万众海浪论坛  
温馨提示今天是:

当网络繁忙时请选择:https://bbs.838778.com(线路一)https://bbs.939138.com(线路二)进入本站论坛。


 
标题: DedeCMS织梦系统的服务器环境安全设置(回贴内包括PHP脚本限制设置方法)
万众海浪
管理员
Rank: 12Rank: 12Rank: 12



UID 915
精华 1
积分 48109
帖子 1098
威望 48109 点
金钱 50275 RMB
阅读权限 200
注册 2005-6-20
状态 离线
 
发表于 2020-8-14 01:21  资料  个人空间  短消息  加为好友 
DedeCMS织梦系统的服务器环境安全设置(回贴内包括PHP脚本限制设置方法)

1、目录权限
    我们不建议用户把栏目目录设置在根目录,原因是这样进行安全设置会十分的麻烦,在默认的情况下,安装完成后,目录设置如下:
(1) data、templets、uploads、a或5.3的html目录,设置可读写,不可执行的权限;
(2) 不需要专题的,建议删除special 目录,需要可以在生成HTML后,删除special/index.php 然后把这目录设置为可读写,不可执行的权限;
(3) include、member、plus、后台管理目录设置为可执行脚本,可读,但不可写入(安装了附加模块的,book、ask、company、group 目录同样如此设置)。

2、其它需注意问题
(1) 虽然对install 目录已经进行了严格处理,但为了安全起见,我们依然建议把它删除;
(2) 不要对网站直接使用MySQL root用户的权限,给每个网站设置独立的MySQL用户帐号,许可权限为:
SELECT, INSERT , UPDATE , DELETE
CREATE , DROP , INDEX , ALTER , CREATE TEMPORARY TABLES
由于DEDE并没有任何地方使用存储过程,因此务必禁用FILE、EXECUTE 等执行存储过程或文件操作的权限。

3、如何设置目录的权限?
对于会用Linux 的用户,相信大多数都已经懂得这些东西,IIS用户,请看下图:
3.1设置目录为只读权限

J2开奖直播复制下权限


设置目录为只读权限



3.2设置目录不允许执行脚本

此外还需要注意问题是,不管IIS还是Apache都不要把.php和.inc文件加入mime中,这样系统会禁止下载这些文件。



4Apache站点安全设置
如果是Windows2003下,可以对Apache进行如下操作:
    4.1在计算机管理里的本地用户和组里面创建一个帐户,例如:DedeApache,密码设置为DedeApachePWD,加入guests组(如果出现问题,可以赋予user权限);

    4. 2 打开开始->管理工具->本地安全策略,在“用户权限分配”中选择“作为服务登陆”,添加DedeApache用户;

    4.3.计算机管理里面选择服务,找到apache2.2,先停止服务,右击->属性,选择登陆,把单选框从本地系统帐户切换到此帐户,然后查找选择DedeApache,输入密码DedeApachePWD,然后点确定(这个时候apache还不能正常启动,一般情况肯定会报错:Apache2.2 服务因1 (0x1) 服务性错误而停止。);



    4.4.赋予apache安装目录(比如:D:/apache2.2)以及web目录(比如D:/wwwroot)DedeApache帐号的可读写权限,去除各磁盘根目录除administror与system以外的所有权限,赋予DedeApache安装目录所在的磁盘根目录apache帐户的可读取列目录权限




我们在站点配置中可以添加如下内容:
01 <Directory "D:\dedecms\www\uploads">        
02 <FilesMatch ".php">            
03 Order Allow,Deny            
04 Deny from all        
05 </FilesMatch>   
06 </Directory>     
07 <Directory "D:\dedecms\www\data">        
08 <FilesMatch ".php">            
09  Order Allow,Deny            
10  Deny from all        
11 </FilesMatch>   
12 </Directory>     
13 <Directory "D:\dedecms\www\templets">        
14 <FilesMatch ".php">            
15 Order Allow,Deny            
16 Deny from all        
17 </FilesMatch>   
18 </Directory>     
19 <Directory "D:\dedecms\www\a">        
20 <FilesMatch ".php">            
21 Order Allow,Deny            
22 Deny from all        
23 </FilesMatch>   
24 </Directory>


这里对应就取消了对应目录的脚本执行权限。

5.data目录路径更改
另外在DedeCMS V5.7中用户也可以设定data目录到上一级非web访问目录,基本操作如下:
5.1.将data目录移动到上一级目录中,这里直接剪切过去就可以了;
5.2.配置include/common.inc.php中DEDEDATA文件

define('DEDEDATA', DEDEROOT.'/data');
可以改成类如:
define('DEDEDATA', DEDEROOT.'/../../data');

5. 3.后台设置模板缓存路径






顶部
万众海浪
管理员
Rank: 12Rank: 12Rank: 12



UID 915
精华 1
积分 48109
帖子 1098
威望 48109 点
金钱 50275 RMB
阅读权限 200
注册 2005-6-20
状态 离线
 
发表于 2020-8-14 01:50  资料  个人空间  短消息  加为好友 
如何做好dede(织梦)安全设置(史上最全)

很多顾客反馈,dede是好用,优化也好,就是不安全,站长认为,任何程序都没有完美的,病毒木马就像人体病毒一样,也是不断的更新和变异。如果做好这些安全设置的话,就不要怕网站被黑了!(网站中木马了怎么办?如何彻底清除?)

基本配置
其一:保持DEDE更新,及时打补丁。
其二:装好DEDE后及时把install文件夹删除,这个是必须的。一些垃圾文件用不掉。special  专题  member 会员。m 手机站  等都可以直接删除。
其三:管理目录dede改名,改成其他的,不要修改过于简单,例如admin    guanli 这样的东东。小白猜猜就能找到。最好是改成MD5形式的,最好长点
其四:plus下的guestbook文件夹还有guestbook.php都删除掉。最好,只留下这么几个文件,其他全部删除,参考下图;


下面我们对这几个文件做下解释,

Img 文件夹,这个是主要是CSS样式在里面,所以保留,如果删除了,会造成发布文章时界面有点乱,所以要保留

ad_js.php  这个文件时广告位,因为有些模板用到了后台调用广告位,如果你不确定,建议保留

Diy.php  这个是留言系统,有些模板上有用户在线留言功能,用到的就是这个,如果你不确定,建议保留

Search.php 这个是搜索功能,也就是网站上的搜索,如果你不确定,建议保留

List.php 这动态栏目,上下载的都是生成静态栏目了,但是有些用户喜欢动态栏目,即使你使用的是静态栏目,这个保留也没影响,所以建议保留

View.php 这个是动态文章,道理和list.php一样,建议保留。

count.php 这个是文章浏览次数,建议保留。

如果实在看不懂,就按照截图保留,其他的都删除,删除前建议备份一份。



其五:默认网站后台dede 的文件管理(管理目录下file_manage_xxx.php),不用的可以做掉,这个不是很安全,至少进了后台上传小马很方便
其六:下载发布功能(管理目录下soft__xxx_xxx.php),不用的话可以做掉,这个也比较容易上传小马的
其七:网站如果是服务器的化,可以安装个安全狗,是比较不错的选择。能够阻挡中下小黑。
其八:网站安全不光是程序单一的问题,如果正规作战,建议用个好点的空间,省去很多不必要的麻烦。
其九:data 转移出目录:做法如下:
data目录是系统缓存和配置文件的目录,一般都有可以读写的权限,只要是能够写入的目录都可能存在安全隐患,很多站长甚至给予这个目录可执行的权限,更是非常危险,所以我们建议将这个data目录搬移出Web可访问目录之外。本篇将介绍如何将data目录搬移出Web访问目录。

1.将data目录转移到非Web目录
我们这里举例“D:dedecms 57”为我们系统的根目录,我们需要将目录下的data文件夹(如图1)迁移要上一级目录(非Web目录),简单的办法直接剪切或者拷贝即可。




我们移动上一级目录中,注意观察文件路径。


2.修改DEDEDATA目录的配置常量
找到系统目录下/include/common.inc.php文件,修改DEDEDATA常量为你的系统目录。大约16行左右



3.配置tplcache缓存文件目录
进入系统后台,在配置中修改tplcache目录为你想对目录。


好了,这样我们就将data目录顺利迁移出去了。

     最安全地方式:本地发布html,然后上传到空间。不包含任何动态内容,理论上最安全。
备注:如果一些虚拟主机,不支持data转移,如何操作呢?我们可以把data  名称重新命名即可,具体图文如下:

1 J2开奖直播找到data,目录,ftp 选择重新命名,如:data修改为:如图片(名称自己定)



2.修改DEDEDATA目录的配置常量找到系统目录下/include/common.inc.php文件,修改DEDEDATA常量为你的系统目录。大约16行左右,修改为如下:
把原来的data换成自己修改掉名称,本次修改为:如图片(名称自己定),只有修改这处后,网站后台才能正常的打开。


3.配置tplcache缓存文件目录进入系统后台,在配置中修改tplcache目录为你想对目录
在系统---基本参数设置---性能设置处,打开默认:
模板缓存:/data/tplcache 修改为:你修改的名称即可
本次为:[url=]/如图片(名称自己定/tplcache[/url]



如果网站动态浏览出现  /install/index.php  错误提示,打开根目录index.php  找到顶部:

if(!file_exists(dirname(__FILE__).'/data/common.inc.php'))
{
    header('Location:install/index.php');
    exit();
}

删除即可

顶部
万众海浪
管理员
Rank: 12Rank: 12Rank: 12



UID 915
精华 1
积分 48109
帖子 1098
威望 48109 点
金钱 50275 RMB
阅读权限 200
注册 2005-6-20
状态 离线
 
发表于 2020-8-14 02:20  资料  个人空间  短消息  加为好友 
织梦教程dedecms安全设置之文件夹目录权限

还有更多的织梦教程dedecms安全设置之文件夹目录权限
http://blog.websem.cc/1410.html

顶部
万众海浪
管理员
Rank: 12Rank: 12Rank: 12



UID 915
精华 1
积分 48109
帖子 1098
威望 48109 点
金钱 50275 RMB
阅读权限 200
注册 2005-6-20
状态 离线
 
发表于 2020-8-14 02:21  资料  个人空间  短消息  加为好友 
织梦教程dedecms安全设置之文件夹目录权限

最近很多使用dedecms的站长都被被挂马,或种下后门,因为用的人多,研究的人也多防不胜防,所有dedecms安全设置就非常必要了,这篇文章是脚本之家根据网上多方资料整理而来,方便需要的朋友

其实dedecms官方网站也给出了一些安全设置的参考,其实下面的文章都是根据这个而来,建议大家先看完这篇文章,再继续往下看:

J2开奖直播:服务器安全设置之 IIS用户设置方法,其实各个网站独立用户才比较安全

网站安全中,对目录的执行权限是非常敏感的,一般来说,可以写入的目录是不能够拥有脚本的执行权限的,像DedeCMS系统,可写入的有两个目录data、uploads,data目录主要是基本配置文件和缓存数据,uploads则是附件上传保存的目录,本篇将针对不同服务器环境来介绍如何取消这两个目录的执行权限,当然我们也建议用户其他一些生成纯静态html的目录,拥有可写入权限的也统统去除执行权限,这样系统会更为安全。


Windows下的IIS IIS6.0

打开IIS中站点,在站点uploads目录、data目录以及静态html生成目录点击右键,菜单中选择“属性”,在目录属性面板选择执行权限为“无”即可。(如图1)



IIS7

IIS7也类似于IIS6.0,选择站点对应的目录,data、uploads及静态html文件目录,双击功能试图面板中的“处理程序映射”(如图2)



在“编辑功能权限……”中,我们直接去除脚本的执行权限即可。(如图3)


其实上面只是介绍了如果取消执行权限,根据官方的推荐还需要设置目录写权限的设置方法,这里脚本之家简单的介绍下
例如a目录,一般是生成静态页面用的,那么我们就需要服务器端设置(dederun是iis中运行网站匿名用户)


Apache下目录脚本的执行权限设置 独立主机配置

在Apache中,没有Windows 下IIS的图形管理界面,我们需要手工修改下apache的配置文件,来进行目录脚本的执行权限的设定。

J2开奖直播我们找到apache的配置文件httpd.conf,通常情况下,该配置文件在apache安装目录下的conf文件夹中(如图4)。



(图4)


打开httpd.conf文件,找到内容中如图5的位置:


(图5)



将需要限制执行脚本文件的目录配置添加到下方:


配置内容为:

代码如下:



<Directory "DIR">

<FilesMatch ".(php|asp|jsp)$">

Deny from all

</FilesMatch>

</Directory>




配置内容中的DIR为需要限制执行脚本文件的目录,FilesMatch后的内容为需要限定的执行的脚本后缀名。例如:这里需要禁止测试站点uploads文件夹下的PHP,ASP,JSP脚本的运行,则进行如下图6配置:


(图6)



在配置完成后,重启一下apache,配置便生效!
在操作前,uploads文件夹下我新建了一个index.php文件,图7为未作配置前访问情


(图7)


图8为重启apache后访问该页面的效果。


(图8)


虚拟主机/空间配置



在配置前需要确认你的空间是否支持.htaccess和rewrite,该方法基于.htaccess文件中使用rewrite来达到禁止指定脚本的运行效果。
规则内容如下:




复制代码
代码如下:



RewriteEngine on RewriteCond % !^$

RewriteRule uploads/(.*).(php)$ – [F]

RewriteRule data/(.*).(php)$ – [F]

RewriteRule templets/(.*).(php)$ – [F]




针对uploads,data,templets 三个目录做了执行php脚本限制;


将如上内容存储至到.hatccess文件中,将该文件存放到你的站点根目录下,



这样,目录脚本的执行权限就控制好了,规则上传前后的效果同图7,图8。



nginx环境规则内容如下:nginx执行php脚本限制


LNMP有一个缺点就是目录权限设置上不如Apache,有时候网站程序存在上传漏洞或类似pathinfo的漏洞从而导致被上传了php木马,而给网站和服务器带来比较大危险。建议将网站目录的PHP权限去掉,当访问上传目录下的php文件时就会返回403错误。



J2开奖直播要编辑nginx的虚拟主机配置,在fastcgi的location语句的前面按下面的内容添加:


代码如下:



location ~ /(data|uploads|templets)/.*\.(php|php5)?$ {

deny all;

}



好了就这些吧,做了这些应该不会有什么问题基本够用!建议用dedecms的朋友花点时间去设置一下.



这里也推荐一篇视频教程,说的与设置都比较详细

DedeCMS目录安全设置教程For IIS 在线播放

dedecms 安全设置终极技巧补充(idc)

https://www.jb51.net/cms/44986.html

如果上述设置不是很清楚的,可以到万众海浪权威主论坛寻求帮助,里面很多文章与软件都是精心整理的。


顶部
 

 

本站永久域名①:www.838668.com (点击加入您的收藏夹)

当前时区 GMT+8, 现在时间是 2024-11-27 14:44

     Powered by Discuz! 5.5.0  © 2001-2007, Skin by Cool
Clear Cookies - Contactus - 万众海浪论坛 - Archiver - wap