标题: DedeCMS织梦系统的服务器环境安全设置(回贴内包括PHP脚本限制设置方法) [打印本页]
作者:
万众海浪 时间: 2020-8-14 01:21 标题: DedeCMS织梦系统的服务器环境安全设置(回贴内包括PHP脚本限制设置方法)
1、目录权限
我们不建议用户把栏目目录设置在根目录,原因是这样进行安全设置会十分的麻烦,在默认的情况下,安装完成后,目录设置如下:
(1) data、templets、uploads、a或5.3的html目录,设置可读写,不可执行的权限;
(2) 不需要专题的,建议删除special 目录,需要可以在生成HTML后,删除special/index.php 然后把这目录设置为可读写,不可执行的权限;
(3) include、member、plus、后台管理目录设置为可执行脚本,可读,但不可写入(安装了附加模块的,book、ask、company、group 目录同样如此设置)。
2、其它需注意问题
(1) 虽然对install 目录已经进行了严格处理,但为了安全起见,我们依然建议把它删除;
(2) 不要对网站直接使用MySQL root用户的权限,给每个网站设置独立的MySQL用户帐号,许可权限为:
SELECT, INSERT , UPDATE , DELETE
CREATE , DROP , INDEX , ALTER , CREATE TEMPORARY TABLES
由于DEDE并没有任何地方使用存储过程,因此务必禁用FILE、EXECUTE 等执行存储过程或文件操作的权限。
3、如何设置目录的权限?
对于会用Linux 的用户,相信大多数都已经懂得这些东西,IIS用户,请看下图:
3.1设置目录为只读权限
J2开奖直播复制下权限
设置目录为只读权限
3.2设置目录不允许执行脚本
此外还需要注意问题是,不管IIS还是Apache都不要把.php和.inc文件加入mime中,这样系统会禁止下载这些文件。
4Apache站点安全设置
如果是Windows2003下,可以对Apache进行如下操作:
4.1在计算机管理里的本地用户和组里面创建一个帐户,例如:DedeApache,密码设置为DedeApachePWD,加入guests组(如果出现问题,可以赋予user权限);
4. 2 打开开始->管理工具->本地安全策略,在“用户权限分配”中选择“作为服务登陆”,添加DedeApache用户;
4.3.计算机管理里面选择服务,找到apache2.2,先停止服务,右击->属性,选择登陆,把单选框从本地系统帐户切换到此帐户,然后查找选择DedeApache,输入密码DedeApachePWD,然后点确定(这个时候apache还不能正常启动,一般情况肯定会报错:Apache2.2 服务因1 (0x1) 服务性错误而停止。);
4.4.赋予apache安装目录(比如:D:/apache2.2)以及web目录(比如D:/wwwroot)DedeApache帐号的可读写权限,去除各磁盘根目录除administror与system以外的所有权限,赋予DedeApache安装目录所在的磁盘根目录apache帐户的可读取列目录权限
我们在站点配置中可以添加如下内容:
01 <Directory "D:\dedecms\www\uploads">
02 <FilesMatch ".php">
03 Order Allow,Deny
04 Deny from all
05 </FilesMatch>
06 </Directory>
07 <Directory "D:\dedecms\www\data">
08 <FilesMatch ".php">
09 Order Allow,Deny
10 Deny from all
11 </FilesMatch>
12 </Directory>
13 <Directory "D:\dedecms\www\templets">
14 <FilesMatch ".php">
15 Order Allow,Deny
16 Deny from all
17 </FilesMatch>
18 </Directory>
19 <Directory "D:\dedecms\www\a">
20 <FilesMatch ".php">
21 Order Allow,Deny
22 Deny from all
23 </FilesMatch>
24 </Directory>
这里对应就取消了对应目录的脚本执行权限。
5.data目录路径更改
另外在DedeCMS V5.7中用户也可以设定data目录到上一级非web访问目录,基本操作如下:
5.1.将data目录移动到上一级目录中,这里直接剪切过去就可以了;
5.2.配置include/common.inc.php中DEDEDATA文件
define('DEDEDATA', DEDEROOT.'/data');
可以改成类如:
define('DEDEDATA', DEDEROOT.'/../../data');
5. 3.后台设置模板缓存路径
作者:
万众海浪 时间: 2020-8-14 01:50 标题: 如何做好dede(织梦)安全设置(史上最全)
很多顾客反馈,dede是好用,优化也好,就是不安全,站长认为,任何程序都没有完美的,病毒木马就像人体病毒一样,也是不断的更新和变异。如果做好这些安全设置的话,就不要怕网站被黑了!(网站中木马了怎么办?如何彻底清除?)
基本配置:
其一:保持DEDE更新,及时打补丁。
其二:装好DEDE后及时把install文件夹删除,这个是必须的。一些垃圾文件用不掉。special 专题 member 会员。m 手机站 等都可以直接删除。
其三:管理目录dede改名,改成其他的,不要修改过于简单,例如admin guanli 这样的东东。小白猜猜就能找到。最好是改成MD5形式的,最好长点
其四:plus下的guestbook文件夹还有guestbook.php都删除掉。最好,只留下这么几个文件,其他全部删除,参考下图;
下面我们对这几个文件做下解释,
Img 文件夹,这个是主要是CSS样式在里面,所以保留,如果删除了,会造成发布文章时界面有点乱,所以要保留
ad_js.php 这个文件时广告位,因为有些模板用到了后台调用广告位,如果你不确定,建议保留
Diy.php 这个是留言系统,有些模板上有用户在线留言功能,用到的就是这个,如果你不确定,建议保留
Search.php 这个是搜索功能,也就是网站上的搜索,如果你不确定,建议保留
List.php 这动态栏目,上下载的都是生成静态栏目了,但是有些用户喜欢动态栏目,即使你使用的是静态栏目,这个保留也没影响,所以建议保留
View.php 这个是动态文章,道理和list.php一样,建议保留。
count.php 这个是文章浏览次数,建议保留。
如果实在看不懂,就按照截图保留,其他的都删除,删除前建议备份一份。
其五:默认网站后台dede 的文件管理(管理目录下file_manage_xxx.php),不用的可以做掉,这个不是很安全,至少进了后台上传小马很方便
其六:下载发布功能(管理目录下soft__xxx_xxx.php),不用的话可以做掉,这个也比较容易上传小马的
其七:网站如果是服务器的化,可以安装个安全狗,是比较不错的选择。能够阻挡中下小黑。
其八:网站安全不光是程序单一的问题,如果正规作战,建议用个好点的空间,省去很多不必要的麻烦。
其九:data 转移出目录:做法如下:
data目录是系统缓存和配置文件的目录,一般都有可以读写的权限,只要是能够写入的目录都可能存在安全隐患,很多站长甚至给予这个目录可执行的权限,更是非常危险,所以我们建议将这个data目录搬移出Web可访问目录之外。本篇将介绍如何将data目录搬移出Web访问目录。
1.将data目录转移到非Web目录
我们这里举例“D:dedecms57”为我们系统的根目录,我们需要将目录下的data文件夹(如图1)迁移要上一级目录(非Web目录),简单的办法直接剪切或者拷贝即可。
我们移动上一级目录中,注意观察文件路径。
2.修改DEDEDATA目录的配置常量
找到系统目录下/include/common.inc.php文件,修改DEDEDATA常量为你的系统目录。大约16行左右
3.配置tplcache缓存文件目录
进入系统后台,在配置中修改tplcache目录为你想对目录。
好了,这样我们就将data目录顺利迁移出去了。
最安全地方式:本地发布html,然后上传到空间。不包含任何动态内容,理论上最安全。
备注:如果一些虚拟主机,不支持data转移,如何操作呢?我们可以把data 名称重新命名即可,具体图文如下:
1 J2开奖直播找到data,目录,ftp 选择重新命名,如:data修改为:如图片(名称自己定),
2.修改DEDEDATA目录的配置常量找到系统目录下/include/common.inc.php文件,修改DEDEDATA常量为你的系统目录。大约16行左右,修改为如下:
把原来的data换成自己修改掉名称,本次修改为:如图片(名称自己定),只有修改这处后,网站后台才能正常的打开。
3.配置tplcache缓存文件目录进入系统后台,在配置中修改tplcache目录为你想对目录
在系统---基本参数设置---性能设置处,打开默认:
模板缓存:/data/tplcache 修改为:你修改的名称即可
本次为:[url=]/如图片(名称自己定/tplcache[/url]
如果网站动态浏览出现 /install/index.php 错误提示,打开根目录index.php 找到顶部:
if(!file_exists(dirname(__FILE__).'/data/common.inc.php'))
{
header('Location:install/index.php');
exit();
}
删除即可
作者:
万众海浪 时间: 2020-8-14 02:20 标题: 织梦教程dedecms安全设置之文件夹目录权限
还有更多的织梦教程dedecms安全设置之文件夹目录权限
http://blog.websem.cc/1410.html
作者:
万众海浪 时间: 2020-8-14 02:21 标题: 织梦教程dedecms安全设置之文件夹目录权限
最近很多使用dedecms的站长都被被挂马,或种下后门,因为用的人多,研究的人也多防不胜防,所有dedecms安全设置就非常必要了,这篇文章是脚本之家根据网上多方资料整理而来,方便需要的朋友
其实dedecms官方网站也给出了一些安全设置的参考,其实下面的文章都是根据这个而来,建议大家先看完这篇文章,再继续往下看:
J2开奖直播:服务器安全设置之 IIS用户设置方法,其实各个网站独立用户才比较安全
网站安全中,对目录的执行权限是非常敏感的,一般来说,可以写入的目录是不能够拥有脚本的执行权限的,像DedeCMS系统,可写入的有两个目录data、uploads,data目录主要是基本配置文件和缓存数据,uploads则是附件上传保存的目录,本篇将针对不同服务器环境来介绍如何取消这两个目录的执行权限,当然我们也建议用户其他一些生成纯静态html的目录,拥有可写入权限的也统统去除执行权限,这样系统会更为安全。
Windows下的IIS IIS6.0
打开IIS中站点,在站点uploads目录、data目录以及静态html生成目录点击右键,菜单中选择“属性”,在目录属性面板选择执行权限为“无”即可。(如图1)
IIS7
IIS7也类似于IIS6.0,选择站点对应的目录,data、uploads及静态html文件目录,双击功能试图面板中的“处理程序映射”(如图2)
在“编辑功能权限……”中,我们直接去除脚本的执行权限即可。(如图3)
其实上面只是介绍了如果取消执行权限,根据官方的推荐还需要设置目录写权限的设置方法,这里脚本之家简单的介绍下
例如a目录,一般是生成静态页面用的,那么我们就需要服务器端设置(dederun是iis中运行网站匿名用户)
Apache下目录脚本的执行权限设置 独立主机配置
在Apache中,没有Windows 下IIS的图形管理界面,我们需要手工修改下apache的配置文件,来进行目录脚本的执行权限的设定。
J2开奖直播我们找到apache的配置文件httpd.conf,通常情况下,该配置文件在apache安装目录下的conf文件夹中(如图4)。
(图4)
打开httpd.conf文件,找到内容中如图5的位置:
(图5)
将需要限制执行脚本文件的目录配置添加到下方:
配置内容为:
代码如下:
<Directory "DIR">
<FilesMatch ".(php|asp|jsp)$">
Deny from all
</FilesMatch>
</Directory>
配置内容中的DIR为需要限制执行脚本文件的目录,FilesMatch后的内容为需要限定的执行的脚本后缀名。例如:这里需要禁止测试站点uploads文件夹下的PHP,ASP,JSP脚本的运行,则进行如下图6配置:
(图6)
在配置完成后,重启一下apache,配置便生效!
在操作前,uploads文件夹下我新建了一个index.php文件,图7为未作配置前访问情
(图7)
图8为重启apache后访问该页面的效果。
(图8)
虚拟主机/空间配置
在配置前需要确认你的空间是否支持.htaccess和rewrite,该方法基于.htaccess文件中使用rewrite来达到禁止指定脚本的运行效果。
规则内容如下:
复制代码
代码如下:
RewriteEngine on RewriteCond % !^$
RewriteRule uploads/(.*).(php)$ – [F]
RewriteRule data/(.*).(php)$ – [F]
RewriteRule templets/(.*).(php)$ – [F]
针对uploads,data,templets 三个目录做了执行php脚本限制;
将如上内容存储至到.hatccess文件中,将该文件存放到你的站点根目录下,
这样,目录脚本的执行权限就控制好了,规则上传前后的效果同图7,图8。
nginx环境规则内容如下:nginx执行php脚本限制
LNMP有一个缺点就是目录权限设置上不如Apache,有时候网站程序存在上传漏洞或类似pathinfo的漏洞从而导致被上传了php木马,而给网站和服务器带来比较大危险。建议将网站目录的PHP权限去掉,当访问上传目录下的php文件时就会返回403错误。
J2开奖直播要编辑nginx的虚拟主机配置,在fastcgi的location语句的前面按下面的内容添加:
代码如下:
location ~ /(data|uploads|templets)/.*\.(php|php5)?$ {
deny all;
}
好了就这些吧,做了这些应该不会有什么问题基本够用!建议用dedecms的朋友花点时间去设置一下.
这里也推荐一篇视频教程,说的与设置都比较详细
DedeCMS目录安全设置教程For IIS 在线播放dedecms 安全设置终极技巧补充(idc)
https://www.jb51.net/cms/44986.html
如果上述设置不是很清楚的,可以到万众海浪权威主论坛寻求帮助,里面很多文章与软件都是精心整理的。
欢迎光临 万众海浪论坛 (http://bbs.838778.com/) |
Powered by Discuz! 5.5.0 |