现在很多企业、医院大多还用着织梦DeDecms、thinkphp、dz等开源程序。但同时因为使用广泛,关注固然也多,程序的漏洞也层出不穷,网络上的所谓的“黑客”喜欢拿着神器,到处批量扫描入侵,很多公司没有专业的运维人员,建站时网站直接everyone、iisuer完全控制权限,或者网站运行身份直接管理员,这直接就是给不法分子开通绿色通道啊,加上网站不错,权重稍微高点的流量站,更是被做黑产的盯着,看了很多文章所说的,要及时升级补丁,要改后台,改代码,要删除不必要的功能模块,对于我们大部分小白用户来说,有点难度,如果一旦失误改错,造成程序无法正常运行等,今天就来跟大家以常见开源明星产品之一DeDeCMS织梦来聊一聊不改动代码任何配置如何做好基础安全,降低后顾之忧,免受菠菜信息以及网监所扰。
首先呢,我们来看一看我们如何安全的建立站点流程(IIS为例)
准备工作:
1. 系统安全加固(可以自行查找或者参考如下)
2. 把程序放到您想要放得地方,比如D:\wwwroot\dedecms
3. 创建网站需要的运行匿名账户并加入guests组:dedecms_hws(自己命名喜欢就好)
开始配置:
1. 设置程序目录dedecms权限
Administrators和system:完全控制
IIS_IUSRS和dedecms_hws:读取权限
高级设置Dedecms_hws:遍历文件夹/执行文件(应用于:此文件和子文件夹)
2. 程序目录需要读写删权限的增加dedecms_hws的写删权限
/data/:增加写删
/uploads/:增加写删(上传)
文章目录:增加写删(生成静态)
首页文件:index.html增加写删 (生成首页更新)
3. 打开IIS创建站点,并设置身份验证为指定用户dedecms_hws
4. 去掉上面设置过写入权限目录的脚本执行权限
去掉/data/、/uploads/、文章目录的脚本执行权限
5. 后台目录增加IP限制
不好的是只能每次访问后台,需要上服务器手动授权IP。
至此,安全网站配置完成,常规的上传目录和数据目录拥有写入权限但无执行权限,上传木马后也无法执行,可以解决大部分网站权限混乱,权限过大等问题,但无有效的sql注入防护和更方便的后台验证等方法。
基础安全等级提升:(由于本文只是介绍基础的安全配置,其他软件的使用方式,请根据自行选择去官网了解)
服务器系统安全加固+入侵防御(SQL注入等)+网站安全高级策略+后台验证(便捷授权)
由于我是用到护卫神入侵防护系统+网站安全系统两款软件配置均由工程师配置完成,以上配置中的手动到iis添加IP就不用那么麻烦了,用户可自行选择护卫神等网站防护功能,建立多重防护,系统安全加固和入侵防御再加上对网站策略进行更细致的权限分离配置,精准分离访客和管理员的运行身份,让普通访问者只有读取权限,漏洞即使存在也无权做任何入侵操作,远离快照劫持,黑链,首页标题被篡改乱码等问题,同时可以为网站后台增加IP授权验证或者密码锁等防护措施,在黑客明知晓后台路径和密码,但未授权IP的情况下也无法正常登陆后台进行操作。
达到效果:系统目录危险权限、危险服务处理→常规入侵有sql注入防护、网站防护等拦截→如果绕过上传无法执行→后台信息泄露有IP验证或者密码锁,多重方式加持,应该能满足中小企业的官网服务器安全了,
最后,安全问题无事小,希望大家都能经常关注自己的网站,提前做好安全防护,防患于未然,出现问题及时处理,将损失降到最低,同时提升个人安全意识,重要敏感信息不轻易外泄,不在网站目录下随意存储敏感信息文件等,数据是各位站长和管理员最宝贵的财富。
来源:freebuf.com 2020-07-02 09:42:48 by: beanszhang
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册