欢迎来到天天文库
浏览记录
ID:62033327
大小:59.00 KB
页数:2页
时间:2021-04-15
《Discuz论坛安全加固浅析.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、Discuz论坛安全加固浅析Discuz!论坛以其功能完善、效率高效、负载能力,深受被大多数的网站喜爱和青睐.无独有隅,笔者所维护的论坛就是用discuz! 来构建的,从接手时候的7。2到现在x2。0,经历了数次的二次开发和发布,感触颇多。言归正传,本篇主要从nginx安全加固、discuz文件目录、mysql用户权限等方面来阐述discuz论坛安全加固,希望给大家一点灵感。1.Nginx安全加固作为web的前端,在上面加强安全防护,效率比php要高多了。针对discuz!X2.0论坛nginx安全加固如下:location ~*^/(data
2、images|
3、config
4、static|source)/.*.(php|php5)$ {denyall; }意思是dataimagesconfigstaticsource等目录及其所有的php不能从web访问,这样避免黑客在上传上面的目录上传的木马无法运行,返回403错误.当然最直接的方法就是先将所有的文件禁止运行,然后加入需要放开的php和目录,这样做起最直接,而且最彻底。例如:(只是举个例子而已,千万不要直接拿到自己的生产环境去!否则,你会哭的。)location~(index|forumn|api|home|)。*.(php)?$ { allowall;
5、 fastcgi_pass127.0.0.1:9000; fastcgi_indexindex.php; includefcgi.conf;}2.discuz目录加固不要听信网上所有将目录设置为777,这样的话,任何用户都已对目录可写可执行。正确的做法如下:1)运行nginx和php的用户应该这样来设置useradd -gwww-d/data0/htdocs —s/sbin/nologin www 意思:创建一个www用户根目录在/data0/htdocs使用shell是/sbin/nologin(不允许登录)2)针对discuz!X2.0目录权限可以设
6、置:进入论坛根目录find source-typed-maxdepth4-exec chmod555 {};findapi—typed—maxdepth 4—exec chmod555{};findstatic —typed -maxdepth 4 -exec chmod 555 {};findarchive—typed—maxdepth4—execchmod555 {};findconfig-typed-maxdepth4—execchmod555 {};find data-type d-maxdepth 4-execchmod 755{};#
7、data需要写缓存所以权限为755findtemplate-typed—maxdepth4-execchmod555{};finduc_client-type d -maxdepth4-execchmod 555 {};3) 针对discuz!X2。0文件权限可以设置:进入论坛根目录find. —type f-maxdepth—exec chmod444 {};#设置论坛目录的文件只可读,然后设置那些需要写的文件,一般只有data下的文件是可以的。finddata— typef -maxdepth -execchmod755 {};#设置dat
8、a文件为7553.mysql权限设置:1)mysql用户权限:用户的权限应严格限制,不应该有的权限全部去掉。比如该用户只需执行select 语句,且只能操作某个库,那么只赋予select权限和限制在某个库即可,千万不要画蛇添脚,添加deleteupdate权限等。例如下图所示2)限制来源ip:这一点是最容易让人遗忘,可能测试放开了来源ip,但是上线的时候却忘记了。但是带来的后果确实不堪设想。设置用户的来源ip比如只允许来源ip192。168.1.2可以连接。例如下图所示以上我对discuz!论坛安全加固的一点点总结,因为是抽出很少时间来整理,所以难免有错误发生
9、,希望大家不啬赐教。有一句话送给大家 “安全是相对,没有绝对的”,在以后说不定又有新的问题接踵而来,这就需要大家对新的问题详细分析,对症下药.温县论坛:www.wenxian365.com
此文档下载收益归作者所有
