CyberPanel 面板服务器安全及优化设置

一、基础安全加固

1. 系统级防护

• 防火墙配置（UFW/iptables）
  # 安装UFW（若未自带）
  sudo apt install ufw -y
  # 允许必要端口（SSH、HTTP/HTTPS、CyberPanel默认端口）
  sudo ufw allow 22/tcp        # SSH（建议后续修改默认端口）
  sudo ufw allow 80/tcp
  sudo ufw allow 443/tcp
  sudo ufw allow 8090/tcp      # CyberPanel默认管理端口
  sudo ufw enable

• 禁用root登录 & 修改SSH端口
  sudo nano /etc/ssh/sshd_config
  # 修改以下参数：
  Port 2222                   # 自定义SSH端口
  PermitRootLogin no
  PasswordAuthentication no   # 强制密钥登录
  AllowUsers your_username    # 仅允许特定用户
  # 重启SSH服务
  sudo systemctl restart sshd

2. CyberPanel面板安全

• 修改默认管理端口
  登录CyberPanel → Server Settings → Admin Panel Settings → 修改 Port（如8090改为5555），避免被扫描。
• 启用双因素认证（2FA）
  在用户账户设置中绑定Google Authenticator，防止暴力破解。
• 限制访问IP
  在面板的 Firewall 模块，仅允许可信IP访问管理端口（如办公室IP、个人VPN IP）。

3. Web服务安全

• 强制HTTPS & HSTS
  在CyberPanel的网站管理界面，开启 Auto SSL（Let’s Encrypt），并添加以下规则到网站配置文件（httpd_config.conf）：
  nginx

  RewriteEngine On
  RewriteCond %{HTTPS} off
  RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
  Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

• 安装ModSecurity（WAF）
  # 通过CyberCLI安装
  cyberpanel installModSec
  # 启用OWASP核心规则集
  cp /usr/local/lsws/conf/modsec.conf.default /usr/local/lsws/conf/modsec.conf
  nano /usr/local/lsws/conf/modsec.conf  # 添加规则路径

二、性能优化配置

1. OpenLiteSpeed调优

• 启用LSCache加速
  在CyberPanel的网站设置中，开启 LiteSpeed Cache，并为WordPress等CMS安装对应插件（如LSCache for WordPress）。
• 调整PHP-FPM进程池
  # 编辑PHP配置文件（如lsphp74）
  nano /usr/local/lsws/lsphp74/etc/php/7.4/litespeed/php.ini
  # 优化参数：
  memory_limit = 256M
  max_execution_time = 120
  opcache.enable=1
  opcache.memory_consumption=128
  # 调整进程数（根据服务器内存）
  nano /usr/local/lsws/conf/php-fpm.conf
  pm = dynamic
  pm.max_children = 50
  pm.start_servers = 10
  pm.min_spare_servers = 5
  pm.max_spare_servers = 20

2. 数据库优化（MariaDB/MySQL）

• 配置InnoDB缓冲池
  nano /etc/my.cnf.d/server.cnf
  # 添加/修改：
  [mysqld]
  innodb_buffer_pool_size = 2G    # 设为物理内存的50-70%
  innodb_log_file_size = 512M
  query_cache_type = 1
  query_cache_limit = 2M
  query_cache_size = 64M
  # 重启数据库
  systemctl restart mariadb

• 定期优化表
  使用CyberPanel计划任务添加：
  mysqlcheck -o --all-databases -u root -p

3. 资源监控与清理

• 安装NetData实时监控
  bash <(curl -Ss https://my-netdata.io/kickstart.sh)
  # 访问地址：http://your-server:19999

• 日志轮转与清理
  # 编辑日志轮转配置
  nano /etc/logrotate.d/cyberpanel
  # 添加规则：
  /usr/local/lsws/logs/*.log {
    daily
    missingok
    rotate 7
    compress
    delaycompress
    notifempty
  }

三、维护与灾备

1. 自动化备份

• CyberPanel内置备份
  使用面板的 Backup 功能，设置每日全站备份到远程存储（如AWS S3、Backblaze）。
• Rclone同步
  # 安装Rclone并配置云存储
  curl https://rclone.org/install.sh | sudo bash
  rclone config
  # 添加定时任务（每日2点同步）
  crontab -e
  0 2 * * * rclone sync /home/backups remote:cyberpanel_backups

2. 定期更新

• 系统与软件更新
  # 每日自动安全更新
  apt install unattended-upgrades
  dpkg-reconfigure unattended-upgrades  # 选择"Yes"

• CyberPanel升级
  cyberpanel upgrade  # 保持面板最新版本

四、紧急响应措施

1. 入侵检测
   安装chkrootkit + rkhunter定期扫描：
   apt install chkrootkit rkhunter
   rkhunter --update
   rkhunter --checkall

2. 封禁恶意IP
   使用fail2ban监控SSH和Web日志：
   apt install fail2ban
   cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
   # 在jail.local中调整[sshd]和[apache-badbots]的配置
   systemctl restart fail2ban

通过以上配置，可显著提升CyberPanel服务器的安全性与性能。建议每季度进行一次安全审计，并通过压力测试（如siege或ab）验证优化效果。