Discuz論壇安全加固淺析
原創(chuàng)【51CTO專稿】Discuz! 論壇以其功能完善、效率高效、負(fù)載能力,深受被大多數(shù)的網(wǎng)站喜愛和青睞。無獨有隅,筆者所維護的論壇就是用discuz! 來構(gòu)建的,從接手時候的7.2到現(xiàn)在x2.0,經(jīng)歷了數(shù)次的二次開發(fā)和發(fā)布,感觸頗多。
言歸正傳,本篇主要從nginx 安全加固、discuz 文件目錄、mysql 用戶權(quán)限等方面來闡述discuz論壇安全加固,希望給大家一點靈感。
1.Nginx安全加固
作為web的前端,在上面加強安全防護,效率比php要高多了。針對discuz! X2.0論壇nginx安全加固如下:
location ~* ^/(data|images|config|static|source)/.*\.(php|php5)$
{
deny all;
}
意思是data images config static source等目錄及其所有的php不能從web訪問,這樣避免黑客在上傳上面的目錄上傳的木馬無法運行,返回403錯誤。當(dāng)然最直接的方法就是先將所有的文件禁止運行,然后加入需要放開的php和目錄,這樣做起最直接,而且最徹底。
例如:(只是舉個例子而已,千萬不要直接拿到自己的生產(chǎn)環(huán)境去!否則,你會哭的。)
location ~ (index|forumn|api|home|).*\.(php)?$
{
allow all;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
include fcgi.conf;
}
2.discuz目錄加固
不要聽信網(wǎng)上所有將目錄設(shè)置為777,這樣的話,任何用戶都已對目錄可寫可執(zhí)行。正確的做法如下:
1)運行 nginx 和php 的用戶應(yīng)該這樣來設(shè)置 useradd -g www -d /data0/htdocs -s /sbin/nologin www 意思:創(chuàng)建一個www用戶根目錄在/data0/htdocs 使用shell 是/sbin/nologin(不允許登錄)
2)針對discuz!X2.0目錄權(quán)限可以設(shè)置:
進入論壇根目錄
find source -type d -maxdepth 4 -exec chmod 555 \ {};
find api -type d -maxdepth 4 -exec chmod 555 \ {};
find static -type d -maxdepth 4 -exec chmod 555 \ {};
find archive -type d -maxdepth 4 -exec chmod 555 \ {};
find config-type d -maxdepth 4 -exec chmod 555 \ {};
find data- type d -maxdepth 4 -exec chmod 755 \ {}; #data需要寫緩存所以權(quán)限為755
find template - type d -maxdepth 4 -exec chmod 555 \ {};
find uc_client - type d -maxdepth 4 -exec chmod 555 \ {};
3) 針對discuz!X2.0文件權(quán)限可以設(shè)置:
進入論壇根目錄
find . - type f -maxdepth -exec chmod 444 \ {};#設(shè)置論壇目錄的文件只可讀,然后設(shè)置那些需要寫的文件,一般只有data下的文件是可以的。
find data - type f -maxdepth -exec chmod 755 \ {};#設(shè)置data 文件為755
3.mysql權(quán)限設(shè)置:
1)mysql 用戶權(quán)限:用戶的權(quán)限應(yīng)嚴(yán)格限制,不應(yīng)該有的權(quán)限全部去掉。比如該用戶只需執(zhí)行select 語句,且只能操作某個庫,那么只賦予select 權(quán)限和限制在某個庫即可,千萬不要畫蛇添腳,添加delete update權(quán)限等。例如下圖所示
2)限制來源ip:這一點是最容易讓人遺忘,可能測試放開了來源ip,但是上線的時候卻忘記了。但是帶來的后果確實不堪設(shè)想。設(shè)置用戶的來源ip比如只允許來源ip 192.168.1.2可以連接。例如下圖所示
以上我對discuz!論壇安全加固的一點點總結(jié),因為是抽出很少時間來整理,所以難免有錯誤發(fā)生,希望大家不嗇賜教。有一句話送給大家 “安全是相對,沒有絕對的”,在以后說不定又有新的問題接踵而來,這就需要大家對新的問題詳細分析,對癥下藥。
作者簡介:崔曉輝,網(wǎng)名coralzd,大眾網(wǎng)系統(tǒng)管理員,精通網(wǎng)站系統(tǒng)架構(gòu)、Unix技術(shù)。gtalk:coralzd@gmail.com
