北美网备份站

标题: 学习:从Discuz论坛管理看网站安全防护 [打印本页]
作者: 北美生活网    时间: 2017-1-25 03:11
标题: 学习:从Discuz论坛管理看网站安全防护

, a; W( Q" b9 A% f6 z: s7 V. d" X  ]4 y9 S2 e- Q: j& x8 P1 z
https://security.tencent.com/index.php/blog/msg/17
( r/ s0 _( I- c; V' S) M/ }& m. f7 v% @& x  ]8 I
2 b( V# @! Y6 z4 l
前言
' f  h% A& |6 w" o, E" C
    Discuz是康盛公司推出的一套通用社区论坛软件系统,用户可以在不需要任何编程基础上,通过简单的设置和安装,在互联网上搭建起具有完善功能、高负载、高定制的论坛。Discuz是一个经过完善设计,适用于各种服务器环境的高效论坛系统解决方案。
& e2 k' O3 F# R  g* _' u
    由于Discuz的安装和管理极其方便,许多企业管理员并未对他的安全风险有相应的了解;Discuz作为开源软件,历史上被发现若干安全漏洞,极容易导致服务器被入侵。
6 K8 Y  W# Y" b* ?! B9 K
    出于工作需要,笔者经常会接触到公司的各类Discuz论坛,对Discuz的安全问题十分关注,这里给大家分享一些关于discuz论坛防护的方案,希望能给广大企业用户提供帮助。

- O- }9 j4 R; r( b% x    Discuz论坛管理大致分为服务器安全加固、网站安全加固、日常管理三个方面的内容,以下是详细的实施方案可供参考。

+ @1 P- W& f5 I8 _/ U
服务器安全加固

- V, k' i$ }7 G$ b  E* s
确保网站安全首先要保证服务器各项组件的安全,如discuz服务器的一般组件有Apache、php、mysql等,确保这些第三方软件安全有如下一些原则:
! a% g( P0 ^0 t6 i1 K# C1 T, m
1、权限最小化
% t- M  ^$ o+ a. E' ?7 E6 F( b
a) Webserver及数据库服务均以非root权限启动;

  q0 m$ y3 a9 f  E; ^
b) 文件属主与webserver进程属主不同(一般设置文件的属主为root)
9 ?% R- ^- C7 D3 {+ z. L2 b9 b
c) 确保discuz网站的目录和文件权限最小化。
目录权限除必须为777的目录外,其他目录权限须设置为755文件权限除必须为777的文件外,其他文件权限须设置为644
d) 数据库与webserver不在同一台机器上

. u# P4 I- k" v4 r* T: J9 K4 |
e) 可写的目录没有执行脚本权限,可执行脚本权限的目录不可写。
常见可写目录为:./config、./data、./uc_client/data/、./uc_server/data/常见不可解析php的目录为:./data/、diy、template、attachment、./install/images、forumdata、images在apache中配置不允许执行php权限如下:<Directory "/discuz/data/">    php_flag engine off    <Files ~ ".php">        Order allow,deny        Deny from all    </Files></Directory>
f) 控制脚本仅允许访问网站文件
php.ini中配置open_basedir项为网站目录
- e8 M. I  s; H+ o7 u
2、默认选项需要加固
- r6 f3 c6 U0 q1 H! T! M+ H
a) 删除默认webserver页面4 c# v) n2 Z6 y$ o7 L
如apache需要删除icons和manual两个目录
b) 禁用php危险函数
在php.ini配置:disable_functions=exec,popen,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open4 i6 F8 M  o" `, d6 ]$ I; N
3、敏感信息不显示
a) 关闭webserver的目录浏览功能
( T3 |  b- Z2 W6 o- Z
Apache配置文件中的目录配置项的“Indexes”删除或者改为“-Indexes”
b) 关闭php的错误消息显示
3 }. i0 z1 a" h, S% I; D2 {. l# F6 m
Php配置:display_errors = Off
) ]$ [6 c' B5 j) F( }
4、开启日志记录
a) 开启webserver的日志记录功能' U# x% W; ^9 ~& R7 I/ S
CustomLog /www/logs/access_log common

  j* _5 o, Z; u4 a7 f b) 开启php的错误日志记录功能
5 \' _1 I2 Q* F# f; F
log_errors = Onerror_log = D:/usr/local/apache2/logs/php_error.log注意:该文件必须允许apache用户的和组具有写的权限
9 v, p( b3 X  @. `7 ^+ ?
5、实施ip策略

9 Z5 V; E. A: G3 c; r/ ?2 S
a) 数据库仅开放在内网

, [/ c  K# {9 h0 j, V6 t" n
b) 不允许任意ip连接数据库
4 ~/ @. [& ?+ Z3 @+ M
c) Iptables禁止所有的非法连接
5 {5 [! G( d! X- X6 O
d) 管理目录仅允许内网访问

# W* z+ s& e( `& w6 a- s6 M& a8 N
网站安全加固
" W5 U) X3 A; h  _7 R4 E
服务器足够安全只是网站安全的前提,确保网站安全大致有如下措施:

: u7 T3 k" j8 }
1、账户安全

" {: Y( N$ X* X9 h0 q$ g! }5 n
a) 用户密码需要加密存储2 v8 u# G) \/ D; U9 D+ b5 z
b) 用户密码需要采用密文的形式在网络上传输

7 R; j) D  b  t% T* j( b! L
2、后台管理
; ?4 z' X; ?3 F
a) 后台管理界面需要使用双因子确保管理员的合法性。常见的因子如(ip策略、token、用户密码)等。

6 ~! M0 y$ r/ l# b
3、业务配置

% Q8 q- t4 B1 _; P5 x1 F* E
a) 针对discuz业务特性,在安装的时候会删除不必要的插件
api目录(外部接口)里的以下功能如果不使用可以删除Db目录 ---> UCenter数据库备份接口google---google引擎使用Javascript目录 ---> 数据和广告的js调用Trade目录 ---> 在线支付接口Manyou目录 ---> 漫游和云平台使用
b) 关闭论坛的个人空间,防止恶意钓鱼,欺诈。
Discuz! X1.5关闭个人空间方式:修改文件 source/module/home/home_space.php,搜索如下代码:$do=(!empty($_GET['do'])&&in_array($_GET['do'], $dos))?$_GET['do']:'index';下面添加如下代码: if(in_array($do, array('home', 'doing', 'blog', 'album', 'share', 'wall'))) {showmessage('抱歉,家园功能尚未开启', 'forum.php');}Discuz! X2关闭个人空间方式:后台->全局->站点功能->功能模块(是否开启家园功能,点否即可关闭)
c) 检查crossdomain.xml文件,限制到特定的域名或者将此文件删除。
4 {2 o4 A) L5 f1 E' V: Z
d) 遵循Discuz常见安全配置
1、forumfounders= '1'论坛创始人UID,建议只有一个创始人。2、论坛防御级别配置attackevasive = 0 (由于会影响用户,这里默认是0,如果遭到 攻击,可以自行尝试1248的配置)论坛防御级别,可防止大量的非正常请求造成的拒绝服务攻击。3、urlxssdefend = 1论坛访问页面防御开关。4、admincp['forcesecques'] = 1管理人员必须设置安全提问才能进入系统设置,0=否,1=是【安全】。5、admincp['checkip'] = 1后台管理操作是否验证管理员的 IP,1=是【安全】,0=否。6、admincp['tpledit'] = 0 (这项针对discuz! 7.2的安全配置)是否允许在线编辑论坛模板 1=是 0=否【安全】。7、admincp['runquery'] = 0是否允许后台运行SQL语句1=是,0=否【安全】。8、admincp['dbimport'] = 0是否允许后台恢复论坛数据 1=是 0=否【安全】。详细说明请参考:http://faq.comsenz.com/viewnews-924! F2 Z' J; ?$ M; c! d

/ \$ P) E: S" n+ X3 P
日常管理

$ _1 u% s9 U/ P0 |1、 所有的第三方软件均需要使用最新版本,确保安全。

$ p# z, D$ z/ \5 I8 F  a
2、 关注所用到的第三方软件的安全信息,及时更新补丁或升级。如dz论坛容易出现nginx的解析漏洞
在PHP的配置文件php.ini中配置cgi.fix_pathinfo = 0,防止nginx文件解析漏洞
3、 关注官方发布的安全信息。
/ ?$ \( i. f, g4 nhttp://www.discuz.net/forum-10-1.html
* k) ^9 s( V2 T, ]% [: |
4、 dz论坛统一管理。统一化的管理可以高效的对discuz论坛进行更新、维护,避免出现各个管理员对安全信息掌握不一致的问题。

9 _  c( o& |1 g  d0 \/ F! V4 M
5、 增加dz的网站风险检测系统,24扫描dz站点,及时掌握dz的安全状况

! C$ n! z& B. v* }
6、 增加漏洞收集渠道,更好的掌握自身产品的安全漏洞。
* \9 H0 c9 G2 f) x( D* N' ?
     作为普通网站的管理人员,通常需要遵循服务器安全加固中的1,2,3,4四点、网站安全加固的1,2两点、及日常管理的1,2,3三点用于确保网站的安全性。
# b2 u9 [  Q8 U. g( X4 @
    中小型企业若使用到discuz论坛可以参考网站安全加固的业务配置选项,更好的防御discuz论坛。
% _! S# s9 z( |2 E1 o2 J3 I  X* ^
    对于人力不足或在短期内迫切需要提升网站安全性的管理人员来说,推荐使用安全宝(http://anquanbao.com/)或加速乐(http://www.jiasule.com/)的一键安全防护功能。

" @3 m8 \- K4 ~" M  i9 P. c8 h3 ^9 _" ~1 t' N+ ~
& A4 ^$ q8 P  J" \% T- w3 g9 I7 B




欢迎光临 北美网备份站 (http://beimeilife.duckdns.org/) Powered by Discuz! X3.2