云服务器促销,免费安装宝塔面板!
开启左侧

[DZ教程] Discuz!X3.4论坛服务器以及论坛安全设置方法

[复制链接]
我心枫叶 发表于 2017-9-14 17:40:50 | 显示全部楼层 |阅读模式

本站会员必须 邮箱验证成功后 才能发帖。马上注册查阅更多教程,下载海量资源,让你轻松玩做站

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
Discuz!X3.4论坛服务器以及论坛安全设置方法
7 A( Z$ b. L& m+ [5 O# [4 p4 v* V9 B1 s0 z! w: k2 s
Linux系统安装
1 N" z2 j; J( ~- O
1、软件包选择:全不选,安装最小化的系统,不安装图形界面; B: \/ D( m. \
5 m" v$ @0 S- h; E
2、root密码:必须超过8位,并且有符号和字母数字。
7 M3 o& }" x1 j' p; V6 d
) o/ ^  t. |2 l( F" n. ?6 G" f3、精简服务:关掉以下服务项
( l" I, B* v1 A. `! I6 y% g6 w" j( L7 m- T. e
kudzu cpuspeed isdn portmap nfslock rpcidmapd rpcgssd bluetooth netfs pcscd apmd hidd autofs hplip cups gpm xfs avahi-daemon yum-updatesd firstboot haldaemon
( B! D% M, D5 L$ s$ |! s( x) j% O2 s+ Z' a7 r
4、数据分区 /home 或 /data 应使用 nodev,nosetuid,nosetgid 挂载
) K: f8 v; I1 K+ `2 l9 N2 S4 u
2 U3 {" O4 _( z: Y5、所有服务的启动脚本应为root权限,并且为755属性
3 u2 K) C; `8 |" Q- ]* {) [3 [. z* w8 Q. u6 D
6、web服务器只开放80与22端口
; y2 U5 U: S$ Z: S! C0 H4 O: z3 i
7、数据库服务器只开放3306与22端口
- l/ u( C7 b4 o; b( E4 d& d7 {% Q$ P8 t+ F
8、除80,443和22,udp161(snmp),5666(nrpe)外,不允许其他服务LISTEN外网IP,161和5666端口必须限制IP! a  R# A; V6 J- B% }

" O0 `6 j* t1 F& n6 r1 o& y9、如无必要,禁止开启FTP服务,FTP密码传输为明文,容易被监听。2 d) _% S% q- o

" R2 q# G& K8 \! w9 {1 k# c10、禁止使用root权限运行任何服务2 ]# V; i; Z3 B5 n5 J% S

, y8 ~: U" P. T+ W( C  D# A" i11、设置内核参数net.ipv4.tcp_syncookies = 1,打开syncookie支持,防止普通级别的synflood* Q8 J2 y# i( ^$ Q6 V5 K' Y
3 v: P9 J! b4 w5 T8 b8 T: v1 Z% u
12、设置内核参数net.ipv4.conf.all.log_martians = 1,开启arp地址变更的记录功能,以便发现arp spoof攻击
0 j% J/ h1 ^# X) r* x* b
" [; ]; H' i2 ?4 v1 F- C7 fLinux系统以及设置, y+ b0 {2 O/ v9 i0 S6 y- V
% G" J# u  n% u  z3 r; G1 B
1、必须设置的 php.ini 参数:
: r$ F, V  s" v' _" ?+ g& j$ d
& ?: Q4 o, o+ h1 q2 Q8 D) w7 s
  1. disable_functions= passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen
    ( t0 G  \% M2 l; U
  2. register_globals = Off5 E' r' h9 X( ?7 X3 W. n- F  ~
  3. cgi.fix_pathinfo=0: _  F+ P# l7 G( d$ @; y
  4. magic_quotes_gpc = On
    * W+ y" W3 V  f* L
  5. allow_url_include = Off' r$ _9 c+ f1 P3 y8 Z7 V
  6. expose_php = Off
复制代码
; v. o1 A# {) k- S7 I6 ]
, l7 n& b: t" ]: h* v
2、MYSQL禁止绑定外网地址,单机只允许绑定127.0.0.1,多台服务器绑定内网IP1 l' q) P( Q- k- n+ l/ R; A) E- i$ R
" k) Z4 y# w. n0 I6 I7 v8 Z
3、php-fpm方式工作时,必须为每个站点设置一个独立的池,用不同的用户来运行% X# Y" ~/ b; M- R
. u% X2 ~! Q5 B8 A& ]2 u. ^" K
4、每个服务用独立的用户执行,比如:  G- v; W7 ^' }2 |
  1. $ Y$ O& B6 \  y, H" g7 z& ?
  2. WEB服务运行帐户为www
    $ o, {/ z. Q" F  j
  3. MySQL服务运行帐户为mysql
    3 u9 Q; R( h& z. r
  4. Memcached用户为memcache
    # L% I9 m: [3 i' t/ `
  5. Redis运行帐户为redis
    2 E4 ]+ {9 n+ i3 L  C
复制代码
Discuz!X3.4论坛站点安全方法# D3 ?' l9 u! c  M& ?
1、禁止长期放置phpinfo等探针,phpmyadmin等管理程序,需要的时候放置,用完后移走到非站点目录。% n3 O6 N; j5 Q& p( h, r# z

* H1 ?- F2 q) i/ y+ W( ], M/ Z, ?2、禁止在在运行的站点内放置测试程序,备份目录如bak,old文件夹一律移到非站点目录。) J% J: T8 p1 @6 O% G

6 m4 V! S+ y; j9 W6 `; {3、禁止放置install文件夹,以及upgrade、xconvert 相关升级和转换文件。
/ |$ d' n: }1 P! B( ]5 k# q3 E2 z: f- @7 A8 b. {- ?/ x  e
4、禁止目录下出现编辑器编辑后自动生成的备份文件,比如使用vim后留下的.swp ,Editplus留下的.bak文件。
9 H; a4 v6 @+ ~( U
  ]; N& V0 A8 e- g& p5、打包站点得来的zip,tar.gz,tar文件,一律不能放到站点目录下。+ C2 K' }7 b. P- N

1 T# c; x- Z3 L, d, H- z& H/ \$ g6、除了以下目录外,其他目录设置成root权限,禁止其他用户组修改。目录是:config/、data/、uc_client/data/、uc_server/data/
) G, N' S2 q' j4 [# e
; d! w  Q/ f. f7、设置禁止访问config/、data/、uc_client/data/、uc_server/data/下的php文件

3 c. _8 k8 X4 t0 q. l9 f7 S8 T! o+ ~2 j: K; S% R; E- e

" _3 \6 R2 r* f3 ^
4 H" z( i- M* R# D' l3 ~9 F, K" F( `* m+ \6 G+ J3 `3 V
/ b. r- U+ d* y5 a6 A7 ?# m5 X1 m3 P
当流科技-专业Discuz建站、仿站业务,专注处理discuz!论坛挂马,专注提供论坛托管维护服务! 提供Discuz论坛空间、VPS、云服务器!咨询QQ 569160956 778521512
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

精彩课程推荐

宝塔面板绑定域名无法访问后台怎么解决?

主讲:风雨兼程 服务器学院

Discuz!论坛网盘附件免跳转下载(手机版网

主讲:当流科技 Discuz插件

discuz论坛搬家教程,如何搬迁到新服务器?

主讲:风雨兼程 Discuz!教程

抱歉,当前存在网络问题或服务器繁忙,详细错

主讲:我心枫叶 Discuz!教程

宝塔面板phpmyadmin 数据库502 Bad Gateway

主讲:当流科技 服务器学院

宝塔面板mysql怎么用navicat 连接数据库呢

主讲:当流科技 服务器学院

Discuz!X3.3全新安装和升级后快速回复框丢

主讲:风雨兼程 Discuz!教程

宝塔面板如何添加和管理Mysql数据库?

主讲:xotexa372 服务器学院

商务合作

0551-66191059
service#dangliu.net
点击这里给我发消息
dz论坛/Discuz!论坛新手

关注微信公众号

QQ扫码 加 DZ技术群