不是宝塔被黑，而是你的服务器太“坦诚”了

有个用户在各个论坛发帖：

“宝塔面板有后门！我的服务器被黑了！”

看到消息后，我们第一时间联系用户排查。

结果我们一查日志，发现面板正常、安全、没被入侵。

真正出问题的，是 SSH ——
黑客通过 SSH 直接登录用户的服务器植入病毒。

进一步了解后我们发现：
该用户从购买云服务器开始，就一直没修改云厂商初始化生成的 root 密码。
而这个“看似安全”的随机密码，不知在什么环节被泄露了。

很多云平台在创建服务器时，会自动生成临时 root 密码（甚至以明文显示在控制台或邮件里）。

而这个密码，一旦被人截取，就等于你的服务器大门敞开。

于是黑客轻松登录，改端口、加脚本、装木马……
表面上像是“面板被黑”，实际上是服务器本身被登录。

所以今天，小泽就来带大家做一件简单但非常重要的事

买到云服务器之后，第一件事不是安装面板，
而是先锁 SSH 门！

// 第一步：改掉默认密码（必须！）

买到服务器后第一件事，就是改掉云厂商给你的那个root 初始密码。

不改密码，就相当于大门没锁。

登录上服务器后，输入这一行命令：

passwd

系统会提示你输入两次新密码：

Changing password for user root.New password: （输入新密码）Retype new password: （再输一次确认）passwd: all authentication tokens updated successfully.（最后看到这个就成功了）

小贴士：

密码建议至少 16 位，包含大小写字母 + 数字 + 特殊字符。
千万别用“123456”“admin”“Aa@123456” 这种通用组合。（昨天还有用户的数据库密码是 admin888，看着就……?如果设置这种密码，你还不如不改）
```
< /dev/urandom tr -dc 'A-Za-z0-9!@#$%^&*()_+=-' | head -c 16; echo
```

最好记录在密码管理器中，不要保存在笔记本或截图里。

// 第二步：使用 SSH 密钥登录（彻底告别密码）

如果你已经安装好了面板，可以直接在面板里设置；如果暂时没装面板，也可以通过命令行操作。以下方式二选一即可：

方式一：通过面板进行设置

登录宝塔面板，找到安全-SSH管理
关闭SSH密码登陆，开启SSH密钥登陆
开启成功后下载SSH密钥，后续登陆服务器使用SSH登陆即可

方式二：通过命令设置

# 在你自己电脑生成密钥ssh-keygen -t ed25519 -C "你的邮箱"# 把公钥复制到服务器：ssh-copy-id root@你的服务器IP# 完成后登陆服务器，登录成功后编辑 SSH 配置：vim /etc/ssh/sshd_config# 找到以下几行并修改（如前面有#注释请删除）：PermitRootLogin prohibit-passwordPasswordAuthentication no# 保存退出后执行以下命令重启SSHsystemctl restart sshd# 重启完成进行测试，测试是否能使用密码登陆（预期不能）以及是否能正常使用密钥登陆

第三步：给SSH加个“门禁系统”—— fail2ban

防爆破神器 fail2ban，可以防止SSH密码爆破，并自动封禁恶意IP，同样你也可以通过面板设置，或者自行安装，以下方式二选一即可：

方式一：通过面板进行设置

登录宝塔面板，找到软件商店，并在软件商店中搜索Fail2ban并安装
安装完成后点击设置，首次使用需要手动启动服务
启动后点击服务保护，点击创建，设置SSH防爆破（最大重试次数默认30，建议大家自己改小一点，比如5），SSH端口默认22，如果你进行了修改，请填写修改后的端口
配置完成后保存即可

方式二：通过命令设置

# 安装Fail2ban# Debian/Ubuntuapt install fail2ban -y# CentOS（需要启用EPEL源）yum install fail2ban -y# 创建配置文件vim /etc/fail2ban/jail.d/sshd.local# 在文件内粘贴以下内容[sshd]enabled = truemaxretry = 5bantime = 3600# 创建完成后重启服务systemctl restart fail2ban

超过 5 次输错密码的 IP，会被封禁一小时。
就像自动识别陌生访客的门禁系统。

// 第四步：防火墙收口

建议只开放必要端口，比如 22,80,443和面板端口，可以在面板防火墙直接进行设置