当前位置:»论坛 社区酒吧 社区管理 系统测试和优化 帖子
返回列表 发新帖
点标签看更多好帖
广告 前台
开启左侧

关于mod_security

[复制链接] 2
回复 1922
查看 打印 上一主题 下一主题
楼主
跳转到指定楼层
发表于 2017-1-21 21:32 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
前一段发生403在保存前台,DIY时候,都是mod_security
( m& X: z$ H: _  o* w9 \2 ^
, X  D4 W. i8 F2 R5 U$ x后台保存站点广告,如果含有一定词汇,也会出现。6 G6 X7 s+ k8 I0 _9 T

+ I7 T. N8 K: t' B3 n4 c8 G看到这里有,黏贴学习:0 M& {+ r* C8 J0 J# X( [8 W
8 ^1 w7 M% j4 g$ m/ T) X
https://www.tipsandtricks-hq.com/apache-mod-security-update-how-to-fix-error-406-or-not-acceptable-issue-259' i/ e, {, R0 _3 O% p

; M2 q7 D0 l( i1 B; M5 |2 o/ }
  1. Apache Mod Security update, How to Fix ‘Error 406’ or ‘Not Acceptable’ issue
    9 s6 E, y! ^+ |0 ~% N6 [
  2. last updated: october 28, 2016
    0 [& y9 R# s" q- e
  3. Few weeks ago I started having “Not Acceptable! Error 406” on one of my WordPress sites when trying to save a post or a page. I kept getting the following message when trying to save a post.  g2 w1 e$ o2 L9 B5 M) H% |+ O
  4. 3 w! N# U7 ~' p
  5. Not Acceptable
    9 Z3 Q6 Z9 P. g5 n, D4 L" V
  6. An appropriate representation of the requested resource /wp-admin/post.php could not be found on this server) y9 g( ?6 K9 q8 o4 E- E8 c9 T5 u

  7. 3 Z& k' J, E/ P: R5 f' P
  8. I tried many fixes and nothing seemed to have helped getting rid of the issue. So I decided to reinstall WordPress (How to Uninstall and Reinstall WordPress). Even the reinstall didn’t help! Later I found out that the “Not acceptable! Error 406” occurs due to Mod Security updates on the server. So if you are having a similar problem then you can try one of the following methods to fix it.
    - Z# D  O* {% {, m# j

  9. $ b0 v- z: a* C8 S. L8 e
  10. Solution 1 for Fixing 406 Error
    $ N: o: @, }5 |% x. H

  11. ) o* [8 K# l$ q& l. b
  12. Backup your .htaccess file if you have one in the ‘wp-admin’ directory. Then make a ‘.htaccess’ file with the following content and upload it to ‘wp-admin’ directory.1 P5 b8 [) v: U9 }$ f
  13. . L4 M' [4 j; ~. E
  14. <IfModule mod_security.c>
    ! |8 `7 ?8 W* V5 X) W; g( H
  15. SecFilterEngine Off
    # T& w5 Z. q) R. m
  16. SecFilterScanPOST Off* x$ y3 P: ~% [0 `, n/ ]
  17. </IfModule>
    ( O2 W4 Q4 F  G* o
  18. You can use any text editor such as Notepad to create this file.! y# M" J4 M* r, R

  19. $ k7 U: S- L5 @: r( S
  20. You will need to upload this .htaccedss file to your server. So if you don’t know how to upload a file to your server then check this tutorial on FTP.: a8 s- r# c* ?' D

  21. 7 E* ^/ U+ i* M/ M7 n- ^! m8 m
  22. Solution 2 for Fixing 406 Error+ X, G/ b3 e) S$ b# |/ y8 I6 a4 D
  23. $ J4 |+ a2 E% m4 {; l: `
  24. This is the solution that worked for me for my WordPress site.
    7 ^1 `' Y+ V. z! I, t

  25. / N" g! w! t0 O& e
  26. Backup your .htaccess file if you have one in the public_html directory.
    ' k7 y8 s: @4 z, ~0 W$ n
  27. ) d  k- e5 R' {3 ~- `- W, ~) m
  28. Open the .htaccess file with any text editor and observe the lines between the “# BEGIN WordPress” and “# END WordPress” tags. Make sure the lines look somewhat like the following. If not then update the file with the following content and upload it to the ‘public_html’ directory.5 W2 G9 @( m: y  D. O5 y) z# s
  29.   P$ {" m# a8 P* d
  30. # BEGIN WordPress
    $ T6 J8 E3 s6 q# j: b3 Y5 X: @
  31. <IfModule mod_rewrite.c>
    ' q5 I! e* C+ _  @
  32. RewriteEngine On
    6 z! [( t! d+ s% Y
  33. RewriteBase /
    % c" b6 f- T$ k: Y% i6 A! E6 n
  34. RewriteCond %{REQUEST_FILENAME} !-f; e, d4 c" K4 {( g* P; k
  35. RewriteCond %{REQUEST_FILENAME} !-d- b5 u# e7 K, V1 V. v# b
  36. RewriteRule . /index.php [L]& Q5 r# B; B4 U# M
  37. </IfModule>; g- q+ h  g' y" p
  38. # END WordPress
    % Z2 j8 Q1 P* H2 a+ ~+ ]& p8 q. Y4 u3 P
  39. Hopefully one of these solutions help fix your “Not Acceptable” error.& X1 `) t- e& y+ i- Q. W: j

  40. $ r" U: P1 {: @  X) ?
  41. Good luck!
复制代码
& ]  m4 d4 w9 }. s4 h* v

9 V- n  s  L! N

转载请保留当前帖子的链接:https://www.beimeilife.com/thread-41419-1-1.html 谢谢
回复

使用道具 举报

你喜欢看
沙发
发表于 2017-1-21 21:33 | 只看该作者
http://www.bkjia.com/dedecms/362281.html
! W8 s7 A: \" P$ f" t
; K) x& r$ j9 D$ [+ W) f: k: N) |8 n
最近论坛里很多朋友求救,说出现了这个问题,最近我也被这个问题困扰着。多谢Funkey朋友的办法,问题终于解决。 % J+ F) d* f6 g+ E$ x: Z
5 o& i1 L- C6 b/ E6 T: P6 s9 u) L
问题说明:
1 o. ~) r- ?9 Y# f5 S( t
& w) k. K! V$ t6 [3 b2 _后台设置页面无法保存,出现如下500错误页面: ! f) j+ G3 ~. K, z
8 C# U7 I) w9 P. Z/ `& J
forbidden 8 P0 K3 R. c( F, K/ W
You don't have permission to access /dede/sys_info.php on this server.
7 }% Q" E2 Z; V- J3 d. X: {; Q/ a4 o$ g* g+ w
Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.
3 z- t4 S5 t$ S# \, d% X; i8 m; r- s9 ~0 ]4 d6 |
Apache Server at www.******.com Port 80 7 }8 A  h" N7 x6 H

# p; A2 M& q& C2 ?7 v问题一般出现在国外主机空间上【目前发现此问题的空间商有:Host1Plus,BlueHost,JustHost,Backy LLC】,dedecms 5.5 和 5.6 都会出现错误,可见是空间的问题,不是织梦的问题。
; q1 p- j; U! W, b1 S/ @, O5 w6 ]( X  Y( O
原因: 6 }3 }+ o1 Y/ m
经过多方核实,可以确定,大多数的国外主机在配置 Apache 的时候启用了 mod_security ,也就是开启了安全检查,如果提交的信息中包含 select , % , bin 等关键字,Apache 就会禁止,并给出 403,404,500 等错误。
4 n- W8 @7 I6 |; ^
6 b0 O; Z2 x! W: G解决方法: 5 C3 x8 T7 A/ t! L" ]
由于这个设置属于服务器级别的配置,如果是VPS用户,需要关闭 mod_security2 的检查(mod_security2.c);而如果是虚拟空间用户的话需要联系客服协助修改。
3 Y5 Z1 {6 P) h7 `2 `% i  e% E9 E
- q" a% O2 x! w% {5 w+ K1 W3 ?操作办法:
1 G% z1 m+ C3 T% O, F  @(虚拟空间用户)如果是CP面板,选择 Submit ticket——Paid hosting support,告诉客服自己使用 DEDE_CMS,请求将 mod_security 设置为 disabled 即可正常使用。
2 N( v3 j% i5 q3 f$ B/ U3 X英语不好的朋友,可以直接复制以下语句: 9 K8 b) r8 ?7 Y8 c0 [
引用
+ P; \* Q/ I- Y3 a* XI wanna use DEDE_CMS,So please change mod_security2.c settings to disable.

* U: e+ d5 @( E4 }1 Q9 E* B1 S/ l1 x: |, n1 \
原文地址:http://www.bkjia.com/dedecms/362281.html
- e! j9 F$ _0 `; N0 j0 B
回复 支持 反对

使用道具 举报

板凳
发表于 2017-1-22 11:46 | 只看该作者
XSS 防御设置 $_config['security']['urlxssdefend'] = true;        // 自身 URL XSS 防御                                4 q) T( |& y% J
* z# C8 y4 U" G' ^% ^2 l
CC 攻击防御
当你的站点发现被CC攻击时,你也可以在config中打开CC攻击防御,该防御有1/2/4/8四种防御方式,你除了可以配这四种外,还允许组合防御。例如:可以配成24,当配成24代表同时使用2跟4的两种防御攻击
$_config['security']['attackevasive'] = 0;                // CC 攻击防御 1|2|4|8                                
+ G8 k$ i( k' _  p+ R; \9 K) F1 X
SQL 安全性防御9 b5 d0 \5 z6 m  v: o0 n
  1. $_config['security']['querysafe']['status'] = 1;        // 是否开启SQL安全检测,可自动预防SQL注入攻击
    0 B% W* L6 m% M, {. Q9 F! m
  2. $_config['security']['querysafe']['dfunction']['0'] = 'load_file';2 z  y5 x' l& g7 W# W6 K
  3. $_config['security']['querysafe']['dfunction']['1'] = 'hex';- I+ W% X2 N, B% f4 }: @$ c/ d# t2 s
  4. $_config['security']['querysafe']['dfunction']['2'] = 'substring';
    : }  q6 x2 i! I" P3 L* ^
  5. $_config['security']['querysafe']['dfunction']['3'] = 'if';
    6 H! a# `2 B, a/ \+ \
  6. $_config['security']['querysafe']['dfunction']['4'] = 'ord';) L4 d# P0 n. x/ h- y
  7. $_config['security']['querysafe']['dfunction']['5'] = 'char';
    8 b  O6 K( c: C
  8. $_config['security']['querysafe']['daction']['0'] = 'intooutfile';
    0 N. c+ w: }3 t# r; j2 C) x
  9. $_config['security']['querysafe']['daction']['1'] = 'intodumpfile';+ i4 y( {. i* Q" P4 F8 Y8 Z; ^1 v9 s
  10. $_config['security']['querysafe']['daction']['2'] = 'unionselect';
    0 [* S& Q( T# K: V% F* s; c1 }1 f
  11. $_config['security']['querysafe']['daction']['3'] = '(select';0 f7 J* n1 y4 p+ k
  12. $_config['security']['querysafe']['daction']['4'] = 'unionall';
    7 W4 N$ z; l0 X1 P1 H
  13. $_config['security']['querysafe']['daction']['5'] = 'uniondistinct';
    , }& h% @% j+ }- M' W+ x# U
  14. $_config['security']['querysafe']['dnote']['0'] = '/*';4 j1 v3 ]  S5 e/ z6 }
  15. $_config['security']['querysafe']['dnote']['1'] = '*/';
    & c5 e# m8 j+ z) _# V. C* @  c* R/ z
  16. $_config['security']['querysafe']['dnote']['2'] = '#';8 b( T2 W! @% E' G4 o$ j0 g4 c
  17. $_config['security']['querysafe']['dnote']['3'] = '--';% i4 q% f& a% B' F* w2 _& ]5 U
  18. $_config['security']['querysafe']['dnote']['4'] = '"';
    ; }# w1 ^! n& U2 |  X7 G. u
  19. $_config['security']['querysafe']['dlikehex'] = 1;4 U8 ^  P: o$ ]1 w& g: y5 i
  20. $_config['security']['querysafe']['afullnote'] = '0';
复制代码
* {$ c7 C& d5 Q6 w$ _4 `

: h0 s; [9 Z6 U5 U* K9 \7 \: j( a5 O4 A3 _/ c. u

3 P" h% V" U. w5 {. L  G$ k: [/ Q* u# y& f7 {. G' ~

8 t/ D* e/ U9 \% o( d( R+ g  M" F1 I8 Z+ x/ [- J8 G
                     
/ o' e5 J( m  C3 `
在上面内容是关于SQL的安全检查,在配置中只需要配置$_config['security']['querysafe']['status']        = 1;就可以,1代表开启/0代表关闭

! y1 j+ `2 I/ D- @3 Y创始人的设置
创始人的设置,当您的站点在线上运营时,建议至少设置一个创始人,创始人拥有站点管理后台的最高权限。
$_config['admincp']['founder'] = '1'; // 站点创始人:拥有站点管理后台的最高权限,每个站点可以设置 1名或多名创始人                                        // 可以使用uid,也可以使用用户名;多个创始人之间请使用逗号“,”分开;                                
2 k7 B+ P% B( r6 b$ M8 v. e
( G8 p3 k% B' l- r! T/ _1 E安全问答
安全问答,可以在这里开启安全问答来限制管理员必须设置相应的安全问答,来增加该站点的管理帐号的安全性。建议开启
$_config['admincp']['forcesecques'] = 1;// 管理人员必须设置安全提问才能进入系统设置 0=否, 1=是[安全]                                
) j( [, w5 k  p" r$ s
7 V5 c0 `2 P, A( E验证后台管理IP
验证后台管理IP,建议开启
$_config['admincp']['checkip'] = 1;        // 后台管理操作是否验证管理员的 IP, 1=是[安全], 0=否。                                        //仅在管理员无法登陆后台时设置 0。                                
& k( V. `9 K; v/ W9 W6 V( C! d8 R$ @) ]0 K+ k+ k2 u1 n3 b0 f
后台是否允许执行相关的MySQL操作
后台是否允许执行相关的MySQL操作,建议关闭。关闭后将无法直接在后台执行相关的SQL语句
$_config['admincp']['runquery']        = 0;        // 是否允许后台运行 SQL 语句 1=是 0=否[安全]                                
, B+ d, n# r& l  Q* o6 a8 R7 n& ^; E% {4 Q6 l5 D  U1 Z% s6 o
后台恢复数据
后台恢复数据。定期备份是一个很好的习惯,在站点运营过程中,为了安全建议关闭后台恢复数据的功能,在你的站点确实需要进行数据恢复操作时再将此开关打开
$_config['admincp']['dbimport']        = 0;                // 是否允许后台恢复论坛数据  1=是 0=否[安全]              7 X0 X3 D7 u4 d6 w& w8 A
6 ~: W0 B6 ^! M5 C3 A

  I# {) G* F3 h( g; q5 O2 e) B# M* m8 c5 a: [, h

# a  {1 E, \) ?# D/ [- x
' |& S. e! G. K$ m8 c* m7 Khttp://bbs.zb7.com/discuz/dx25/safe/security/security_config.htm
0 ]9 I& _( v& K7 r                  $ s# Y* @6 ^! p0 M6 u3 N
$ y9 x/ P' M8 F6 l5 @. d
  H, e) L# }1 [! Y. _+ h

, y9 ~9 @1 }/ \# i1 `+ o7 u
4 g) o5 }$ ]9 A% M# Q
回复 支持 反对

使用道具 举报

返回列表 发新帖

使用高级回帖 (可批量传图、插入视频等)快速回复
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则   Ctrl + Enter 快速发布  

发帖时请遵守我国法律,网站会将有关你发帖内容、时间以及发帖IP地址等记录保留,只要接到合法请求,即会将信息提供给有关政府机构。
快速回复 返回顶部 返回列表