Discuz安装前安全规范-阿里云开发者社区

Discuz安装前安全规范

2017-11-12 1170

简介：

+关注继续查看

建议在机房部署的时候后端机器起码2台作容灾，运维侧nginx反向代理至后端处理，可以参考下如下的nginx相关配置供测试，Discuz的安全相关的东西以下提出了些，供参考：
Discuz安装前安全规范
1、须从Discuz官网下载最新版本的安装包;
2、Discuz论坛代码上传到服务器解压后，将全部文件和目录属主改为root或其他属主（必须与webserver属主不同），目的是为了防止黑客获得webserver的权限后，对程序文件进行恶意篡、放置后门等；
3、将Discuz论坛代码中的全部目录权限设置为755，将Discuz论坛代码中的全部文件权限设置为644；
4、确保数据库与discuz不在同一台机器上，做好DB分离，后端机器不能只有单台；
5、删除Discuz根目录下的crossdomain.xml文件，如需要此文件，必须限制到具体域名；
6、删除./static/image/common/mp3player.swf 文件；
7、Discuz根目录下./api/目录中不需要的外部接口需删除；
8、禁止论坛管理后台和UC管理后台外网访问；
9、禁止Discuz根目录下./data目录解析php，并且php、sql文件不能被下载；
10、禁止Discuz根目录下./uc_server/data ./uc_client/data/目录解析php,并且php文件不能被下载；
11、禁止Discuz根目录下的conf目录及目录中的文件被外网访问；禁止访问Discuz论坛目录下的.bak备份文件；
12、禁止Discuz根目录下./api/uc.php文件外网访问；
13、删除/uc_server/control/app.php；
14、安装好论坛后，需删除install目录；
安装好Discuz后，需对Discuz配置文件中的部分配置项进行修改，对论坛进行安全加固，加固点如下：
1. 设置founder = '1'
2. 设置forcesecques = '1'
3. 设置checkip = 1
4. 设置runquery = '0'
5. 设置dbimport = 0
6. 设置urlxssdefend = 1
7. 设置attackevasive = '0'
PHP配置相关：
1. 配置open_basedir项为网站目录;
2. 禁用危险函数disable_functions disable_functions=
dl,eval,assert,exec,popen,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open
(部分Discuz!版本正常运行需要eval,assert两个函数，如果有问题，上述禁用函数可以去掉这两个) ;
3. 关闭全局变量register_globals;
4. 开启magic_quotes_gpc ;
5. 安全模式safe_mode ;
6. 关闭错误消息提示display_errors ;

7. 禁止访问远程文件allow_url_fopen，allow_url_include;

本文转自 boy461205160 51CTO博客，原文链接:http://blog.51cto.com/461205160/1732888