discuz论坛安全防护之PHP类型站点服务器安全维护
一般来讲,网站安全无非是服务器安全加固、网站安全加固、日常管理三个方面的内容,这儿以discuz论坛为例简单的介绍下
服务器安全加固
确保网站安全首先要保证服务器各项组件的安全,如discuz服务器的一般组件有Apache、php、mysql等,确保这些第三方软件安全有如下一些原则:
1、权限最小化
a) Webserver及数据库服务均以非root权限启动;
b) 文件属主与webserver进程属主不同(一般设置文件的属主为root)
c) 确保discuz网站的目录和文件权限最小化。
e) 可写的目录没有执行脚本权限,可执行脚本权限的目录不可写。
2、默认选项需要加固
a) 删除默认webserver页面
3、敏感信息不显示
a) 关闭webserver的目录浏览功能
4、开启日志记录
a) 开启webserver的日志记录功能
b) 开启php的错误日志记录功能
5、实施ip策略
a) 数据库仅开放在内网
b) 不允许任意ip连接数据库
c) Iptables禁止所有的非法连接
d) 管理目录仅允许内网访问
网站安全加固
服务器足够安全只是网站安全的前提,确保网站安全大致有如下措施:
1、账户安全
a) 用户密码需要加密存储
b) 用户密码需要采用密文的形式在网络上传输
2、后台管理
a) 后台管理界面需要使用双因子确保管理员的合法性。常见的因子如(ip策略、token、用户密码)等。
3、业务配置
a) 针对discuz业务特性,在安装的时候会删除不必要的插件
d) 遵循Discuz常见安全配置
1、 所有的第三方软件均需要使用最新版本,确保安全。
2、 关注所用到的第三方软件的安全信息,及时更新补丁或升级
4、 dz论坛统一管理。统一化的管理可以高效的对discuz论坛进行更新、维护,避免出现各个管理员对安全信息掌握不一致的问题。
5、 增加dz的网站风险检测系统,24扫描dz站点,及时掌握dz的安全状况
6、 增加漏洞收集渠道,更好的掌握自身产品的安全漏洞。
还可以经常使用安全宝、加速乐这一类的防护工具进行检查维护
服务器安全加固
确保网站安全首先要保证服务器各项组件的安全,如discuz服务器的一般组件有Apache、php、mysql等,确保这些第三方软件安全有如下一些原则:
1、权限最小化
a) Webserver及数据库服务均以非root权限启动;
b) 文件属主与webserver进程属主不同(一般设置文件的属主为root)
c) 确保discuz网站的目录和文件权限最小化。
目录权限除必须为777的目录外,其他目录权限须设置为755
文件权限除必须为777的文件外,其他文件权限须设置为644
d) 数据库与webserver不在同一台机器上文件权限除必须为777的文件外,其他文件权限须设置为644
e) 可写的目录没有执行脚本权限,可执行脚本权限的目录不可写。
常见可写目录为:./config、./data、./uc_client/data/、./uc_server/data/
常见不可解析php的目录为:./data/、diy、template、attachment、./install/images、
./uc_server/data、forumdata、images
在apache中配置不允许执行php权限如下:
f) 控制脚本仅允许访问网站文件常见不可解析php的目录为:./data/、diy、template、attachment、./install/images、
./uc_server/data、forumdata、images
在apache中配置不允许执行php权限如下:
<Directory "/discuz/data/"> php_flag engine off <Files ~ ".php"> Order allow,deny Deny from all </Files></Directory>
在php.ini中配置open_basedir项为网站目录
2、默认选项需要加固
a) 删除默认webserver页面
如apache需要删除icons和manual两个目录
b) 禁用php危险函数在php.ini配置:
disable_functions=exec,popen,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open
disable_functions=exec,popen,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open
3、敏感信息不显示
a) 关闭webserver的目录浏览功能
Apache配置文件中的目录配置项的“Indexes”删除或者改为“-Indexes”
b) 关闭php的错误消息显示Php配置:display_errors = Off
4、开启日志记录
a) 开启webserver的日志记录功能
CustomLog /www/logs/access_log common
b) 开启php的错误日志记录功能
log_errors = On
error_log = D:/usr/local/apache2/logs/php_error.log
注意:该文件必须允许apache用户的和组具有写的权限
error_log = D:/usr/local/apache2/logs/php_error.log
注意:该文件必须允许apache用户的和组具有写的权限
5、实施ip策略
a) 数据库仅开放在内网
b) 不允许任意ip连接数据库
c) Iptables禁止所有的非法连接
d) 管理目录仅允许内网访问
网站安全加固
服务器足够安全只是网站安全的前提,确保网站安全大致有如下措施:
1、账户安全
a) 用户密码需要加密存储
b) 用户密码需要采用密文的形式在网络上传输
2、后台管理
a) 后台管理界面需要使用双因子确保管理员的合法性。常见的因子如(ip策略、token、用户密码)等。
3、业务配置
a) 针对discuz业务特性,在安装的时候会删除不必要的插件
api目录(外部接口)里的以下功能如果不使用可以删除
Db目录 ---> UCenter数据库备份接口google---google引擎使用
Javascript目录 ---> 数据和广告的js调用
Trade目录 ---> 在线支付接口
Manyou目录 ---> 漫游和云平台使用
b) 关闭论坛的个人空间,防止恶意钓鱼,欺诈。Db目录 ---> UCenter数据库备份接口google---google引擎使用
Javascript目录 ---> 数据和广告的js调用
Trade目录 ---> 在线支付接口
Manyou目录 ---> 漫游和云平台使用
Discuz! X1.5关闭个人空间方式:
修改文件 source/module/home/home_space.php,搜索如下代码:
$do=(!empty($_GET['do'])&&in_array($_GET['do'], $dos))?$_GET['do']:'index';
下面添加如下代码:
if(in_array($do, array('home', 'doing', 'blog', 'album', 'share', 'wall'))) {
showmessage('抱歉,家园功能尚未开启', 'forum.php');
}
Discuz! X2关闭个人空间方式:
后台->全局->站点功能->功能模块(是否开启家园功能,点否即可关闭)
c) 检查crossdomain.xml文件,限制到特定的域名或者将此文件删除。修改文件 source/module/home/home_space.php,搜索如下代码:
$do=(!empty($_GET['do'])&&in_array($_GET['do'], $dos))?$_GET['do']:'index';
下面添加如下代码:
if(in_array($do, array('home', 'doing', 'blog', 'album', 'share', 'wall'))) {
showmessage('抱歉,家园功能尚未开启', 'forum.php');
}
Discuz! X2关闭个人空间方式:
后台->全局->站点功能->功能模块(是否开启家园功能,点否即可关闭)
d) 遵循Discuz常见安全配置
1、forumfounders= '1'
论坛创始人UID,建议只有一个创始人。
2、论坛防御级别配置attackevasive = 0 (由于会影响用户,这里默认是0,如果遭到 攻击,可以自行尝试1,2,4,8的配置)
论坛防御级别,可防止大量的非正常请求造成的拒绝服务攻击。
3、urlxssdefend = 1
论坛访问页面防御开关。
4、admincp['forcesecques'] = 1
管理人员必须设置安全提问才能进入系统设置,0=否,1=是【安全】。
5、admincp['checkip'] = 1
后台管理操作是否验证管理员的 IP,1=是【安全】,0=否。
6、admincp['tpledit'] = 0 (这项针对discuz! 7.2的安全配置)
是否允许在线编辑论坛模板 1=是 0=否【安全】。
7、admincp['runquery'] = 0
是否允许后台运行SQL语句1=是,0=否【安全】。
8、admincp['dbimport'] = 0
是否允许后台恢复论坛数据 1=是 0=否【安全】。
日常管理论坛创始人UID,建议只有一个创始人。
2、论坛防御级别配置attackevasive = 0 (由于会影响用户,这里默认是0,如果遭到 攻击,可以自行尝试1,2,4,8的配置)
论坛防御级别,可防止大量的非正常请求造成的拒绝服务攻击。
3、urlxssdefend = 1
论坛访问页面防御开关。
4、admincp['forcesecques'] = 1
管理人员必须设置安全提问才能进入系统设置,0=否,1=是【安全】。
5、admincp['checkip'] = 1
后台管理操作是否验证管理员的 IP,1=是【安全】,0=否。
6、admincp['tpledit'] = 0 (这项针对discuz! 7.2的安全配置)
是否允许在线编辑论坛模板 1=是 0=否【安全】。
7、admincp['runquery'] = 0
是否允许后台运行SQL语句1=是,0=否【安全】。
8、admincp['dbimport'] = 0
是否允许后台恢复论坛数据 1=是 0=否【安全】。
1、 所有的第三方软件均需要使用最新版本,确保安全。
2、 关注所用到的第三方软件的安全信息,及时更新补丁或升级
4、 dz论坛统一管理。统一化的管理可以高效的对discuz论坛进行更新、维护,避免出现各个管理员对安全信息掌握不一致的问题。
5、 增加dz的网站风险检测系统,24扫描dz站点,及时掌握dz的安全状况
6、 增加漏洞收集渠道,更好的掌握自身产品的安全漏洞。
还可以经常使用安全宝、加速乐这一类的防护工具进行检查维护
>更多相关文章
- 11-15不看后悔!程序员防御XSS的无奈
- 11-10揭秘Web黑客3种注入点判断方法
- 11-10黑客Web脚本注入攻击深度剖析
- 10-21全球无线网络面临黑客攻击风险 WiFi曝安全漏洞
- 02-24iPhone再爆安全漏洞 黑客1分钟可盗照片及加密信息
- 02-22互联网金融风险 警示网站漏洞或成“致命点”
首页推荐
佛山市东联科技有限公司一直秉承“一切以用户价值为依归
- 01-11全球最受赞誉公司揭晓:苹果连续九年第一
- 12-09罗伯特·莫里斯:让黑客真正变黑
- 12-09谁闯入了中国网络?揭秘美国绝密黑客小组TA
- 12-09警示:iOS6 惊现“闪退”BUG
- 04-29通用智能人“通通”亮相中关村论坛
- 04-29拼多多投入45亿补贴,助力上海“五五购物节
- 04-29通义千问再开源 推出最大尺寸1100亿参数模型
- 04-29【环球视线】比亚迪交付首列出海云轨
- 04-21中国产品数字护照体系加速建设
相关文章
24小时热门资讯
24小时回复排行
热门推荐
最新资讯
操作系统
黑客防御
粤公网安备 44060402001498号