vi /etc/ssh/sshd_config，将PermitRootLogin yes改为PermitRootLogin no；
4. 保存退出，重启 SSH 服务，此时仅能通过 ops 用户登录 SSH，登录后输入sudo -i即可提权至 root。

五、操作后全流程验证，确保站群服务器正常运行

所有安全设置完成后，必须进行全验证，避免因配置错误导致 RAKsmart 站群服务器SSH 失联、宝塔面板无法登录、站点无法访问，重点验证以下 4 点：

1. 禁 ping 验证：本地 CMD 输入ping 服务器IP，显示请求超时，禁 ping 成功；
2. SSH 登录验证：用「新端口 + 允许的 IP」登录 SSH，能正常登录；用 22 端口 / 陌生 IP 登录，提示连接失败，验证成功；
3. 宝塔面板验证：浏览器输入「服务器 IP: 宝塔端口」，能正常登录，面板内所有功能可用；
4. 站点验证：站群服务器已部署的站点，能正常访问，无卡顿 / 无法打开情况。

失联紧急处理：若操作后 SSH / 宝塔面板失联，直接登录RAKsmart 站群服务器后台，找到VNC 控制台，通过 VNC 直接操作服务器，恢复端口 / 防火墙规则；也可在后台重启服务器，临时恢复默认配置（永久禁 ping/SSH 配置需手动修改）。

六、RAKsmart 站群服务器安全设置专属小贴士

1. 多 IP 管理：RAKsmart 站群服务器的所有安全配置均为全局生效，无需为每个站群 IP 单独配置禁 ping/SSH/ 防火墙，一次操作全 IP 适配；
2. 端口规划：站群服务器部署多站点时，建议为 SSH、宝塔面板、数据库配置独立专属端口，避免与站点 80/443 端口冲突；
3. 定期备份：修改 SSH / 防火墙配置后，在宝塔面板备份→系统备份，备份服务器配置，避免误操作导致配置丢失；
4. 日志监控：宝塔面板安全→日志监控，开启 SSH 登录日志、防火墙拦截日志，实时监控陌生 IP 扫描 / 破解行为；
5. 宝塔安全插件：安装宝塔面板安全狗、云锁插件，与手动配置的禁 ping/SSH 限制形成叠加防护，适配站群服务器的高防护需求。