自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

Discuz論壇安全加固淺析

原創(chuàng)
作者:崔曉輝
系統(tǒng) Linux
Discuz! 論壇以其功能完善、效率高效、負(fù)載能力,深受被大多數(shù)的網(wǎng)站喜愛和青睞。無獨有隅,筆者所維護(hù)的論壇就是用discuz! 來構(gòu)建的,從接手時候的7.2到現(xiàn)在x2.0,經(jīng)歷了數(shù)次的二次開發(fā)和發(fā)布。本篇主要從nginx 安全加固、discuz 文件目錄、mysql 用戶權(quán)限等方面來闡述discuz論壇安全加固,希望給大家一點靈感。

【51CTO專稿】Discuz! 論壇以其功能完善、效率高效、負(fù)載能力,深受被大多數(shù)的網(wǎng)站喜愛和青睞。無獨有隅,筆者所維護(hù)的論壇就是用discuz! 來構(gòu)建的,從接手時候的7.2到現(xiàn)在x2.0,經(jīng)歷了數(shù)次的二次開發(fā)和發(fā)布,感觸頗多。

言歸正傳,本篇主要從nginx 安全加固、discuz 文件目錄、mysql 用戶權(quán)限等方面來闡述discuz論壇安全加固,希望給大家一點靈感。

1.Nginx安全加固

作為web的前端,在上面加強安全防護(hù),效率比php要高多了。針對discuz! X2.0論壇nginx安全加固如下:

location ~* ^/(data|images|config|static|source)/.*\.(php|php5)$
   {
   deny all;
   }

意思是data images config static source等目錄及其所有的php不能從web訪問,這樣避免黑客在上傳上面的目錄上傳的木馬無法運行,返回403錯誤。當(dāng)然最直接的方法就是先將所有的文件禁止運行,然后加入需要放開的php和目錄,這樣做起最直接,而且最徹底。

 例如:(只是舉個例子而已,千萬不要直接拿到自己的生產(chǎn)環(huán)境去!否則,你會哭的。)

location ~ (index|forumn|api|home|).*\.(php)?$
    {
                allow all;
                fastcgi_pass  127.0.0.1:9000;
                fastcgi_index index.php;
                include fcgi.conf;
}

2.discuz目錄加固

不要聽信網(wǎng)上所有將目錄設(shè)置為777,這樣的話,任何用戶都已對目錄可寫可執(zhí)行。正確的做法如下:

1)運行 nginx 和php 的用戶應(yīng)該這樣來設(shè)置 useradd -g www -d /data0/htdocs -s /sbin/nologin  www 意思:創(chuàng)建一個www用戶根目錄在/data0/htdocs 使用shell 是/sbin/nologin(不允許登錄)

2)針對discuz!X2.0目錄權(quán)限可以設(shè)置:

進(jìn)入論壇根目錄

find source -type d -maxdepth 4 -exec chmod 555 \ {};
find api -type d -maxdepth 4 -exec chmod 555 \ {};
find static -type d -maxdepth 4 -exec chmod 555 \ {};
find archive -type d -maxdepth 4 -exec chmod 555 \ {};
find config-type d -maxdepth 4 -exec chmod 555 \ {};
find data- type d -maxdepth 4 -exec chmod 755 \ {}; #data需要寫緩存所以權(quán)限為755
find template - type d -maxdepth 4 -exec chmod 555 \ {};
find uc_client - type d -maxdepth 4 -exec chmod 555 \ {};

3)    針對discuz!X2.0文件權(quán)限可以設(shè)置:

進(jìn)入論壇根目錄

find . - type f -maxdepth -exec chmod 444 \ {};#設(shè)置論壇目錄的文件只可讀,然后設(shè)置那些需要寫的文件,一般只有data下的文件是可以的。
find data - type f -maxdepth -exec chmod 755 \ {};#設(shè)置data 文件為755

3.mysql權(quán)限設(shè)置:

1)mysql 用戶權(quán)限:用戶的權(quán)限應(yīng)嚴(yán)格限制,不應(yīng)該有的權(quán)限全部去掉。比如該用戶只需執(zhí)行select 語句,且只能操作某個庫,那么只賦予select 權(quán)限和限制在某個庫即可,千萬不要畫蛇添腳,添加delete update權(quán)限等。例如下圖所示

MySQL用戶權(quán)限

2)限制來源ip:這一點是最容易讓人遺忘,可能測試放開了來源ip,但是上線的時候卻忘記了。但是帶來的后果確實不堪設(shè)想。設(shè)置用戶的來源ip比如只允許來源ip 192.168.1.2可以連接。例如下圖所示

限制來源ip

以上我對discuz!論壇安全加固的一點點總結(jié),因為是抽出很少時間來整理,所以難免有錯誤發(fā)生,希望大家不嗇賜教。有一句話送給大家 “安全是相對,沒有絕對的”,在以后說不定又有新的問題接踵而來,這就需要大家對新的問題詳細(xì)分析,對癥下藥。

作者簡介:崔曉輝,網(wǎng)名coralzd,大眾網(wǎng)系統(tǒng)管理員,精通網(wǎng)站系統(tǒng)架構(gòu)、Unix技術(shù)。gtalk:coralzd@gmail.com  

 

責(zé)任編輯:yangsai 來源: 51CTO.com
安全Discuz
相關(guān)推薦

2023-01-03 09:10:21

2011-03-23 17:19:07

LAMPDiscuz

2010-01-28 15:15:45

互聯(lián)網(wǎng)

2011-06-24 16:35:27

A5論壇升級至Disc

2009-10-14 15:27:25

互聯(lián)網(wǎng)

2021-08-12 10:31:59

MySQL安全方法

2011-12-05 13:09:08

2011-04-06 13:39:18

2010-03-08 11:25:33

2021-08-05 10:21:18

NSAKubernetes安全

2021-08-26 10:05:31

APP安全加密網(wǎng)絡(luò)攻擊

2009-10-14 09:46:18

2022-11-24 13:17:43

2013-08-22 15:47:22

2023-12-13 18:33:17

2013-07-15 10:39:43

2024-03-20 15:25:43

2013-12-16 17:35:14

2022-04-26 10:13:02

API漏洞安全

2009-02-07 09:59:54

foxmail加密安全
點贊
收藏

51CTO技術(shù)棧公眾號