分類目錄
186個;
已收錄資訊
9553篇;
已收錄
9652站;
待審網站
1872站;
當月收錄0站;
今日審核0站;
Discuz是康盛公司推出的一套通用社區論壇軟件系統,用戶可以在不需要任何編程基礎上,通過簡單的設置和安裝,在互聯網上搭建起具有完善功能、高負載、高定制的論壇。Discuz是一個經過完善設計,適用于各種服務器環境的高效論壇系統解決方案。
由于Discuz的安裝和管理極其方便,許多企業管理員并未對他的安全風險有相應的了解;Discuz作為開源軟件,歷史上被發現若干安全漏洞,極容易導致服務器被入侵。
出于工作需要,筆者經常會接觸到公司的各類Discuz論壇,對Discuz的安全問題十分關注,這里給大家分享一些關于discuz論壇防護的方案,希望能給廣大企業用戶提供幫助。
Discuz論壇管理大致分為服務器安全加固、網站安全加固、日常管理三個方面的內容,以下是詳細的實施方案可供參考。
服務器安全加固
確保網站安全首先要保證服務器各項組件的安全,如discuz服務器的一般組件有Apache、php、mysql等,確保這些第三方軟件安全有如下一些原則:
1、權限最小化
a) Webserver及數據庫服務均以非root權限啟動;
b) 文件屬主與webserver進程屬主不同(一般設置文件的屬主為root)
c) 確保discuz網站的目錄和文件權限最小化。
目錄權限除必須為777的目錄外,其他目錄權限須設置為755
文件權限除必須為777的文件外,其他文件權限須設置為644
d) 數據庫與webserver不在同一臺機器上
e) 可寫的目錄沒有執行腳本權限,可執行腳本權限的目錄不可寫。
常見可寫目錄為:./config、./data、./uc_client/data/、./uc_server/data/
常見不可解析php的目錄為:./data/、diy、template、attachment、./install/images、
./uc_server/data、forumdata、images
在apache中配置不允許執行php權限如下:
<directory "="" discuz="" data="">
php_flag engine off
Order allow,deny
Deny from all
f) 控制腳本僅允許訪問網站文件
在php.ini中配置open_basedir項為網站目錄
2、默認選項需要加固
a) 刪除默認webserver頁面
如apache需要刪除icons和manual兩個目錄
b) 禁用php危險函數
在php.ini配置:
disable_functions=exec,popen,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open
3、敏感信息不顯示
a) 關閉webserver的目錄瀏覽功能
Apache配置文件中的目錄配置項的“Indexes”刪除或者改為“-Indexes”
b) 關閉php的錯誤消息顯示
Php配置:display_errors = Off
4、開啟日志記錄
a) 開啟webserver的日志記錄功能
CustomLog /www/logs/access_log common
b) 開啟php的錯誤日志記錄功能
log_errors = On
error_log = D:/usr/local/apache2/logs/php_error.log
注意:該文件必須允許apache用戶的和組具有寫的權限
5、實施ip策略
a) 數據庫僅開放在內網
b) 不允許任意ip連接數據庫
c) Iptables禁止所有的非法連接
d) 管理目錄僅允許內網訪問
網站安全加固
服務器足夠安全只是網站安全的前提,確保網站安全大致有如下措施:
1、賬戶安全
a) 用戶密碼需要加密存儲
b) 用戶密碼需要采用密文的形式在網絡上傳輸
2、后臺管理
a) 后臺管理界面需要使用雙因子確保管理員的合法性。常見的因子如(ip策略、token、用戶密碼)等。
3、業務配置
a) 針對discuz業務特性,在安裝的時候會刪除不必要的插件
api目錄(外部接口)里的以下功能如果不使用可以刪除
Db目錄 ---> UCenter數據庫備份接口google---google引擎使用
Javascript目錄 ---> 數據和廣告的js調用
Trade目錄 ---> 在線支付接口
Manyou目錄 ---> 漫游和云平臺使用
b) 關閉論壇的個人空間,防止惡意釣魚,欺詐。
Discuz! X1.5關閉個人空間方式:
修改文件 source/module/home/home_space.php,搜索如下代碼:
$do=(!empty($_GET['do'])&&in_array($_GET['do'], $dos))?$_GET['do']:'index';
下面添加如下代碼:
if(in_array($do, array('home', 'doing', 'blog', 'album', 'share', 'wall'))) {
showmessage('抱歉,家園功能尚未開啟', 'forum.php');
}
Discuz! X2關閉個人空間方式:
后臺->全局->站點功能->功能模塊(是否開啟家園功能,點否即可關閉)
c) 檢查crossdomain.xml文件,限制到特定的域名或者將此文件刪除。
d) 遵循Discuz常見安全配置
1、forumfounders= '1'
論壇創始人UID,建議只有一個創始人。
2、論壇防御級別配置attackevasive = 0 (由于會影響用戶,這里默認是0,如果遭到 攻擊,可以自行嘗試1,2,4,8的配置)
論壇防御級別,可防止大量的非正常請求造成的拒絕服務攻擊。
3、urlxssdefend = 1
論壇訪問頁面防御開關。
4、admincp['forcesecques'] = 1
管理人員必須設置安全提問才能進入系統設置,0=否,1=是【安全】。
5、admincp['checkip'] = 1
后臺管理操作是否驗證管理員的 IP,1=是【安全】,0=否。
6、admincp['tpledit'] = 0 (這項針對discuz! 7.2的安全配置)
是否允許在線編輯論壇模板 1=是 0=否【安全】。
7、admincp['runquery'] = 0
是否允許后臺運行SQL語句1=是,0=否【安全】。
8、admincp['dbimport'] = 0
是否允許后臺恢復論壇數據 1=是 0=否【安全】。
日常管理
1、 所有的第三方軟件均需要使用最新版本,確保安全。
2、 關注所用到的第三方軟件的安全信息,及時更新補丁或升級。如dz論壇容易出現nginx的解析漏洞
在PHP的配置文件php.ini中配置cgi.fix_pathinfo = 0,防止nginx文件解析漏洞
3、 關注官方發布的安全信息。
4、 dz論壇統一管理。統一化的管理可以高效的對discuz論壇進行更新、維護,避免出現各個管理員對安全信息掌握不一致的問題。
5、 增加dz的網站風險檢測系統,24掃描dz站點,及時掌握dz的安全狀況
6、 增加漏洞收集渠道,更好的掌握自身產品的安全漏洞。
作為普通網站的管理人員,通常需要遵循服務器安全加固中的1,2,3,4四點、網站安全加固的1,2兩點、及日常管理的1,2,3三點用于確保網站的安全性。
中小型企業若使用到discuz論壇可以參考網站安全加固的業務配置選項,更好的防御discuz論壇。
此文由 網站目錄_網站網址收錄與提交入口 編輯,未經允許不得轉載!: