修改宝塔8888端口及安全组设置方法

宝塔面板默认的8888端口是黑客暴力扫描和密码爆破的首要目标，上线前必须强制修改为10000–65535范围内的高位端口（如22222），并同步完成三重关键防护：在面板后台一键更新端口后，立即放行系统防火墙对应TCP端口，再于云平台安全组中精准开放该端口（务必限制来源IP、禁用0.0.0.0/0）、同时彻底禁用默认admin账号、设置高强度密码并启用IP访问限制——这不仅是基础加固，更是阻断绝大多数自动化攻击的生死防线。

宝塔面板默认端口 8888 必须改，否则极易被暴力扫描和爆破——这不是建议，是上线前必做项。

在面板后台直接修改端口（最简方式）

登录面板后，进入「面板设置」→「面板端口」，输入新端口号（如 8889 或 22222），点击「保存」。此时面板会自动重启并监听新端口，旧端口 8888 同时失效。

注意以下几点：

• 新端口不能是常用服务端口（如 21、22、80、443、3306），避免冲突或被误判为攻击行为
• 必须选高位端口（建议 10000–65535 范围内），避开 Linux 保留端口（1–1023）
• 修改后浏览器地址栏需手动更新为 http://你的IP:新端口，否则打不开
• 如果保存后无法访问，大概率是防火墙未放行——别急着回滚，先看下一步

CentOS/Ubuntu 系统防火墙放行新端口

宝塔不接管系统级防火墙，仅管理自身服务。端口修改后，必须显式放行新端口，否则请求根本到不了面板进程。

根据系统类型执行对应命令：

• CentOS 7+（firewalld）：firewall-cmd --permanent --add-port=22222/tcp && firewall-cmd --reload
• Ubuntu/Debian（ufw）：ufw allow 22222/tcp
• 若用 iptables（老系统）：iptables -I INPUT -p tcp --dport 22222 -j ACCEPT && service iptables save

验证是否生效：netstat -tlnp | grep :22222 应能看到 python 或 bt 进程监听；再用本地 telnet 服务器IP 22222 测试连通性。

云服务器安全组必须同步开放（常被忽略的关键一步）

即使系统防火墙开了，云平台（阿里云、腾讯云、华为云等）的安全组默认只放行 8888。不改安全组，外网请求在进服务器前就被拦截了。

操作路径（以阿里云为例）：

• 登录控制台 → 「云服务器 ECS」→ 找到对应实例 → 「安全组」→ 「配置规则」
• 添加入方向规则：协议类型 TCP，端口范围填你设的新端口（如 22222/22222），授权对象建议限制为运维 IP（如 1.2.3.4/32），不要填 0.0.0.0/0
• 保存后无需重启服务器，规则秒级生效

常见错误：只改了面板端口，没动安全组；或者安全组开了但用了 UDP 协议——宝塔只走 TCP，UDP 开了也白开。

改完端口后务必禁用面板初始账号密码

端口改了只是第一层防护。宝塔安装后默认账号是 admin，密码是安装时生成的 8 位随机码（可在 /www/server/panel/default.pl 查看）。这个密码强度极低，且长期不变，一旦泄露，高位端口形同虚设。

建议立即执行：

• 在面板「面板设置」中修改管理员用户名（别用 admin）和强密码（至少 12 位，含大小写字母+数字+符号）
• 开启「IP 访问限制」，只允许可信 IP 登录（路径：面板设置 → 安全 → IP 访问限制）
• 定期检查 /www/server/panel/logs/login.log，排查异常登录尝试

高位端口不是保险箱，它只是把门从大街搬到了小巷口；真正锁住门的，是你改掉默认凭据的动作本身。

今天带大家了解了的相关知识，希望对你有所帮助；关于文章的技术知识我们会一点点深入介绍，欢迎大家关注golang学习网公众号，一起学习编程~