- 工信部備案號 滇ICP備05000110號-1
- 滇公安備案 滇53010302000111
- 增值電信業(yè)務(wù)經(jīng)營(yíng)許可證 B1.B2-20181647、滇B1.B2-20190004
- 云南互聯(lián)網(wǎng)協(xié)會(huì )理事單位
- 安全聯(lián)盟認證網(wǎng)站身份V標記
- 域名注冊服務(wù)機構許可:滇D3-20230001
- 代理域名注冊服務(wù)機構:新網(wǎng)數碼
DEDECMS安全設置 執行php腳本限制設置方法(iis6+iis7+apache+nginx)
最近很多使用dedecms的站長(cháng)都被被掛馬,或種下后門(mén),因為用的人多,研究的人也多防不勝防,所有dedecms安全設置就非常必要了,這篇文章是腳本之家根據網(wǎng)上多方資料整理而來(lái),方便需要的朋友
其實(shí)dedecms官方網(wǎng)站也給出了一些安全設置的參考,其實(shí)下面的文章都是根據這個(gè)而來(lái),建議大家先看完這篇文章(http://www.tjdsmy.cn/cms/37479.html),再繼續往下看:
首先:服務(wù)器安全設置之 IIS用戶(hù)設置方法,其實(shí)各個(gè)網(wǎng)站獨立用戶(hù)才比較安全
網(wǎng)站安全中,?目錄的執行權限是非常敏感的,一般來(lái)說(shuō),可以寫(xiě)入的目錄是不能夠擁有腳本的執行權限的,像DedeCMS系統,可寫(xiě)入的有兩個(gè)目錄data、uploads,data目錄主要是基本配置文件和緩存數據,uploads則是附件上傳保存的目錄,本篇將針對不同服務(wù)器環(huán)境來(lái)介紹如何取消這兩個(gè)目錄的執行權限,當然我們也建議用戶(hù)其他一些生成純靜態(tài)html的目錄,擁有可寫(xiě)入權限的也統統去除執行權限,這樣系統會(huì )更為安全。
Windows下的IIS IIS6.0
打開(kāi)IIS中站點(diǎn),在站點(diǎn)uploads目錄、data目錄以及靜態(tài)html生成目錄點(diǎn)擊右鍵,菜單中選?“屬性”,在目錄屬性面板選擇執行權限為“無(wú)”即可。(如圖1)
IIS7
IIS7也類(lèi)似于IIS6.0,選擇站點(diǎn)對應的目錄,data、uploads及靜態(tài)html文件目錄,雙擊功能試圖面板中的“處理程序映射”(如圖2)
在“編輯功能權限……”中,我們直接去除腳本的執行權限即可。(如圖3)
其實(shí)上面只是介紹了如果取消執行權限,根據官方的推薦還需要設置目錄寫(xiě)權限的設置方法,這里腳本之家簡(jiǎn)單的介紹下
例如a目錄,一般是生成靜態(tài)頁(yè)面用的,那么我們就需要服務(wù)器端設置(dederun是iis中運行網(wǎng)站匿名用戶(hù))如圖4
Apache下目錄腳本的執行權限設置 獨立主機配置
在A(yíng)pache中,沒(méi)有Windows 下IIS的圖形管理界面,我們需要手工修改下apache的配置文件,來(lái)進(jìn)行目錄腳本的執行權限的設定。
首先我們找到apache的配置文件httpd.conf,通常情況下,該配置文件在apache安裝目錄下的conf文件夾中(如圖5)。
打開(kāi)httpd.conf文件,找到內容中如圖6的位置:
將需要限制執行腳本?件的目錄配置添加到下方:
配置內容為:
代碼如下:
<Directory "DIR">
<FilesMatch ".(php|asp|jsp)$">
Deny from all
</FilesMatch>
</Directory>
配置內容中的DIR為需要限制執行腳本文件的目錄,FilesMatch后的內容為需要限定的執行的腳本后綴名。例如:這里需要禁止測試站點(diǎn)uploads文件夾下的PHP,ASP,JSP腳本的運行,則進(jìn)行如下圖7配置:
在配置完成后,重啟一下apache,配置便生效!
在操作前,uploads文件夾下我新建了一個(gè)index.php文件,圖8為未作配置前訪(fǎng)問(wèn)情況
圖9為重啟apache后訪(fǎng)問(wèn)該頁(yè)面的效果。
虛擬主機/空間配置
在配置前需要確認你的空間是否支持.htaccess和rewrite,該方法基于.htaccess文件中使用rewrite來(lái)達到禁止指定腳本的運行效果。
規則內容如下:
代碼如下:
RewriteEngine on RewriteCond % !^$
RewriteRule uploads/(.*).(php)$ – [F]
RewriteRule data/(.*).(php)$ – [F]
RewriteRule templets/(.*).(php)$ – [F]
針對uploads,data,templets 三個(gè)目錄做了執行php腳本限制;
將如上內容存儲至到.hatccess文件中,將該文件存放到你的站點(diǎn)根目錄下,
這樣,目錄腳本的執行權限就控制好了,規則上傳前后的效果同圖7,圖8。
nginx環(huán)境規則內容如下:nginx執行php腳本限制
LNMP有一個(gè)缺點(diǎn)就是目錄權限設置上不如Apache,有時(shí)候網(wǎng)站程序存在上傳漏洞或類(lèi)似pathinfo的漏洞從而導致被上傳了php木馬,而給網(wǎng)站和服務(wù)器帶來(lái)比較大危險。建議將網(wǎng)站目錄的PHP權限去掉,當訪(fǎng)問(wèn)上傳目錄下的php文件時(shí)就會(huì )返回403錯誤。
首先要編輯nginx的虛擬主機配置,在fastcgi的location語(yǔ)句的前面按下面的內容添加:
代碼如下:
location ~ /(data|uploads|templets)/.*.(php|php5)?$ {
deny all;
}
好了就這些吧,做了這些應該不會(huì )有什么問(wèn)題基本夠用!建議用dedecms的朋友花點(diǎn)時(shí)間去設置一下.
售前咨詢(xún)
售后咨詢(xún)
備案咨詢(xún)
二維碼
TOP