当前位置:»论坛 社区酒吧 社区管理 系统测试和优化 帖子
返回列表 发新帖
点标签看更多好帖
广告 前台
开启左侧

关于mod_security

[复制链接] 2
回复 1904
查看 打印 上一主题 下一主题
楼主
跳转到指定楼层
发表于 2017-1-21 21:32 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
前一段发生403在保存前台,DIY时候,都是mod_security
% b, U- V7 ]( k- Z+ k, B  n+ W5 L6 T* p" ^4 w8 w5 w& i" y
后台保存站点广告,如果含有一定词汇,也会出现。
+ \, V( x4 ~: k% @0 z
& |% q+ d) W8 {看到这里有,黏贴学习:' q& D9 y  }& @- g7 c: M
; `6 G8 u0 r) d& P4 S4 L
https://www.tipsandtricks-hq.com/apache-mod-security-update-how-to-fix-error-406-or-not-acceptable-issue-2597 H3 k4 r6 W5 c$ P0 h

8 S3 g4 H/ U! t6 S1 g' D: ?
  1. Apache Mod Security update, How to Fix ‘Error 406’ or ‘Not Acceptable’ issue$ k1 e6 H2 R' ^  j+ L, q0 e
  2. last updated: october 28, 2016
    - x4 o; M; q) i5 X
  3. Few weeks ago I started having “Not Acceptable! Error 406” on one of my WordPress sites when trying to save a post or a page. I kept getting the following message when trying to save a post.6 o3 k- d9 H% d0 A8 `
  4. , `0 f$ k# w: T8 ]! \
  5. Not Acceptable" D0 w5 a; A1 P! l
  6. An appropriate representation of the requested resource /wp-admin/post.php could not be found on this server( D. E9 {  C* D
  7. - x% K" G1 l1 S3 ~$ _! ~
  8. I tried many fixes and nothing seemed to have helped getting rid of the issue. So I decided to reinstall WordPress (How to Uninstall and Reinstall WordPress). Even the reinstall didn’t help! Later I found out that the “Not acceptable! Error 406” occurs due to Mod Security updates on the server. So if you are having a similar problem then you can try one of the following methods to fix it.$ f9 e  x! C+ C3 X4 u
  9. 8 G6 l; @$ t# i  y( r
  10. Solution 1 for Fixing 406 Error
    0 |7 K; J3 o! {# x4 Y

  11. * Y1 F  k/ F2 S
  12. Backup your .htaccess file if you have one in the ‘wp-admin’ directory. Then make a ‘.htaccess’ file with the following content and upload it to ‘wp-admin’ directory.
    4 v- \( u3 U# e4 T& b
  13. " {& Y/ M, f( M% g7 _; H
  14. <IfModule mod_security.c>
    1 h! q3 ~1 O! M2 F' W
  15. SecFilterEngine Off
    ; \! \" m" B+ m( D" M
  16. SecFilterScanPOST Off
    - m( ~6 i. w- P- `4 G
  17. </IfModule>0 G$ B6 v+ @0 Q* C+ g0 `2 `: r' A! w
  18. You can use any text editor such as Notepad to create this file.+ v/ Q/ G1 K. l! d! p0 _. R
  19. 8 L6 H. }! J$ l4 w' A( h
  20. You will need to upload this .htaccedss file to your server. So if you don’t know how to upload a file to your server then check this tutorial on FTP.
    9 W) `8 y# K4 D4 [

  21. " V) n! p0 ?* G: ~; C, S) W
  22. Solution 2 for Fixing 406 Error
    $ `1 T/ k$ {5 K5 I- H& W  }8 |# ]

  23. 7 I. A: B. v  ?3 E* Y& r% c
  24. This is the solution that worked for me for my WordPress site., Z8 H" r) D0 q: u% R! N7 q/ }
  25. ; r/ v1 a3 {3 @3 J/ g! s/ v/ M
  26. Backup your .htaccess file if you have one in the public_html directory.
    4 v+ I" F6 W& x0 i( X
  27. # I& z3 _- Y3 t# a& @6 O
  28. Open the .htaccess file with any text editor and observe the lines between the “# BEGIN WordPress” and “# END WordPress” tags. Make sure the lines look somewhat like the following. If not then update the file with the following content and upload it to the ‘public_html’ directory.+ H! S8 N# ^9 t5 X' V' ]

  29. 8 m# v6 t! M: n- a; h
  30. # BEGIN WordPress6 s9 u% ^+ n$ y& y
  31. <IfModule mod_rewrite.c>5 M6 J+ t8 }& S
  32. RewriteEngine On6 r" m, K$ D0 m7 Y2 O
  33. RewriteBase /9 a8 x0 i; I) G9 A
  34. RewriteCond %{REQUEST_FILENAME} !-f
    " S9 [! `" _6 ]; v
  35. RewriteCond %{REQUEST_FILENAME} !-d
    + s2 D7 u- v2 `4 H) ~! q
  36. RewriteRule . /index.php [L]; J) a! G, n6 X! C
  37. </IfModule>9 o& K/ N% L' U  n) W" x7 D; J& ]
  38. # END WordPress
    ! F( i0 T9 Y& R' f2 t. ]& I
  39. Hopefully one of these solutions help fix your “Not Acceptable” error.* _6 V% J6 q& K( l7 \+ y& @
  40. ) ]) r4 Y! k! W
  41. Good luck!
复制代码
" J: ~2 U, \5 ?" P

) t- X& o$ O, X3 R! N& i

转载请保留当前帖子的链接:https://www.beimeilife.com/thread-41419-1-1.html 谢谢
回复

使用道具 举报

你喜欢看
沙发
发表于 2017-1-21 21:33 | 只看该作者
http://www.bkjia.com/dedecms/362281.html" j6 I8 Z# W0 A& }; Y6 _/ Y/ G: X
9 R1 h# o% J7 C  H/ n. ]
最近论坛里很多朋友求救,说出现了这个问题,最近我也被这个问题困扰着。多谢Funkey朋友的办法,问题终于解决。 : z) d2 _5 G! |/ V% D; {/ h
; G" k" U4 _9 }2 l
问题说明: + A2 e' D" d3 S$ ?) [
  U" `) N0 h9 b/ W' I, ^
后台设置页面无法保存,出现如下500错误页面:
" \+ Y( k$ t: m5 [, H1 o) Y
* F5 ]0 e3 d  w% g: r3 hforbidden , j1 U, k7 w/ i2 o: ^* [4 V
You don't have permission to access /dede/sys_info.php on this server.
% M4 y9 C! T& `. X, J- l
5 W7 V" i) o' c7 {8 g+ hAdditionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request. % R) a: Q+ D# Q" v
  k! P' w& e5 @5 E" h
Apache Server at www.******.com Port 80 & Y! O" ?, K* x

  ]1 `8 T, ]) E6 D问题一般出现在国外主机空间上【目前发现此问题的空间商有:Host1Plus,BlueHost,JustHost,Backy LLC】,dedecms 5.5 和 5.6 都会出现错误,可见是空间的问题,不是织梦的问题。
6 Y5 d$ H0 ~1 N* y+ H4 N
2 X1 ^% `. M3 l; u  D' x原因:
: b( L/ s/ p6 ?' H3 l) w经过多方核实,可以确定,大多数的国外主机在配置 Apache 的时候启用了 mod_security ,也就是开启了安全检查,如果提交的信息中包含 select , % , bin 等关键字,Apache 就会禁止,并给出 403,404,500 等错误。
% q6 [. J, ]* h& B& K; v  O7 F8 r
. O# f3 N* B* o  m$ T) {. T/ @解决方法:
4 t$ U! b' [! P9 R5 C% _4 i由于这个设置属于服务器级别的配置,如果是VPS用户,需要关闭 mod_security2 的检查(mod_security2.c);而如果是虚拟空间用户的话需要联系客服协助修改。
# Z, H/ l$ B; P" N. y1 e
% I3 P5 n" _" L$ \9 \5 p7 \操作办法: , t) h( F- T" I3 t
(虚拟空间用户)如果是CP面板,选择 Submit ticket——Paid hosting support,告诉客服自己使用 DEDE_CMS,请求将 mod_security 设置为 disabled 即可正常使用。
8 M# p8 o2 m0 t& {英语不好的朋友,可以直接复制以下语句: " T) P  R* B# P
引用
2 ~: P1 \; d8 `/ ^5 a5 vI wanna use DEDE_CMS,So please change mod_security2.c settings to disable.
! M  v. [' s4 Z- g; `# e

9 G  [2 V8 N, E7 d, D
原文地址:http://www.bkjia.com/dedecms/362281.html

& A2 _  H" G/ x# k; D
回复 支持 反对

使用道具 举报

板凳
发表于 2017-1-22 11:46 | 只看该作者
XSS 防御设置 $_config['security']['urlxssdefend'] = true;        // 自身 URL XSS 防御                                
. i9 H& O5 t6 h" D4 ?' x! O9 P5 J
! Z4 b! g5 \0 Z6 F" }* k5 ~8 ~CC 攻击防御
当你的站点发现被CC攻击时,你也可以在config中打开CC攻击防御,该防御有1/2/4/8四种防御方式,你除了可以配这四种外,还允许组合防御。例如:可以配成24,当配成24代表同时使用2跟4的两种防御攻击
$_config['security']['attackevasive'] = 0;                // CC 攻击防御 1|2|4|8                                
" C) N! O. k) o6 T! Y) E1 ^3 y, X% R' q) w  s. Y
SQL 安全性防御4 O+ ?3 a! F+ F  t9 k
  1. $_config['security']['querysafe']['status'] = 1;        // 是否开启SQL安全检测,可自动预防SQL注入攻击
    8 f" ?) B7 U# @; Q- O. c
  2. $_config['security']['querysafe']['dfunction']['0'] = 'load_file';
    . a! R" q% D8 S5 ?- N) e
  3. $_config['security']['querysafe']['dfunction']['1'] = 'hex';9 G' o( t2 M0 A4 r
  4. $_config['security']['querysafe']['dfunction']['2'] = 'substring';7 Z9 q) h8 a4 a. P& v" [
  5. $_config['security']['querysafe']['dfunction']['3'] = 'if';; \  y, i! y0 g( ?* m" S
  6. $_config['security']['querysafe']['dfunction']['4'] = 'ord';
    : u. N* b# \+ p2 l' w. Y9 w
  7. $_config['security']['querysafe']['dfunction']['5'] = 'char';# V+ w( K$ D0 H8 \7 a7 z. D
  8. $_config['security']['querysafe']['daction']['0'] = 'intooutfile';
    5 ~& X4 a2 Y9 {8 Z& _  j" A5 y
  9. $_config['security']['querysafe']['daction']['1'] = 'intodumpfile';) i$ f# ~) W! F( U
  10. $_config['security']['querysafe']['daction']['2'] = 'unionselect';2 |/ a5 {" V+ z: e$ h
  11. $_config['security']['querysafe']['daction']['3'] = '(select';
    " l1 Z" ~( L8 `. [
  12. $_config['security']['querysafe']['daction']['4'] = 'unionall';
    3 |. ?7 J7 `) |8 w) S) q+ T
  13. $_config['security']['querysafe']['daction']['5'] = 'uniondistinct';$ h. Y8 X, K7 _8 {- p
  14. $_config['security']['querysafe']['dnote']['0'] = '/*';* W( c7 U, _, Y! a8 |& l. R; Y
  15. $_config['security']['querysafe']['dnote']['1'] = '*/';
    4 J. m2 S& C2 b# n, X
  16. $_config['security']['querysafe']['dnote']['2'] = '#';
    * t+ d& T6 J$ g$ o
  17. $_config['security']['querysafe']['dnote']['3'] = '--';0 g+ p+ U: i/ T/ A
  18. $_config['security']['querysafe']['dnote']['4'] = '"';9 N( n  N5 R  s$ S4 h' R8 y
  19. $_config['security']['querysafe']['dlikehex'] = 1;& ~' e+ k% Z& A/ t0 o
  20. $_config['security']['querysafe']['afullnote'] = '0';
复制代码

1 G4 F3 J  X4 d2 l, M5 U: [
! Q# r1 d( N- ]$ `$ P2 B6 X$ h
4 ~' H0 g# ]" y$ q* w
6 a1 Z+ L1 I: v7 p, K3 f7 a! w+ f

6 H0 G. ^' D) _' i/ m- Q3 l% _# K  b8 x
                      ( U& U' A, p5 \) E! |
在上面内容是关于SQL的安全检查,在配置中只需要配置$_config['security']['querysafe']['status']        = 1;就可以,1代表开启/0代表关闭

+ C% `! o+ J. F0 j创始人的设置
创始人的设置,当您的站点在线上运营时,建议至少设置一个创始人,创始人拥有站点管理后台的最高权限。
$_config['admincp']['founder'] = '1'; // 站点创始人:拥有站点管理后台的最高权限,每个站点可以设置 1名或多名创始人                                        // 可以使用uid,也可以使用用户名;多个创始人之间请使用逗号“,”分开;                                2 N7 w5 p" U# p; y

. ~( K) V; x9 o0 M( C7 z安全问答
安全问答,可以在这里开启安全问答来限制管理员必须设置相应的安全问答,来增加该站点的管理帐号的安全性。建议开启
$_config['admincp']['forcesecques'] = 1;// 管理人员必须设置安全提问才能进入系统设置 0=否, 1=是[安全]                                
/ o5 n, I/ c9 g, \& F# d; J' w- {7 C! v* ^0 |( K) S+ m! ]
验证后台管理IP
验证后台管理IP,建议开启
$_config['admincp']['checkip'] = 1;        // 后台管理操作是否验证管理员的 IP, 1=是[安全], 0=否。                                        //仅在管理员无法登陆后台时设置 0。                                
$ I2 L. H3 V. _) v2 @6 c
: M3 ]! C9 x# ~# Z5 a% r2 H. c后台是否允许执行相关的MySQL操作
后台是否允许执行相关的MySQL操作,建议关闭。关闭后将无法直接在后台执行相关的SQL语句
$_config['admincp']['runquery']        = 0;        // 是否允许后台运行 SQL 语句 1=是 0=否[安全]                                4 R! Q" g6 i6 T, P" N
4 m. l! H* Q8 u7 s. C7 n; {
后台恢复数据
后台恢复数据。定期备份是一个很好的习惯,在站点运营过程中,为了安全建议关闭后台恢复数据的功能,在你的站点确实需要进行数据恢复操作时再将此开关打开
$_config['admincp']['dbimport']        = 0;                // 是否允许后台恢复论坛数据  1=是 0=否[安全]              
' A1 N' _" J% K0 I) S; N) z0 K6 R& ?% N% u3 p& m+ F0 S  k( m
' e$ m/ N1 P2 ?9 c$ F
1 ^. h5 r% h- X" P

, c; I; [9 X0 u1 y3 A+ H! f' p8 f$ e5 v
http://bbs.zb7.com/discuz/dx25/safe/security/security_config.htm' v; A& C* R/ ?* R( ^
                  ; ~! U; X! ^* O' m8 J$ q
* {$ k, O9 K8 L; p% S
6 l% \' J& m4 l' I" W% k; L2 X' q
. `4 N' M. K) ]; D+ j

6 [' j6 @9 M7 ^! c& V
回复 支持 反对

使用道具 举报

返回列表 发新帖

使用高级回帖 (可批量传图、插入视频等)快速回复
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则   Ctrl + Enter 快速发布  

发帖时请遵守我国法律,网站会将有关你发帖内容、时间以及发帖IP地址等记录保留,只要接到合法请求,即会将信息提供给有关政府机构。
快速回复 返回顶部 返回列表