当前位置:»论坛 社区酒吧 社区管理 系统测试和优化 帖子
返回列表 发新帖
点标签看更多好帖
广告 前台
开启左侧

关于mod_security

[复制链接] 2
回复 1945
查看 打印 上一主题 下一主题
楼主
跳转到指定楼层
发表于 2017-1-21 21:32 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
前一段发生403在保存前台,DIY时候,都是mod_security
5 [! `- Q$ c% l/ m0 M& i+ _+ e3 m- F. k; n2 b
后台保存站点广告,如果含有一定词汇,也会出现。+ E% X: c+ B6 x  y% H" Z

( Q' R7 j- [  q- V2 ~看到这里有,黏贴学习:
2 @. E8 i5 O. i) `4 `1 h  z9 D, Q
) L5 C1 m$ x& f/ q, g7 hhttps://www.tipsandtricks-hq.com/apache-mod-security-update-how-to-fix-error-406-or-not-acceptable-issue-259
: t& i# s0 b, f! O! w; Q
; C2 C3 h  }, V2 x2 f
  1. Apache Mod Security update, How to Fix ‘Error 406’ or ‘Not Acceptable’ issue
    $ H. x+ ^' l/ r# B
  2. last updated: october 28, 2016
    0 f0 \# n1 C5 B* `6 K  }0 Z
  3. Few weeks ago I started having “Not Acceptable! Error 406” on one of my WordPress sites when trying to save a post or a page. I kept getting the following message when trying to save a post.& x/ @9 S5 J3 d! ]( @9 ~' G3 ^

  4. 4 E' ]1 R* z! _+ m
  5. Not Acceptable) r8 V( n: [/ Z3 |0 f4 C# D6 _
  6. An appropriate representation of the requested resource /wp-admin/post.php could not be found on this server
    2 B3 d2 j  F5 I
  7. % g3 ~2 Y1 `: A7 w
  8. I tried many fixes and nothing seemed to have helped getting rid of the issue. So I decided to reinstall WordPress (How to Uninstall and Reinstall WordPress). Even the reinstall didn’t help! Later I found out that the “Not acceptable! Error 406” occurs due to Mod Security updates on the server. So if you are having a similar problem then you can try one of the following methods to fix it.
    7 r7 L7 D9 x+ A( A. Q

  9. 6 r& a: u9 f. c! D, d* b
  10. Solution 1 for Fixing 406 Error8 G& Q# X$ S; i- b' b5 @

  11. " d4 R. L  U( ^- l' O' r- a. v! l8 Q& k
  12. Backup your .htaccess file if you have one in the ‘wp-admin’ directory. Then make a ‘.htaccess’ file with the following content and upload it to ‘wp-admin’ directory.& f# N1 o* A( X5 t

  13. ' J. d2 ^$ x: c( V% @
  14. <IfModule mod_security.c>
    . }0 `, M" f/ Q/ O' A" w( H
  15. SecFilterEngine Off3 v2 V8 e. s- K: B$ x
  16. SecFilterScanPOST Off
    8 a9 q/ R6 X0 K% X' |/ P
  17. </IfModule>( z' B3 s+ ]- m. l! [
  18. You can use any text editor such as Notepad to create this file.
    # C2 L! j& O. Z7 n% _4 z
  19. : l( v5 a! u7 U
  20. You will need to upload this .htaccedss file to your server. So if you don’t know how to upload a file to your server then check this tutorial on FTP.% Q! Y6 M% \+ x% o3 s

  21. - V0 f, A. k( |' ]: |& G
  22. Solution 2 for Fixing 406 Error" m9 @# `  N4 E/ R3 [& M

  23. ( s' w0 x- _, V" E/ o
  24. This is the solution that worked for me for my WordPress site.5 n; z5 h+ ^+ _% W

  25. : o" X& Q5 j- F9 t# k* }+ M8 d
  26. Backup your .htaccess file if you have one in the public_html directory.$ {) H' E( X! Q# [
  27. ; h5 _" r) P% \6 c/ S) _# B
  28. Open the .htaccess file with any text editor and observe the lines between the “# BEGIN WordPress” and “# END WordPress” tags. Make sure the lines look somewhat like the following. If not then update the file with the following content and upload it to the ‘public_html’ directory.
    5 |7 Y5 q7 l1 \- X

  29. 7 g/ ?) F6 S9 e
  30. # BEGIN WordPress
    7 f7 e6 s' a) G- I( X4 M+ p
  31. <IfModule mod_rewrite.c>
    8 O, a% b9 N! r" h
  32. RewriteEngine On: \  J* r; e# S. i1 q* O2 s
  33. RewriteBase /
    ; X/ {: {) o/ Y$ y& [7 C& m
  34. RewriteCond %{REQUEST_FILENAME} !-f8 q6 J/ I4 |5 N+ F9 W, O
  35. RewriteCond %{REQUEST_FILENAME} !-d" Q1 p/ U4 I$ B
  36. RewriteRule . /index.php [L]
      ?/ R( N9 Y6 L8 M$ y: {
  37. </IfModule>
    4 J* E6 W5 |  [; G5 n
  38. # END WordPress
      n* e3 x/ M+ D, J& e! Y
  39. Hopefully one of these solutions help fix your “Not Acceptable” error.
    ; _/ t1 I9 T, Q6 _
  40. ! N0 w9 K- [( C* \& B1 ^. e
  41. Good luck!
复制代码
# s3 i& `* @- B" z9 @

$ c" F+ Z8 I/ y6 [

转载请保留当前帖子的链接:https://www.beimeilife.com/thread-41419-1-1.html 谢谢
回复

使用道具 举报

你喜欢看
沙发
发表于 2017-1-21 21:33 | 只看该作者
http://www.bkjia.com/dedecms/362281.html3 k, t0 S% Q# l- |

# O  U  L# e! K
最近论坛里很多朋友求救,说出现了这个问题,最近我也被这个问题困扰着。多谢Funkey朋友的办法,问题终于解决。
) u2 y/ l- M. N) R% |- o9 y3 B9 k1 M
* r2 g1 b' Q+ x! n问题说明:
4 j+ N2 l4 |0 Z
& h! y8 W( J- A; `9 i( T& W4 P后台设置页面无法保存,出现如下500错误页面: : r- C% b3 K' b3 L
- e) a) o7 t1 K9 }
forbidden " b/ q- w* B! @) w
You don't have permission to access /dede/sys_info.php on this server. " _3 z8 \, {4 Y" p0 n2 Y& ]3 g- L4 e

7 }% c; e. }9 v( @/ Q5 M+ hAdditionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.
1 U! `0 }& C4 o( }4 r0 `. y8 y9 f1 B: A6 s: d& ]$ B" ?* ~3 B2 Q
Apache Server at www.******.com Port 80
7 |2 t& t$ Z3 z3 `8 ^+ }8 w6 j
& Z6 J. w" E5 w2 n问题一般出现在国外主机空间上【目前发现此问题的空间商有:Host1Plus,BlueHost,JustHost,Backy LLC】,dedecms 5.5 和 5.6 都会出现错误,可见是空间的问题,不是织梦的问题。 9 e2 K) ?1 j* w; w. X5 b

9 A0 h8 c' s  _# s) y原因:   ?7 o/ P  \+ a9 I  Y0 d. Y
经过多方核实,可以确定,大多数的国外主机在配置 Apache 的时候启用了 mod_security ,也就是开启了安全检查,如果提交的信息中包含 select , % , bin 等关键字,Apache 就会禁止,并给出 403,404,500 等错误。   W' ?# G3 G% e( E& i. [4 j
! {; j- ^8 R. j# y
解决方法: 0 Q' T  _/ O1 m  x2 W& u
由于这个设置属于服务器级别的配置,如果是VPS用户,需要关闭 mod_security2 的检查(mod_security2.c);而如果是虚拟空间用户的话需要联系客服协助修改。
) `7 j0 j' K/ R5 k8 a" g( h( y+ J# l6 b, m
操作办法:
$ c, t+ J  Q. i+ m( D  \(虚拟空间用户)如果是CP面板,选择 Submit ticket——Paid hosting support,告诉客服自己使用 DEDE_CMS,请求将 mod_security 设置为 disabled 即可正常使用。
5 ~" {; S2 n* u. R- C8 V/ O英语不好的朋友,可以直接复制以下语句:
7 G2 _6 W8 b6 x: r% k6 _5 O% I- {4 I: w引用 / A8 u% o6 Q  E% l  S) Y
I wanna use DEDE_CMS,So please change mod_security2.c settings to disable.
! [9 k: t6 N5 }

! |9 E1 T8 N) P% O1 f
原文地址:http://www.bkjia.com/dedecms/362281.html
* [9 J$ @8 u" {8 m
回复 支持 反对

使用道具 举报

板凳
发表于 2017-1-22 11:46 | 只看该作者
XSS 防御设置 $_config['security']['urlxssdefend'] = true;        // 自身 URL XSS 防御                                % Y! g1 C) y8 k# C

) t6 _! v% v) Q3 E2 QCC 攻击防御
当你的站点发现被CC攻击时,你也可以在config中打开CC攻击防御,该防御有1/2/4/8四种防御方式,你除了可以配这四种外,还允许组合防御。例如:可以配成24,当配成24代表同时使用2跟4的两种防御攻击
$_config['security']['attackevasive'] = 0;                // CC 攻击防御 1|2|4|8                                
" P% U' C5 O8 p- Q5 ?# X) E- D- n* x& \$ F, J
SQL 安全性防御! \4 P! c. J3 |6 o
  1. $_config['security']['querysafe']['status'] = 1;        // 是否开启SQL安全检测,可自动预防SQL注入攻击; ~* q5 M  d1 [  B5 L/ V
  2. $_config['security']['querysafe']['dfunction']['0'] = 'load_file';
    + n! E5 s' b% T7 ^7 y
  3. $_config['security']['querysafe']['dfunction']['1'] = 'hex';
    4 g! ~* P6 j& j1 I7 f
  4. $_config['security']['querysafe']['dfunction']['2'] = 'substring';
    " S5 P- C9 J& A  c" m8 _
  5. $_config['security']['querysafe']['dfunction']['3'] = 'if';5 L! T2 ^; `, A0 A
  6. $_config['security']['querysafe']['dfunction']['4'] = 'ord';+ t1 D8 \# Q( u* r7 G3 ?6 r5 }
  7. $_config['security']['querysafe']['dfunction']['5'] = 'char';  [2 |: H* |, Q; ^# s
  8. $_config['security']['querysafe']['daction']['0'] = 'intooutfile';' `, K/ t0 C, s; L; P# }* L
  9. $_config['security']['querysafe']['daction']['1'] = 'intodumpfile';
    ( ^+ R' f+ j" ?. m7 E
  10. $_config['security']['querysafe']['daction']['2'] = 'unionselect';
    2 J$ e; u$ E' O' P% g* N  d
  11. $_config['security']['querysafe']['daction']['3'] = '(select';7 G) K  {' x0 U. |, x$ y
  12. $_config['security']['querysafe']['daction']['4'] = 'unionall';
    6 v: R: ]) B# m0 m& E0 d  q: O. p
  13. $_config['security']['querysafe']['daction']['5'] = 'uniondistinct';
    + ?9 f. G' n: U9 g! B6 _
  14. $_config['security']['querysafe']['dnote']['0'] = '/*';4 Y  l: o1 F0 f2 s% k1 l
  15. $_config['security']['querysafe']['dnote']['1'] = '*/';
    * g. u9 J0 y* V3 S9 K0 a
  16. $_config['security']['querysafe']['dnote']['2'] = '#';3 x* @; Q/ a* ~/ ]( `- G) Y
  17. $_config['security']['querysafe']['dnote']['3'] = '--';2 c$ p+ [. L1 k& J
  18. $_config['security']['querysafe']['dnote']['4'] = '"';
    ; I: J0 c; `) J9 r# F3 U: B8 T
  19. $_config['security']['querysafe']['dlikehex'] = 1;$ l0 e! c* ^# ~1 r
  20. $_config['security']['querysafe']['afullnote'] = '0';
复制代码

' y0 y' y/ m5 [$ |1 B+ F
1 U5 b  J1 ]1 |9 ]( f
3 c3 D. K5 m& S( c! g7 f
6 U; ^. ?) R7 B& j9 Q1 q. _2 P' n+ I2 s- q4 i6 S( c1 |

7 ]8 |7 N  c4 \( r
, Z7 r; k8 Y6 W1 y% y# ?/ K" |                     
4 D' V3 x% C" j9 F7 Q; y# Y3 Q' A
在上面内容是关于SQL的安全检查,在配置中只需要配置$_config['security']['querysafe']['status']        = 1;就可以,1代表开启/0代表关闭

" V( A/ i' p8 V$ T创始人的设置
创始人的设置,当您的站点在线上运营时,建议至少设置一个创始人,创始人拥有站点管理后台的最高权限。
$_config['admincp']['founder'] = '1'; // 站点创始人:拥有站点管理后台的最高权限,每个站点可以设置 1名或多名创始人                                        // 可以使用uid,也可以使用用户名;多个创始人之间请使用逗号“,”分开;                                
' w4 r/ E9 c! G
* Y) A! ?1 T2 D* N安全问答
安全问答,可以在这里开启安全问答来限制管理员必须设置相应的安全问答,来增加该站点的管理帐号的安全性。建议开启
$_config['admincp']['forcesecques'] = 1;// 管理人员必须设置安全提问才能进入系统设置 0=否, 1=是[安全]                                
9 n0 @% l* W7 k% K4 R5 M. ]9 u6 _5 L. S" _8 [" i- ]) u  |
验证后台管理IP
验证后台管理IP,建议开启
$_config['admincp']['checkip'] = 1;        // 后台管理操作是否验证管理员的 IP, 1=是[安全], 0=否。                                        //仅在管理员无法登陆后台时设置 0。                                
" @+ ^7 L, e4 ^. V9 K, F- ~- j
" ]7 `! X% J( n" i% u( F后台是否允许执行相关的MySQL操作
后台是否允许执行相关的MySQL操作,建议关闭。关闭后将无法直接在后台执行相关的SQL语句
$_config['admincp']['runquery']        = 0;        // 是否允许后台运行 SQL 语句 1=是 0=否[安全]                                % m; \. J3 y! r; \1 O

+ R0 v; w$ p( s4 c0 m2 u2 ^后台恢复数据
后台恢复数据。定期备份是一个很好的习惯,在站点运营过程中,为了安全建议关闭后台恢复数据的功能,在你的站点确实需要进行数据恢复操作时再将此开关打开
$_config['admincp']['dbimport']        = 0;                // 是否允许后台恢复论坛数据  1=是 0=否[安全]              1 |2 [/ R7 C1 a1 g
* B+ c* |# Q8 P& H
8 J# r1 t' u$ j

' D; b7 O4 [9 R' z# \% F) m, ~- [) T4 G; }

7 r. O. d: @; ~& chttp://bbs.zb7.com/discuz/dx25/safe/security/security_config.htm
6 [, u$ k8 K% j: V5 Z                    p1 x3 H* f( I- T: S3 Q

; v# N4 }9 p3 ]8 E  I
% [6 S9 N9 x9 L7 k' k( W8 c; }" O/ e1 G% M

9 m) j6 G, c3 \4 O+ B# W
回复 支持 反对

使用道具 举报

返回列表 发新帖

使用高级回帖 (可批量传图、插入视频等)快速回复
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则   Ctrl + Enter 快速发布  

发帖时请遵守我国法律,网站会将有关你发帖内容、时间以及发帖IP地址等记录保留,只要接到合法请求,即会将信息提供给有关政府机构。
快速回复 返回顶部 返回列表