管服务器这事,SSH 敲久了真会烦。改个虚拟主机要翻路径、配个防火墙要记一堆参数、半夜重启个服务还得先翻出跳板机。今天聊的 Webmin,就是冲着"少敲命令"来的——一个浏览器全搞定,而且它活了 28 年,思路跟宝塔那一挂面板恰好是反着来的。
先把家底亮一下。Webmin 是个 Web 服务器管理面板,1997 年发第一版,仓库累计两万五千多次提交,年安装量过百万,作者 Jamie Cameron 一路维护到现在,最新版 2.641 是 2026 年 5 月发的。GitHub 上 5.9k 星,BSD 协议。开源面板里能这么长寿的,我一时还真想不出第二个。
它和宝塔最大的区别:不替你动系统
这是我最想先说的一点,也是 Webmin 的命门所在。
宝塔、aaPanel 这类面板的玩法,是把 Linux 整个"包"起来:你装它的一键 LNMP,就得按它铺的路径走,哪天把面板卸了,网站大概率跟着躺平。Webmin 不来这套。你在它界面上加个用户,它改的就是 /etc/passwd;你调一下 Apache 虚拟主机,它落到的就是系统原生的 conf 文件。换句话说,你把 Webmin 进程关了,服务器该怎么跑还怎么跑——它只是个"代你填表"的壳,不是系统的地基。
这种"可拆卸",在我看来才是真正的安全感。装它花 26MB,跑起来吃 100MB 左右内存,不点它的时候 CPU 基本不动。浏览器打开 :10000 端口、root 登录,左边导航一拉开:116 个模块,改密码、配防火墙、管数据库、设定时任务,全在网页里点完。

界面:别再拿十年前的截图黑它了
网上吐槽 Webmin "丑得像世纪初的 Debian 安装界面"的帖子,截的基本都是老版本。
从 Authentic Theme 的 2.6xx 系列开始,这套默认主题做过一轮大改:深浅色一键切换,左边栏能折叠,右上角直接搜模块——你打"防火墙"三个字就跳到 Firewall,不用一层层翻菜单。仪表盘上的 CPU、内存、磁盘曲线也从卡顿的 SVG 换成了 Canvas,拖拽缩放顺滑多了。
我不会吹它惊艳——跟 aaPanel 那种扁平化设计比,它还是一股"工科男"味,功能全堆脸上、不太讲究留白。但有两点我很买账:一是响应式做得扎实,我在手机 Chrome 上打开它重启个 Nginx 毫无障碍,应急够用;二是它内置了 Filemin 文件管理器(HTML5,拖拽上传、右键菜单都有)和一个基于 Xterm.js 的网页终端。这俩一上,我基本告别了单独开 FTP 和 SSH 客户端。
116 个模块,挑几个我真天天点的
116 个模块是什么概念?菜单一拉,滚动条缩成一个小方块。我捡常用的说。
系统层:用户和组管理最高频,新增、改密码、设过期、调配额,不用背 useradd 那串参数;包管理直接调系统的 apt/dnf,能看哪些包有安全更新;Cron 定时任务带语法校验和执行日志,比 crontab -e 友好太多;再加开机项、日志、进程管理、磁盘挂载、SMART 健康监控。
服务层才是它的看家本事:Apache / Nginx 建虚拟主机、配 SSL、设反代;MySQL、PostgreSQL 图形化建库建表、在线跑 SQL;BIND 管解析、Postfix / Dovecot 管邮件、Fail2Ban 挡爆破。我还在模块列表里翻到过一个 Minecraft 服务器模块——运维面板里塞个游戏服管理,这事儿很"Linux 社区"。
网络层:防火墙 iptables / firewalld / nftables 都支持,SSL 证书能接 Let's Encrypt 自动续期。
这些模块的共同逻辑是:你在网页填表单,它替你写配置、再 reload 服务。但它从不替你做判断——你配错了它也不拦着。这跟宝塔"什么都替你定好"的思路正好相反。Webmin 默认你知道自己在干嘛,只是懒得敲命令而已。
安全:听见"面板"两个字别急着放心
光夸不谈安全是耍流氓。Webmin 这两年爆过实打实的高危洞:2024 年底的 CVE-2024-12828(认证后命令注入拿 root)、2025 年初的 CVE-2025-2774(CRLF 注入提权)。
但有两个事实得摆出来:一是这类洞的利用前提基本都是"已登录用户",攻击者得先能进你面板才谈得上搞事;二是团队响应很快,后一个洞在 2.302 版本里没几天就修了。真正把人坑了的,往往不是漏洞本身,而是把面板裸挂公网、不改默认端口、不开二次验证的用法——这种姿势,换哪个面板都扛不住。
我给每台机器做的加固就三件事,外加一道保险:
# 1) 把默认 10000 端口改成随机五位数(挡掉绝大多数无差别扫描)
# 2) 开双因素认证(支持 Google Authenticator,密码泄了也没用)
# 3) 用 Let's Encrypt 给面板换可信证书(内置 ACME,自动续期)
# 4) 再加一道:源 IP 白名单,只放固定 IP 进来
四道门一关,攻击面基本可以忽略。
跟谁比,位置都清楚了
宝塔 / aaPanel:流畅是真流畅,一键建站、免费 WAF 都香,但它替你做的决定太多——改乱系统路径、换自己的源、卸载留残留,用久了你会对自己服务器越来越陌生。漏洞也是隔段时间就来一发。
Cockpit:红帽出品,轻量、原生、跟 systemd 贴得很紧,看负载、管容器很顺手。问题是它只管系统层——你想建个 Nginx 虚拟主机、改条 DNS 记录?没有。它是个"看"的仪表盘,不是"管"的面板。
Webmin 的位置就此清晰了:它不最漂亮、不最方便,但它最大的好处是不替你包装 Linux,装完你的系统还是你的系统。国内一些老手玩"Webmin + 1Panel"双面板——Webmin 管底层(防火墙、用户、磁盘、备份),1Panel 管应用层(Docker、建站),互不打架,我觉得是挺聪明的搭法。
这几种人别碰,这几种人值得装
我不爱给工具贴"适合谁"的标签,但 Webmin 确实不是给所有人的。
只想搭个 WordPress、连域名解析都还没摸清的新手,别碰——那 116 个模块会直接把你吓跑,老实用宝塔,它替你做的决定在这个阶段是帮你;靠虚拟主机托管吃饭、客户要独立面板和自动开票的,Webmin 原生干不了,得加 Virtualmin 勉强对标 cPanel,体验还差一截,不如直接买 cPanel 授权。
但如果你手里管着三五台 Linux、不想每台都 SSH 敲一遍,又被宝塔的漏洞新闻吓够了、想要个透明不改系统的方案——Webmin 值得你花个下午装上试试。去 webmin.com/download 找对应系统的包,一条命令三分钟装完。进来第一件事别急着玩模块:先把端口改了、2FA 开了、证书配了,再去探索。
一个开源项目能活 28 年,道理其实不绕:它做的事简单、有用,而且一直没动别的心思。