1Panel 【安全】1Panel 安全相关需求汇总

安全是一个 Linux 面板产品的核心，安全始终要放在第一位。我们想通过这个 Issue 汇总出 1Panel 安全相关最佳实践及需求。

[x] 1Panel 安装完成后无默认密码，而是初始化时由用户自行设置
[x] 1Panel 登陆支持 MFA 认证
[x] 1Panel 安装支持自定义服务端口
[x] 禁止收集任何数据
[x] 支持防火墙可视化管理
[x] 1Panel 支持域名访问、支持 HTTPS #241
[x] 1Panel 支持双向 SSL 认证 #395
[x] 面板首页禁止搜索引擎收录 #721
[x] 希望添加反代网站的密码访问功能 #382
[x] Nginx/Openresty 隐藏版本号和标识，增加服务器安全性，不会被针对 Nginx和版本号进行漏洞提权 #706
[x] 希望面板增加 auth_basic 账号密码登录功能防止 #239
[x] 防止源站 IP 泄露 #849
[x] Docker 安装的应用映射端口会绕过 firewalld/ufw 防火墙 #726
[x] 网站增加防盗链 https://github.com/1Panel-dev/1Panel/issues/1149
[x] 网站日志的审计 #743
[x] SSH 登录日志的审计 #744
[x] 支持修改 SSH 端口防止爆破攻击 #709
[x] 面板支持域名绑定和授权 IP 访问
[ ] 希望 icon 图标可以自定义或关闭显示 #297
[ ] 网站开启安全 CC 防护,IP 封锁后在黑名单展示 #486
[ ] WAF 增加 Modsecurity coreruleset 支持 #501
[ ] 对运行网站的容器等进行安全漏洞扫描 #712
[ ] 集成 Webshell 检测工具，比如： shellpub
[ ] 支持 AD/LDAP 登录功能 #420

对于上述列表中安全功能需求，欢迎大家认领任务、提 PR，一起努力，让 1Panel 越来越好。

Apr 20 '23 01:04 maninhill

大家有安全相关的建议，欢迎直接在这个 Issue 下留言和评论。

Apr 20 '23 01:04 maninhill

希望添加面板安全入口工具扫描容易直接暴露面板

Apr 20 '23 03:04 xiaojiangclassmate

希望添加面板安全入口工具扫描容易直接暴露面板

v1.2.0 版本支持该需求。

Apr 20 '23 04:04 wanghe-fit2cloud

1 站点waf总开关、防御次数 2 站点waf里显示触发器、日志及误报

Apr 20 '23 06:04 Felmon

关键文件（命令文件）加入md5哈希值监控，如对于挖矿病毒的定时/计划任务排查： /etc/crontab - 这是一个包含所有用户计划任务的配置文件，因此它是一个非常重要的文件，您应该经常检查它是否发生了任何变化。

/etc/cron.d - 这个目录包含了每个服务、应用和用户计划任务的单个文件。

/var/spool/cron - 这是一个包含所有用户计划任务的目录，特别是root用户的用户计划任务。

/etc/rc.local - 这个脚本包含了启动过程中要执行的命令。

/usr/lib/systemd/system/ - 这个目录包含运行时服务的配置文件，因此应该经常检查它们是否被修改。

/usr/local/bin /usr/bin /bin - 这些是常见的bin目录，在这些目录下检查任何新添加的或未知的二进制文件或脚本。诸如ps、top这类常用的系统命令，其文件也建议加入监控列表

Apr 21 '23 08:04 TIkc9

增加防火墙的命中规则明细和汇总统计，建议对源IP的归属的国家、城市名进行展示。

Apr 21 '23 09:04 aiaiduo

v1.2.0 版本，1Panel 支持了面板安全入口、auth_basic 账号密码登录功能、面板 SSL 设置、Openresty 隐藏版本号和标识等安全相关需求。

May 08 '23 14:05 wanghe-fit2cloud

支持无密码，也就是删除密码。通过 FIDO 进行密钥验证的登录。 FIDO 支持使用硬件密钥（例：Yubikey），在设备内安全保存的密钥（例：iOS 16以上的钥匙串可存储安全密钥，Android 设备可存储安全密钥，Windows Hello）示例产品有微软账号（支持无密码登录），Google账号（目前仅可登录，非高级保护计划不可删除密码）

May 23 '23 04:05 Star-caorui

Only allow cloudflare IP access Hidden public IP https://gist.github.com/jhoelzel/1c015e667c162fc8f3f3712b1c6417c5

May 25 '23 21:05 heartshare

白名单似乎不生效，测试了各种网站均不生效，设置的单个IP

Jun 04 '23 14:06 Anyexyz

v1.3.0 版本中，1Panel 新增的安全相关需求如下：

网站 HTTPS 配置增加阻止 IP 访问 TLS 握手功能
应用商店安装的应用支持设置本地访问选项
增加网站日志审计
支持 SSH 配置管理与 SSH 登录日志
面板设置支持域名绑定和授权 IP
网站增加防盗链

Jun 08 '23 09:06 wanghe-fit2cloud

白名单似乎不生效，测试了各种网站均不生效，设置的单个IP

WAF 的IP白名单作用：白名单 IP 发出的请求不会被 WAF 拦截

Jun 08 '23 09:06 zhengkunwang223

服务端装个ClamAV，面板可以直接设置定时扫描计划？手动可以实现，但面板能够完成一键安装和计划配置是最好

Jun 15 '23 08:06 cjx2022

希望可以支持监控告警通知功能，例如：设置cpu或内存占用率和持续时间，达到这个阈值的时候通过邮件或其他可以支持的方式通知

Jun 20 '23 10:06 Yuniova

既然都已经增加MFA登录了，干脆一步到位支持FIDO2物理智能卡（Yubikey或者Google Titan key）认证呗

Jul 07 '23 05:07 sakuno214

防火墙，增加国家、地区屏蔽功能。

Jul 11 '23 10:07 ts5202

防火墙功能，安全日志，攻击记录（方便针对性的拉黑IP）等，增加国家/地区屏蔽功能。

Aug 28 '23 13:08 AlwaysOnline

面板是否会连接你们后台上传遥测数据/版本跟新监测？，如果有的话，请提供开关设置，并默认关闭，
现在很多GOV服务器怕是中毒，不允许主动外联，发现会报警

Aug 31 '23 08:08 gitlsl

面板是否会连接你们后台上传遥测数据/版本跟新监测？，如果有的话，请提供开关设置，并默认关闭，现在很多GOV服务器怕是中毒，不允许主动外联，发现会报警

1Panel 面板不会连接到后台上传遥测数据或进行版本更新监测。我们注重用户隐私和数据安全，因此我们没有此类操作。

Aug 31 '23 10:08 wanghe-fit2cloud

面板是否会连接你们后台上传遥测数据/版本跟新监测？，如果有的话，请提供开关设置，并默认关闭，现在很多GOV服务器怕是中毒，不允许主动外联，发现会报警

1Panel 面板不会连接到后台上传遥测数据或进行版本更新监测。我们注重用户隐私和数据安全，因此我们没有此类操作。

@wangdan-fit2cloud 好的，那理论上装了面板后，不会有任何主动外联的操作产生吧，除非那些应用自己去连

Aug 31 '23 11:08 gitlsl

面板是否会连接你们后台上传遥测数据/版本跟新监测？，如果有的话，请提供开关设置，并默认关闭，现在很多GOV服务器怕是中毒，不允许主动外联，发现会报警

1Panel 面板不会连接到后台上传遥测数据或进行版本更新监测。我们注重用户隐私和数据安全，因此我们没有此类操作。

@wangdan-fit2cloud 好的，那理论上装了面板后，不会有任何主动外联的操作产生吧，除非那些应用自己去连

是的。

Aug 31 '23 14:08 wanghe-fit2cloud

网站增加功能性欠缺，比如 1.增加后端负载，只能增加一个，可以调整为动态增加 2.性能调整，可否提示brotli 3.这个单节点的，后面会支持多节点统一管理的功能吗？ 4.可以支持.net core 程序部署吗？