一、系统服务
对于运行 Discuz! 论坛程序的服务器来说,系统中的一些网络服务是没有用的,关闭一些
不用的系统网络服务可以减少可能的漏洞源,提升操作系统的安全性。以下列出建议关闭的服务:
DNS Server
DHCP Server
Distributed Link Tracking Client
二、服务器安全软件
服务器中要安装性能良好的杀毒软件和网络防火墙软件,并且对于杀毒软件而言,需要时刻
保持其病毒库为最新版本。网络防火墙的规则要设置的尽量严格但又不会影响正常的网络服务。
对于Discuz!论坛应用,防火墙需要开启如下TCP端口:
21 FTP服务端口;
25 SMTP服务端口,用于发送邮件(如:论坛会员密码取回邮件);
80 HTTP端口,IIS服务使用的标准HTTP端口;
3389 Windows Server 2003 远程桌面端口;
上述未列出的端口可以一律关闭,并且处于对服务器维护的方便,如果没有特殊需要,不要禁止
ping入数据包(ICMP)。
三、系统账户以及用户权限
对于Discuz!论坛所在的站点目录,不要对Everyone用户组授予过多权限,可以参照以下策略
进行设置:
Administrator 完全控制;
System 完全控制;
Users 列出文件及文件夹、读取、写入、运行;
Everyone 读取
另外,对于PHP目录,也要按照上述策略进行安全设置。
四、系统环境软件安全设置
1. IIS
在对IIS相关设置不是十分了解情况下,尽量不要改动IIS的一些默认设置,Windows Server 2003
中的IIS默认情况下已经具有良好的安装控制机制。另外需要注意的,IIS中的虚拟主机站点设置中,
不要设置站点目录的“目录浏览”权限。
2. PHP
打开X:\Windows\php.ini配置文件,修改其中的设置,以禁止使用一些高风险的PHP函数:
找到:
修改为:
- disable_functions = phpinfo,passthru,exec,system,popen,chroot,escapeshellcmd,escapeshellarg,shell_exec,proc_open,proc_get_status
找到:
检查该选项设置是否为 Off,如果该选项被设置为On,则可能会引起极大的安全隐患。
找到:
检查该选项设置是否为 On,如果该选项被设置为Off,则可能会引起极大的安全隐患。
3. MySQL
将MySQL中root用户以及其他用户的密码设置为高强度密码,以防密码暴力破解。
五、Discuz! 论坛程序安全
尽量升级到最新稳定版的 Discuz! 论坛程序,以获得最大的程序安全性。另外,谨慎安装各种插件,
设计编写不严谨的插件可能会带来程序安全漏洞。对于与数据库的连接,不要使用root用户与MySQL进行
连接,要新建一个普通MySQL用户,并且只为该普通用户授权Discuz!论坛数据库。
六、phpMyAdmin保护
在phpMyAdmin的配置文件config.inc.php中,注意以下几个选项的设置:
该选项要填写能够访问到phpMyAdmin目录的绝对URL地址(如:http://www.abc.com/phpMyAdmin),以防攻击者从其他URL访问到phpMyAdmin程序。
该选项设置为 cookie 即可。
- $cfg['Servers'][$i]['auth_type']
该选项设置为 cookie 即可
- $cfg['Servers'][$i]['password']
此处注意!千万不要填写 root 用户的密码!否则用户将能够无需输入密码直接登陆phpMyAdmin! |
置顶卡
喧嚣卡
变色卡
千斤顶
显身卡