从 2020 年初开始接触云服务器以来,宝塔面板一直都是我简化操作(逃课)的工具。
从最基础的服务器状态监控,到 LNMP 环境的部署,客观上来说此类面板产品对入门用户的使用是提供了极大的帮助的。
使用宝塔接近三年,在享受了其便利性时,我也见证者这个国产面板的变化。
一直到现在,我觉得,是时候对这个面板程序说再见了。
2020 年初,我利用腾讯云学生优惠购置了第一台 单核心 1G 的云服务器,用于和朋友之间联机 Minecraft。
当时苦于每次访问服务器都需要 ssh,也没有直观能反映服务器状态的工具,每次服务器迟缓又难以发现其问题。
就在这么一个状况下,同开服务器的一位网友向我介绍了宝塔面板。
在当时看来,宝塔面板对我来说是个绝佳的工具:
- 直观方便的反映服务器负载 / CPU,内存及存储占用。
- 快速一键式划分/重分配 SWAP,避免服务端程序占满内存而被系统强行终止。
- 基础的防护,可视化的防火墙等基础安全配置。
- lnmp一键部署(虽然当时没有建站需求,但是 mysql 还是需要的)
当时刚开始接触 Linux 的我,对各种指令完全不熟悉,也不会用 htop 查看后台,更对 vim 这种萌新杀手感到绝望。宝塔无疑是给这样的入门者带来了福音。
但是,这三年过来,也许是个人心态发生了变化,也许宝塔确实也在变得越来越不堪了吧。
切断的直播间与背后的视线
2020 年 11 月。宝塔官方在直播过程中,直播间传来”双手抱头,蹲下”!随后直播切断,官方人员集体消失了一段时间。
网络上对此事可谓众说纷纭:有说是员工为不良网站人工运维服务被抓到后台记录带走的;有说是公司拒绝留后门配合 GA 调查的;更有离谱的说法是宝塔直接涉入了黑产(这纯属谣言了,要不然开发人员怎么可能会被放出来)。
无论网上什么说法,目前情况是:现在的宝塔面板要强制绑定手机号,也有人抓包实锤后台会发送数据了。换句话说,使用宝塔,就相当于被纳入了监管部门的管辖之中。
这对于我一个正常使用服务器,不涉足任何黑灰产业的普通人来说,其实也不算什么大问题。
但是,背后有一双眼睛盯着自己,难免还是会有点介意吧。更何况,这些数据是仅供监管呢,还是会有其他用户不知情的其他用处?用户对其的信任会产生动摇也不难理解了。
变得杂乱,时常崩溃的菜单
宝塔基本上数周就会发布一个新版本,起初这些更新都还算良好,都是修复安全问题之类的,有时添加一些特性。
但是对于从 2020 年版本宝塔的老用户来说,从直播事件之后,这个面板的界面越来越杂乱了,更是变得难用了。
自从 2021 以来,更新的宝塔面板右下角的”人工服务“就没法关掉,你只能看着这个悬浮球挡住自己要看的网络流量监控表。
当用户不需要且不安装 LNMP 环境时,每次访问面板都会弹出提示部署,让用户不胜其烦。除非你浪费时间去部署环境然后重新删掉,但是为什么非得用户这么做呢?
从今年以来,宝塔的更新更是将”安全”等组件大改,并常驻在左侧菜单栏,甚至后续的“docker管理”也是常驻且无法隐藏。当然这些功能都是付费的。
在那之前,用户可以在设置界面自由的设置隐藏那些功能;但是为什么,现在那些免费功能还能自由隐藏,而付费的功能只能常驻在左边的栏目呢?
更别说在主页面的监控面板上常驻的企业版广告了。
说到界面,宝塔时不时的更新,虽然会修复不少安全性问题,但随之带来的是莫名奇妙的崩溃问题。
在数次版本更新之后,我使用的面板多次出现了不限于如下的问题:
- 页面样式丢失,可读性大幅度下降。
- SSL证书续签失效,计划任务界面损坏。
- 正常的文件操作被面板误判阻止。
在使用面板的过程中出现这类问题,可以说是让人十分抓狂。为什么这些问题都在版本更新后出现呢?背后机理令人迷惑,难以捉摸。
低下的运行效率与迷惑的环境配置
宝塔面板对于系统的占用虽不至于高的离谱(这里点名批评 CloudPanel),但也不能算是轻量了,这点与官方宣传有着不少出入。
但是最大的问题在于其部署的 LNMP 环境,使用其默认配置经常能把服务器内存吃满,cpu占用也时常出现莫名其妙的抬升,网站响应速度和并发量捉急,存在着非常诡异的优化问题,令人深受其扰。
其对 PHP 函数禁用之严格,还有插件预装的缺乏更是让人在使用某些程序时感到抓狂。
(这里点名 Flarum 和早期 Cloudreve 安装遇到的问题,宝塔可谓拖了很多后腿)
更不用说其在系统预装的各类库优先级之高,兼容性之差,让萌新恨不得直接删库跑路。
安全问题频发
如果前面的问题只能说是无伤大雅,那现在开始说的问题就变得棘手起来了。
从使用宝塔面板以来,每年该面板(及其海外产品 AApanel)总会出现一两次严重的漏洞问题。
而且出于宝塔面板对于系统有着相当高的权限,一般这类问题都是能让用户完全失去机器控制权的致命漏洞。
其中包括但不限于:
- 2020 年 8 月的宝塔面板 phpMyAdmin 数据库未授权访问
- 2020 年 10 月的 aaPanel 6.6.6 – Privilege Escalation & Remote Code Execution
- 2022 年 2 月的 aaPanel 6.8.21 – Directory Traversal
- 2022年 12 月的 Nginx 备份文件挂马(官方目前予以否认)
作为一个广为流传的面板程序,树大招风有时被挖出漏洞是在所难免,正可谓世界上没有绝对安全的系统。
但是,每次出现了问题,总是各种渠道发出了大量警告,甚至 IDC 对用户做出提醒之后许久,宝塔才会慢悠悠的发出声明,足以见其问题。
在我开始接触 Linux 云服务器时,宝塔确实给我提供了不少帮助,它可以说是萌新的一个“向导”。
但其问题在这多年逐渐显现并增加,也从人们赞不绝口的运维工具变成了现在不少用户敬而远之的样子,只能说是无法经历时间的考验吧。
三年过去了,个人也在学习一些新知识:小到简单的 Linux 命令熟悉,配置防火墙,搞 fail2ban 等安全措施;大到 CDN 及 docker 等的学习,对网络空间安全的认知,对系统异常进行基础的排查。
现在“向导”已不复从前,是时候逐渐独立开始自己走路了吧。
有没有考虑1panel呢,基于docker的容器式linux项目管理开源面板,就是不是很成熟…|´・ω・)ノ
不太喜欢基于docker的面板,感觉相关功能用portainer就可以了,大不了自己改一下配置文件(
主要是我觉得模块化管理比较方便,寄了一个服务不会影响其他服务|´・ω・)ノ
Docker最大的缺点就是需要Root和内核支持(Android8及以上不可能满足这些条件,完全装不上)
我之前被挂过马,不知道是不是面板的原因
挂马不一定是面板程序漏洞之类的,一般能拿到0day的也不怎么会搞专门的小网站。
可以看一下nginx和SQL的日志啥的,看看可疑的访问。
像lnmp环境挺多情况就是自己网站有漏洞被注入了。
mdserver-web 宝塔仿写版。github上有开源。效果未知
之前有看到过,主要还是怕项目整体不成熟容易出事。
以后有机会还是乐于去试一试的。
请问能找到什么替代的面板吗,我也担心监控。
博主个人是没用面板软件了,目前就是用oneinstack这样一键部署而已。
其实部署完有附带挺多一键脚本,用起来不比面板程序麻烦多少。 ̄﹃ ̄
我现在用lnmp.org
我现在用的oneinstack,现在用着挺好,还能自动备份到对象存储