当前位置：首页 > 实用文档 > 其他范文> Discuz论坛安全加固WEB安全

Discuz论坛安全加固WEB安全

时间：2023-01-14 07:55:43 其他范文收藏本文下载本文

Discuz论坛安全加固WEB安全（推荐6篇）由网友“海拉鲁的野蘑菇”投稿提供，以下是小编为大家准备的Discuz论坛安全加固WEB安全，欢迎大家前来参阅。

Discuz论坛安全加固WEB安全

篇1：Discuz论坛安全加固WEB安全

Discuz可以算是php里的一个比较优秀的bbs程序了，最近公司了增了discuz应用，不过在服务器上运行php程序相较java程序来说，安全性上总觉得不那么让人放心。果不其然，运行不久，网站就被人给黑了。之前该机一直平安的运行jsp安全的运行了一年多没有问题。当然，此处并不是说java较php优秀。之前运行jsp程序之所以没有问题也有两方面的原因：其一，java本身所具有的相对安全的特性；其二，在运维和程序代码本身都做了很多的努力，防止sql 注入，上传漏洞等。所以相信php做了一种快速高效的开发语言，如果安全加固做的比较到位的话，其与java代码相较并不处于弱势。

针对discuz的安全加固如下：

{

deny all;

}

按照以上的配置，即使出现上传漏洞，上传到了上面配置的几个目录php文件，也会报403出错无法执行。更安全的做法是，放行部分，其余全部禁止，例如：

{

allow all;

fastcgi_pass 127.0.0.1:9000;

fastcgi_index index.php;

include fcgi.conf;

}

不过上面只是一个示例，根目录下的php文件，我此处并未列全。而且还有一个问题就是，每次有新的版本发布，如果目录结构变列或者根目录新增php文件，都要相应的修改nginx 的安全配置。

2、优化nginx和php-fpm程序运行用户。例如，该用户为www，让www用户没有家目录，没有shell，无法登陆。nginx和php-fpm程序是通过root内部调用切换到 www用户。类似于mysql的启动。具体增加语句如下：

useradd www -d /dev/null -s /sbin/nologin

如果感觉还不够安全，可以再利用chroot和sudo等程序，限制www用户所能访问的目录和可以调用的命令。

3、目录权限控制。除了discuz下的data目录有写的权限，取消所有其他目录的写权限。

该步，我看到网上有列出执行的shell命令为：

find source -type d -maxdepth 4 -exec chmod 555 {} \;

find api -type d -maxdepth 4 -exec chmod 555 {} \;

find static -type d -maxdepth 4 -exec chmod 555 {} \;

find archive -type d -maxdepth 4 -exec chmod 555 {} \;

find config -type d -maxdepth 4 -exec chmod 555 {} \;

find data -type d -maxdepth 4 -exec chmod 755 {} \;

find template -type d -maxdepth 4 -exec chmod 555 {} \;

find uc_client -type d -maxdepth 4 -exec chmod 555 {} \;

不过按这样的shell语句执行是有警告的，具体所报内容如下：

find: warning: you have specified the -maxdepth option after a non-option argument -type, but options are not positional (-maxdepth affects tests specified before it as well as those specified after it). Please specify options before other arguments.

规范的写法是：

find source -maxdepth 4 -type d -exec chmod 555 {} \;

find api -maxdepth 4 -type d -exec chmod 555 {} \;

find static -maxdepth 4 -type d -exec chmod 555 {} \;

find archive -maxdepth 4 -type d -exec chmod 555 {} \;

find config -maxdepth 4 -type d -exec chmod 555 {} \;

find data -maxdepth 4 -type d -exec chmod 755 {} \;

find template -maxdepth 4 -type d -exec chmod 555 {} \;

find uc_client -maxdepth 4 -type d -exec chmod 555 {} \;

注：上面的' -maxdepth 4 ' 也是可以取消的，

对目录设置完成后，还要对文件配置权限：

find . -type f -exec chmod 444 {} \;

#设置论坛目录的文件只可读，然后设置那些需要写的文件，一般只有data下的文件是可以的。

find data -type f -exec chmod 755 {} \;

#设置data 文件为755

4、禁止php相关函数的调用及跨站。在php.ini文件中开启以下两项

open_basedir = .:/tmp/

disable_functions = passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popep

assthru,stream_socket_server,escapeshellcmd,dll,popen,disk_free_space,checkdnsrr,checkdnsrr,getservbyname,getservbyport,disk_total_space,posix_ctermid,posix_get_last_error,posix

_getcwd, posix_getegid,posix_geteuid,posix_getgid, posix_getgrgid,posix_getgrnam,posix_getgroups,posix_getlogin,posix_getpgid,posix_getpgrp,posix_getpid, posix_getppid,posix_get

pwnam,posix_getpwuid, posix_getrlimit, posix_getsid,posix_getuid,posix_isatty, posix_kill,posix_mkfifo,posix_setegid,posix_seteuid,posix_setgid, posix_setpgid,posix_setsid,posix

_setuid,posix_strerror,posix_times,posix_ttyname,posix_uname

以上主要是对系统层面的调用函数全部禁止。

5、将该KVM机进行隔离。和其他主机无法连接。

该步骤配置是有条件的，在有KVM环境的条件，可以将各个应用之间利用KVM进行隔离。web访问模式为物理机iptables nat ——KVM虚拟机或 web入口——物理机iptables nat ——KVM虚拟机。

6、数据库控制。

在mysql新建用户时，一是适当分配给用户所需的权限，二是要在创建用户时最好能限定来源IP 。例如：

CREATE USER 'discuz'@'192.168.0.%' IDENTIFIED BY '66ZX811a';

grant select,insert,update,delete,create,index,trigger,create temporary tables on discuz.* to 'discuz'@'192.168.0.%';

篇2：Discuz论坛服务器安全加固WEB安全

Discuz 论坛架构：

nginx+php+mysql

1、权限最小化

a） Webserver及数据库服务均以非root权限启动；

b）文件属主与webserver进程属主不同（一般设置文件的属主为root）

c）确保discuz网站的目录和文件权限最小化，

目录权限除必须为777的目录外，其他目录权限须设置为755

文件权限除必须为777的文件外，其他文件权限须设置为644

d）数据库与webserver不在同一台机器上

e）可写的目录没有执行脚本权限，可执行脚本权限的目录不可写。

常见可写目录为：./config、./data、./uc_client/data/、./uc_server/data/

常见不可解析php的目录为：./data/、diy、template、attachment、./install/images、

./uc_server/data、forumdata、images

nginx配置

location ~* ^/(data|images|config|static|source)/.*\.(php|php5)$ {

deny all;

}

f）控制脚本仅允许访问网站文件

在php.ini中配置open_basedir项为网站目录

2、敏感信息不显示

a) 关闭webserver的目录浏览功能

nginx默认是未开启列目录功能的

b) 关闭php的错误消息显示

3、开启日志记录功能

a)nginx访问日志

b)php-error日志

4、实施ip策略

a) 数据库仅开放在内网

b) 不允许任意ip连接数据库

c) Iptables禁止所有的非法连接

d) 管理目录仅允许内网访问

篇3：浅谈如何保证discuz插件安全WEB安全

1.非直接执行程序请加上

if(!defined('IN_DISCUZ')) {exit('Access Denied');}

2.记得过滤

比如说uid等id需要intval过滤,避免溢出

文字内容需要htmlspecialchars过滤避免内容变形(DZ内为dhtmlspecialchars)

3.查询条件需要写在'和'中间.

这个是为了避免别人使用查询的条件写出溢出内容

4.所有写入mysql的变量必须addslashes

DZ内为daddslashes,如用DZ无须再次过滤,DZ已将所有POST和_GET过滤,并记得在插入时前后带上'

这是为了避免破第3步将变量内带'使第3条无效

再需要选择是否插入某字段时记得不要直接使用传递来的代码而是判断是否选上什么再加上,比如

if($click) {$front = 'a, b ,c';$back = “'$a', '$b', '$c'”;} else {$front = $back = '';}

然后在下面的插入内可以直接加上front和back

查询也类似.

必须记得如果没有将front和back为'',这是为了避免让别人利用了.

5.提交内容记得用submitcheck

避免被别人利用,比如利用[img]代码

6.确保所有变量都有定义,防止被别人利用

DZ一直在改进,启用了很多新的变量也放弃了很多旧的变量,希望大家在转换过程中先了解清楚DZ是否有更改或去除以前的变量.

比如说前段时间的许愿池漏洞就是因为没有定义$discuz_root而被别人利用.

7.extract,eval等函数需要小心使用

不要被别人利用这个覆盖已有变量达到入侵目的

8.写储存文件的时候记得过滤

如果你储存文件的后缀名为PHP或其他可执行文件,记得将开头加上

<?PHPexit('Access Denied');?>

9.可上传附件的插件记得限制类型

上传附件,为了防止他人上传可执行文件,必须检查后缀名是否含有可执行文件后缀名,最好不允许此类文件上传,如需上传请将文件名改变.

以下内容转自DZ程序的代码

$attach['attachment'] .= preg_replace(“/(php|phtml|php3|jsp|exe|dll|asp|aspx|asa|cgi|fcgi|pl)(\.|$)/i”, “_\\1\\2”,substr($filename, 0, 64).'_'.random(12).'.'.$extension);

10.所有组数在运用前记得写$xxx = array();

这个的原因很简单,为了避免被利用(在地址直接加上&xxx[xxx]=abc即可被利用)

有些插件有可能因为这些原因影响插件安全

篇4：Windows server 系统加固常用流程WEB安全

1、禁掉不安全的所有内置账户

2、清除网络匿名访问的共享权限

3、清除网络匿名访问的注册表权限

4、设置通过终端服务拒绝登录的用户

5、去掉默认共享

6、禁用所有的危险服务

7、更改本地安全策略和审核策略

8、更改会被提权利用的文件运行权限

9、使用IP安全策略禁用6000,135,1433,139,445,593,1025,135,137,138,445,2745,3127,6129等危险端口

10、使用安全策略禁用ICMP数据包，也就是平时说的PING，让别人PING不到服务器，减少不必要的软件扫描麻烦

11、服务器打上所有补丁，保证系统为最新的更新

12、安全常用的防护软件

篇5：linux安全加固

---1.使用Shell历史命令记录功能#/etc/bashrcHISTFILESIZE=4000 HISTSIZE=4000 HISTTIMEFORMAT='%F %T' export HISTTIMEFORMAT source /etc/bashrc---2.删减系统登录欢迎信息---2.1删除记录了操作系统的名称和版本号# vi /etc/ssh/sshd_config #添加如下记录Banner /etc/issue.net ---2.2 删除全部内容或更新成自己想要添加的内容 # vi /etc/motd---3.system timeout 5 minite auto logoutecho “TMOUT=300” >>/etc/profilesource /etc/profile----4.加固# chmod危险文件chmod 700 /bin/pingchmod 700 /usr/bin/fingerchmod 700 /usr/bin/whochmod 700 /usr/bin/wchmod 700 /usr/bin/locatechmod 700 /usr/bin/whereischmod 700 /sbin/ifconfigchmod 700 /usr/bin/picochmod 700 /bin/vichmod 700 /usr/bin/whichchmod 700 /usr/bin/gccchmod 700 /usr/bin/makechmod 700 /bin/rpm# history安全chattr +a /root/.bash_historychattr +i /root/.bash_history# chattr /etc/passwd /etc/shadowchattr +i /etc/passwdchattr +i /etc/shadowchattr +i /etc/groupchattr +i /etc/gshadow# add syncookie enable /etc/sysctl.confecho “net.ipv4.tcp_syncookies=1” >>/etc/sysctl.confsysctl -p#修改配置文件vi /etc/login.defsPASS_MAX_DAYS 90 #新建用户的密码最长使用天数 PASS_MIN_DAYS 0 #新建用户的密码最短使用天数 PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数 PASS_MIN_LEN 9 #最小密码长度9---5.限制哪些账户能切换到root1) #vi /etc/pam.d/suauth required /lib/security/pam_wheel.so group=dba#usermod -Gdba test 将test用户加入到dba组---6.系统内核安全vi /etc/sysctl.conf# Kernel sysctl configuration file for Red Hat Linux## For binary values, 0 is disabled, 1 is enabled. See sysctl(8) and# sysctl.conf(5) for more details.# Controls IP packet forwardingnet.ipv4.ip_forward = 0# Controls source route verificationnet.ipv4.conf.default.rp_filter = 1# Controls the System Request debugging functionality of the kernelkernel.sysrq = 0# Controls whether core dumps will append the PID to the core filename.# Useful for debugging multi-threaded applications.kernel.core_uses_pid = 1#Prevent SYN attacknet.ipv4.tcp_syncookies = 1net.ipv4.tcp_max_syn_backlog = 2048net.ipv4.tcp_synack_retries = 2# Disables packet forwardingnet.ipv4.ip_forward=0# Disables IP source routingnet.ipv4.conf.all.accept_source_route = 0net.ipv4.conf.lo.accept_source_route = 0net.ipv4.conf.eth0.accept_source_route = 0net.ipv4.conf.default.accept_source_route = 0# Enable IP spoofing protection, turn on source route verificationnet.ipv4.conf.all.rp_filter = 1net.ipv4.conf.lo.rp_filter = 1net.ipv4.conf.eth0.rp_filter = 1net.ipv4.conf.default.rp_filter = 1# Disable ICMP Redirect Acceptancenet.ipv4.conf.all.accept_redirects = 0net.ipv4.conf.lo.accept_redirects = 0net.ipv4.conf.eth0.accept_redirects = 0net.ipv4.conf.default.accept_redirects = 0# Enable Log Spoofed Packets, Source Routed Packets, Redirect Packetsnet.ipv4.conf.all.log_martians = 1net.ipv4.conf.lo.log_martians = 1net.ipv4.conf.eth0.log_martians = 1# Disables IP source routingnet.ipv4.conf.all.accept_source_route = 0net.ipv4.conf.lo.accept_source_route = 0net.ipv4.conf.eth0.accept_source_route = 0net.ipv4.conf.default.accept_source_route = 0# Enable IP spoofing protection, turn on source route verificationnet.ipv4.conf.all.rp_filter = 1net.ipv4.conf.lo.rp_filter = 1net.ipv4.conf.eth0.rp_filter = 114net.ipv4.conf.default.rp_filter = 1# Disable ICMP Redirect Acceptancenet.ipv4.conf.all.accept_redirects = 0net.ipv4.conf.lo.accept_redirects = 0net.ipv4.conf.eth0.accept_redirects = 0net.ipv4.conf.default.accept_redirects = 0# Disables the magic-sysrq keykernel.sysrq = 0# Modify system limits for Ensim WEBppliancefs.file-max = 65000# Decrease the time default value for tcp_fin_timeout connectionnet.ipv4.tcp_fin_timeout = 15# Decrease the time default value for tcp_keepalive_time connectionnet.ipv4.tcp_keepalive_time = 1800# Turn off the tcp_window_scalingnet.ipv4.tcp_window_scaling = 0# Turn off the tcp_sacknet.ipv4.tcp_sack = 0# Turn off the tcp_timestampsnet.ipv4.tcp_timestamps = 0# Enable TCP SYN Cookie Protectionnet.ipv4.tcp_syncookies = 1# Enable ignoring broadcasts requestnet.ipv4.icmp_echo_ignore_broadcasts = 1# Enable bad error message Protectionnet.ipv4.icmp_ignore_bogus_error_responses = 1# Log Spoofed Packets, Source Routed Packets, Redirect Packetsnet.ipv4.conf.all.log_martians = 1# Set maximum amount of memory allocated to shm to 256MBkernel.shmmax = 268435456# Improve file system performancevm.bdflush = 100 1200 128 512 15 5000 500 1884 2# Improve virtual memory performancevm.buffermem = 90 10 60# Increases the size of the socket queue (effectively, q0).net.ipv4.tcp_max_syn_backlog = 1024# Increase the maximum total TCP buffer-space allocatablenet.ipv4.tcp_mem = 57344 57344 65536# Increase the maximum TCP write-buffer-space allocatablenet.ipv4.tcp_wmem = 32768 65536 52428815# Increase the maximum TCP read-buffer space allocatablenet.ipv4.tcp_rmem = 98304 196608 1572864# Increase the maximum and default receive socket buffer sizenet.core.rmem_max = 524280net.core.rmem_default = 524280# Increase the maximum and default send socket buffer sizenet.core.wmem_max = 524280net.core.wmem_default = 524280# Increase the tcp-time-wait buckets pool sizenet.ipv4.tcp_max_tw_buckets = 1440000# Allowed local port rangenet.ipv4.ip_local_port_range = 16384 65536# Increase the maximum memory used to reassemble IP fragmentsnet.ipv4.ipfrag_high_thresh = 51net.ipv4.ipfrag_low_thresh = 446464# Increase the maximum amount of option memory buffersnet.core.optmem_max = 57344# Increase the maximum number of skb-heads to be cachednet.core.hot_list_length = 1024## DO NOT REMOVE THE FOLLOWING LINE!## nsobuild:1206 sysctl -p

篇6：Nginx漏洞利用与安全加固方法WEB安全

本文主要分为两大部分，第一部分介绍了Nginx的一些常见安全漏洞的形成原因、利用方法，并给出了相应的解决办法;第二部分介绍了Nginx安全加固时需要关注的主要内容，

Nginx(发音同engine x)是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器，由俄罗斯的程序设计师Igor Sysoev所开发，可以稳定地运行在Linux、Windows等操作系统上，其特点是占用内存少，并发能力强。

同其他软件一样，Nginx也出现过一些安全漏洞，利用这些漏洞可以对Web服务器进行渗透攻击。

下面我们通过实例来介绍几个关于Nginx的安全漏洞，以及相应的漏洞利用方法。

Nginx漏洞分析实例

Nginx文件类型错误解析漏洞

在2010年的时候，国内安全组织80Sec发现了一个Nginx文件类型解析漏洞，但实际上这个并非Nginx本身的漏洞，而是由于配置导致的安全问题。下面我们详细分析一下这个漏洞。

漏洞分析：Nginx默认是以CGI的方式支持PHP解析的，普遍的做法是在Nginx配置文件中通过正则匹配设置SCRIPT_FILENAME。配置文件中会有类似如下内容，如图1所示。

图1

location对请求进行选择的时候会使用URI环境变量进行选择，其中传递到后端Fastcgi的关键变量SCRIPT_FILENAME是由Nginx生成的$fastcgi_script_name来决定的。而通过分析可以看到$fastcgi_script_name是直接由URI环境变量控制的，这里就是产生问题的点。当访问192.168.1.103/phpinfo.jpg/1.php这个URL时，$fastcgi_script_name会被设置为“phpinfo.jpg/1.php”，然后构造成SCRIPT_FILENAME传递给PHP CGI，但是PHP为什么会接受这样的参数，并将phpinfo.jpg作为PHP文件解析呢?

这就要说到fix_pathinfo这个选项了，如图2所示。

图2

如果开启了这个选项，那么就会触发在PHP中的如下逻辑，如图3所示。

图3

到这里，PHP会认为SCRIPT_FILENAME是phpinfo.jpg，而1.php是PATH_INFO，所以就会将phpinfo.jpg作为PHP文件来解析了。

漏洞危害：利用该漏洞，攻击者可以将任意文件类型作为PHP文件解析，攻击者通常利用该漏洞来获取到一个WebShell。

漏洞利用：假设某一服务器存在该漏洞，攻击者可以通过上传一张包含PHP后门代码的图片来获取WebShell，这是一种常见的攻击方式，如图4所示。

图4

解决方案：这里介绍两种解决方案：一、修改php.ini文件，将cgi.fix_pathinfo的值设置为0;二、在Nginx配置文件中添加以下代码：

if ( $fastcgi_script_name ~ \..*\/.*php ) {

return 403;

}

这行代码的意思是当匹配到类似test.jpg/a.php的URL时，将返回403错误代码，如图5所示。

图5

Nginx配置错误而导致目录遍历漏洞

在Nginx的配置文件中如果开启了autoindex选项，并采用类似下面的配置时会造成目录遍历漏洞，如图6所示。

图6

当访问192.168.1.103/test/这个URL时，正常情况应该遍历html/test/这个目录，但是如果访问192.168.1.103/test../这个URL时，则会遍历上一级目录(html/)了。

下面我们通过一个实例来演示下这个漏洞，先来看下正常访问时返回的页面，如图7所示。

图7

现在我们再来看下漏洞被触发后返回的页面，如图8所示。

图8

通过图8所示的返回结果，我们可以看到利用该漏洞我们成功遍历到了其上一级目录，

下面提供两种方法来解决这个问题，从中选择一种即可，具体配置如下图9所示。

图9

现在我们再来验证下当采用上面的代码加固Nginx以后，服务器是否还存在漏洞。

图10

从图10的返回结果可以看到漏洞没有被触发，而是返回了404页面，说明漏洞被修复。

Nginx安全加固

针对Nginx的安全加固，主要从以下两个方面考虑：一、Nginx Web Server程序本身是否安全，如是否存在安全漏洞;二、Nginx Web Server是否提供了可使用的安全功能，这部分主要是检查Nginx的配置是否得当，是否存在由于配置失误导致的安全问题。

Nginx版本的选择与安装注意事项

在选择Nginx版本时，需要关注是否存在安全漏洞和版本的稳定性。一般选择最新的稳定版本，这样可以在稳定性和安全之间取得一个平衡。在升级Nginx版本前建议先在测试环境中测试通过后再正式升级，以避免由于兼容性带来其他不可预知的问题。

关于Nginx的安全漏洞可以关注Nginx官方发布的安全公告(nginx.org/en/security_advisories.html)或到其他一些漏洞发布平台上查找。

在安装Nginx时建议使用自定义安装路径，如果采用默认安装路径，很容易被攻击者和一些自动化攻击工具猜测到，为其进行下一步的攻击提供便利。

Nginx安全配置

1. 修改/隐藏Nginx Banner信息

攻击者在对目标服务器进行渗透攻击前，通常会有一个目标信息收集阶段，这个阶段的任务就是通过各种手段获取到目标服务器的信息，如获取目标服务器的系统版本、Web、数据库的类型及相关信息，这个阶段获取到的信息将直接关系到攻击者下一步采取的攻击手段。因此，修改/隐藏Nginx的相关信息将在一定程度上可以增大攻击者的攻击难度，也可以骗过一些自动化攻击工具。

在Linux平台下以源码方式安装Nginx时，可以通过修改“src/core/nginx.h”中的信息来达到隐藏或自定义Banner信息的目的。

我们先来看下nginx.h这个文件中默认的内容，类似图11所示。

图11

这时当我们访问Nginx服务器时，Server字段会返回真实的Banner信息，如图12所示。

图12

现在我们来自定义nginx.h中关于Banner信息的内容，可参考图13。

图13

修改完成后，重新编译Nginx，然后安装即可。安装完成后，我们再来访问下该Nginx服务器，发现这时Server返回的内容为自定义的Banner信息了，如图14所示。

图14

2. Nginx日志安全

不论在那种服务器上，日志都是一个非常重要的部分，我们需要对它严加保护。在Nginx上也是如此。Nginx的日志默认存放在安装目录的logs目录下，首先要修改日志的默认保存路径，然后设置只允许管理员有日志存放目录的完全控制权限。

3. Nginx权限设置