有关于宝塔这次的严重漏洞，你是否还会信赖类似的面板

用过一次，不喜欢这种不在我掌控范围的软件

@lusi1990 对他已经一生黑了

怎么说呢，这种控制台通过公网暴露出去本身问题就很大，这种东西要么只能对公司 IP 访问，要么得走堡垒机、vpn 这些专门访问

@murmur 这应该算是最低级的严重漏洞，不知道他们的测试人员干啥的，宝塔都发短信了。

502
------

所以自己也被搞了吗

@rrfeng 漏洞爆出来就升级了，这种漏洞让我远离宝塔。。

@yiyezhihan 看网上说是 phpmyadmin 没有密码可以任意访问？

之前国内一款 w 什么开头的面板,也是因为 mysqladmin 三天两头被爆.
我在搬瓦工的那个 VPS 一年里就没清闲过.
就算升级了隔几天还是会被爆.

没装 phpmyadmin 没开 888 端口的，基本没事。

@murmur 对的，我已经测试了，是真的。:888/pma

宝塔升级脚本
https://v2ex.com/t/700756

从来不用宝塔，一直都是自己敲命令管理，也没有多复杂啊。

转用可信赖的 lnmp 脚本了，毕竟年度才更新一次，应该是比较稳的

这届程序员连环境都懒得配了吗 再不济你跑个自动脚本不行吗

@SunnyLyx 是的
@xiri 对

@alexkkaa 对很多小企业来说，他们没有这种能力只能使用类似宝塔的面板。

漏洞归漏洞 该用还得用。。。

我们公司政策都不允许用种 Web 控制台...

有更方便的命令行不用，纯粹是 win 带来的恶习

基础软件暴露严重漏洞，楼主是不是也不用？

是软件就有漏洞，使用时就要承担这个风险呀。

类似宝塔这种管理平台，对于普通用户，直接推荐他们用就好了，省事。

而对于有开发团队的企业，肯定不能选择这种平台。公司安全，运维不是白请的。

为啥我没试出这个漏洞，我访问是 404

没用过 不喜欢用这种

怎么说呢，功能丰富、售价低廉、安全性高三者最多可以满足两条，甚至有很多产品只满足一条。虽然没用过宝塔，不过他似乎可以算是功能相对丰富，价格比较低廉的。

再回到 LZ 的陈述上，“准备逐渐转移到 OneinStack 、LNMP”。你说的这两者和宝塔根本不是一个级别的。

公司确实不允许使用这类集成 web 环境

楼主是自己用还是公司用？现在基本都上云了吧，不太需要自己搭基础环境，很少需要这类面板了。除非是企业内部的产品。

有漏洞详细介绍吗？

前面套个 nginx，加 http basic 认证，可缓解很多问题

以前用 lnmp，感觉稍微麻烦一点对小白。
后来换成宝塔了，幸亏不是 7.4.2 版本

宝塔的客服水平太垃圾，曾经递交一个 BUG，被客服说早就修复了给关了。结果 2 个月后，其他人又发现这个 BUG，才信他们真的没修复这个 BUG 。

刚入门的时候用过一次，搭了个博客，不过一出问题就嫌麻烦，就自己折腾了。

小白入门可以折腾下，正式上线谁用这玩意，起码也找个开源的啊。

以前看了下宝塔，大致了解下，觉得这东西不可控因素太大，弃了没敢用

给小白用的，V 站大部分人应该不会用这个吧

没有生产环境会用宝塔的吧

@vteng 事实上生产环境不仅会用，甚至某些 gov 网站的生产环境都在用

已经开始就信任过，都是命令行走起

@love win 的 gui 是恶习？开什么历史的倒车？不分使用环境、使用人员直接来一句 gui 是陋习，也是没谁了

这次漏洞我第一时间把自己的几个小站点试了下，都没发现问题，才想起来，我没装 phpmyadmin 或者装了没运行，毕竟用的太少了。。。

从来就不信赖类似的面板

Docker 不香吗？

宝塔市场份额 比其他几家加起来的和都要多很多，这个不用，那个也不用，那到底谁在用？

一直用的 amh，好多年了

一直在用 oneinstack

几个 VPS 都用了...都是 7.4.2 的,不过无所谓...没生产环境...
都是搭建测试用的东西;

我很奇怪，这货的安全性，现在才有人重视

应该没人在公司业务中用吧，学生时看简介尝试用过一次，觉得没什么用后面就没关注了

没装过，我总觉得这东西在机子上跑会占一部分运存呢？装了也就看看机子的运行状态、一些信息之类的，感觉没啥必要，一般都是用命令管理的

还会继续用,因为有点漏洞对我来说无所谓
1.数据不太重要
2.每天备份
3.确实方便

@love #18 看了你的回复记录我发现你就是张口就来的绝佳典范.

一直再用 oneinstack

面向外行的工具和面向内行的工具本来就不一样。
该用的人还是会继续用，不用的人还是一样不用。

从来就没信任过好吧，我的常识告诉我，这种会把管理权限暴露在 web 端口的工具，就不可能百分百安全。

这种面板用户群体应该是那些不熟悉 linux 又觉得 linux 好的人，像很多小站长之类的。

反正数据每天异地备份，个人小站，用这个图个方便，这种 bug 无所谓。公司还是慎用，最起码搞个内网访问

因噎废食？
ssh 也有过漏洞，CPU 硬件级漏洞岂不是要回归蒸汽时代？

@chnyuwen #33 运维这个场景，说实话 GUI 真是陋习，大部分针对服务器开发的东西 基本上不会提供良好的 GUI 程序，而且随着功能升级 GUI 也要跟着变动，有这个资源跟闲时间去画 GUI 应该把好钢用到刀刃上才是，知名的开源服务端项目 基本上不提供 GUI 界面，例如 Nginx Mysql-server 之类的，而且使用这些软件，基本上开发者就已经默认你是专业相关的人士了

说风凉话容易，倒是推荐一个能大致替代的产品啊。命令行优势在于互操作性，图形交互的便利是敲命令能替代的？

楼上一堆人说没人用的，很多个人站长、中小企业都在用，因为专业运维对他们来说，是一笔不小的开支，但是又仅仅是跑一下 web 站，如果安排一个专业的运维来，技术成本和自己成本都太高，所以用的人多了去了。

在中国这种英语环境下，你想所有人都能使用命令、使用 Linux，那是不可能的。这里是程序员社区，当然很多人不用这种带界面的平台，但是，中小企业，个人开发者，为了快速配环境，宝塔这种面板，十分钟就能解决。

所以有什么好的替代品么？

开发用一下可以呀

用过一次宝塔，确实方便，比自己一行行敲命令方便多了。

OneinStack +1，确定挺好用的。装好以后就几个常用的命令。
如果是 Windows 环境，可以试试 PHPTS 。

从上面回复来看，根本不是因为信赖才用的

要目标人群换个学不来的等于自砸饭碗

可是为什么要用它呢, Linux 也不是很难学啊, 再不济还有 Docker 呢

我试过一次，忘了是因为什么需求不能满足，好像和 nginx 反代 docker 有关，就放弃了。lnmp 配置对我来说不麻烦，但是有个面板感觉还是舒心很多，逃过一劫啊。

改用还得用，该防还得防。
及时用自己做的面板漏洞其实更多，只是“眼不见为净”而已
我网站由于全是自己写的代码，所以有人曾说我“无招胜有招”，因为不是通用的框架的攻击类型

服务器的理想是非必要不安装，非必要不开通。及时升级。

没用过都是自己手改.............

昨天晚上吓得爬起来看了下，没中招就安心的睡了

我喜欢全部自己手动精细化配置服务器，不喜欢这种东西，面板这玩意个人认为适合刚入门的新手。

从不用面板，都是自己单独安装环境。

感觉可以看看 p 神写的分析 宝塔面板 phpMyAdmin 未授权访问漏洞是个低级错误吗？ https://mp.weixin.qq.com/s/3ZjwFo5gWlJACSkeYWQLXA

自己测试用 挺好挺方便
至少 这东西的架构方式 以及产品，还是值得学习的

刚看了下，给小侄子玩儿的轻量云还在 5.9.2，话说这种东西干嘛这么追新

不用，都用 jumphost，加 vpn，限制及其严格。外加 MFA

说句政治不正确的话, 我不信任用 php/javascript 写的后端程序.

只要是自己维护管理服务器，不可避免都可能会发生这种事情

都 0202 年了，推荐使用免运维的云开发 CloudBase，一键享受 Serverless 架构

github.com/TencentCloudBase/cloudbase-framework

我是骄傲的 appnode 用户

@chnyuwen 35L 我实在搞不清 gui 能带来什么？

- 操作方便。 命令行 完胜。
- 方便排错。 命令行 完胜。
- 操作简单。 命令行 完胜。
- 学习难度。 命令行 完胜。
- 美观度。 GUI 完胜。

真的不明白，除了美观，GUI 没有哪些是强过命令行的。 使用命令行的

该用还是用，方便简单快捷，修改下安全端口，非必要服务不安装，跑个 web 还是美滋滋。

@xiaket 然而宝塔是 python 写的

今年除夕夜宝塔把我惹恼了，然后一气之下换了 Oneinstack
别说，真滴好用，用到现在没打算换过。
我觉得吧呵呵，要是连 shell 都懒得打的人，建 nm 的站呢？

跟不上时代步伐还在用 lnmp，每次折腾环境都得翻出旧帖子

从来不用这种面板，尤其是能从 web 执行 shell 命令的。

@nnnToTnnn 学习难度、操作方便 /简单明明是 GUI 完胜。GUI 显然可以带来更加快速、方便的操作环境，10 分钟就能搭起一个 Web，改配置也更加方便。追求简单的操作难道不正常吗？（利益相关：前宝塔用户，前前 apt-get nginx 用户，现云服务 serverless 托管用户

CLI GUI 各有优势，大家各有喜好，这 CLI 用户也能歧视 GUI 了吗。CLI GUI 互补岂不美哉？连自己命令行装 LNMP 都能装出优越感来了吗

这些面板不是问题 问题是不应该开放到外网，不过这点很多公司做不到，基础 IT 设施不完善

现在不都是直接 docker 跑么……

只用过 window admin center 。微软爸爸出品。
如果出了问题，那说明这种管理面板就是会出问题的。没办法的。

@lewis89 人家都说了，不分使用环境、使用人员直接来一句 gui 是陋习，这句话不对。你自己再加个在运维这个场景然后去反驳他 GUI 真的是陋习。

个人用户，不是开发者，我用的很便捷。

@chnyuwen 人家只提了恶习，你却非扯什么开历史的倒车。邪恶的政治隐喻。

@nnnToTnnn 照你这么说人类应该放弃 Windows 和 macOS

@zlllllei ？？？这帖子不是在讨论宝塔面板吗？这不算是运维环境吗？

@AsahiHuang 不分使用环境、使用人员直接来一句人类应该放弃 Windows 和 macOS，也是没谁了

@nnnToTnnn 可能楼主只是不熟悉，不习惯 terminal.

方便的同时也会引入漏洞，没有银弹。

类似的情况还有，你的网页引用别人的 js 脚本，给 wordpress 安装很多看似信得过的插件, 给 android 手机上安装不熟悉的开发者的 app 还给了它要的权限 and etc.

btw: 我是命令行π。

@azoon pma

该用还是得用啊
毕竟宝塔解决了好多的需求

宝塔挺好用的，以后会继续用，如果出过一次问题就不用的态度，不看原因。
那一段时间之后，岂不是要自己开发了。
https://mp.weixin.qq.com/s/3ZjwFo5gWlJACSkeYWQLXA

拒绝犯低级错误

希望论坛的很多看客不会因为上边大佬们的一番看法就把宝塔卸载了。。。