Discuz论坛服务器安全加固

Discuz 论坛架构：

   nginx+php+mysql

1、权限最小化

a） Webserver及数据库服务均以非root权限启动；

b） 文件属主与webserver进程属主不同（一般设置文件的属主为root）

c） 确保discuz网站的目录和文件权限最小化。

目录权限除必须为777的目录外，其他目录权限须设置为755

文件权限除必须为777的文件外，其他文件权限须设置为644

d） 数据库与webserver不在同一台机器上

e） 可写的目录没有执行脚本权限，可执行脚本权限的目录不可写。

常见可写目录为：./config、./data、./uc_client/data/、./uc_server/data/

常见不可解析php的目录为：./data/、diy、template、attachment、./install/images、

./uc_server/data、forumdata、images

   nginx配置

       location ~* ^/(data|images|config|static|source)/.*\.(php|php5)$ {

               deny all;

       }  

f） 控制脚本仅允许访问网站文件

在php.ini中配置open_basedir项为网站目录

2、敏感信息不显示

a) 关闭webserver的目录浏览功能

   nginx默认是未开启列目录功能的

b) 关闭php的错误消息显示

3、开启日志记录功能

   a)nginx访问日志

   b)php-error日志

4、实施ip策略

   a) 数据库仅开放在内网

   b) 不允许任意ip连接数据库

   c) Iptables禁止所有的非法连接

   d) 管理目录仅允许内网访问