discuz論壇幾種安全策略(一)
安全問題
最近公司準備搭建乙個discuz論壇,大頭讓我調研一下discuz的安全策略,並提出如下幾點要求:
1、防止php上傳漏洞
2、防止大量重新整理攻擊
限制某個ip大量重新整理某一頁面導致論壇宕機
3、防止惡意註冊、發帖
限制使用者ip大量註冊、大量發帖
關鍵字過濾
針對策略
對第一條
1)防止上傳php**執行
配置nginx入口上對data|images|config|static|source|template 這幾個可以上傳的目錄裡的php檔案禁止訪問 。
(更安全一點就是列出放行的,其他全部禁止。)
*在nginx要禁止某個或一類資源,只需要增加乙個location,然後在其中使用deny all即可。
禁止訪問擴充套件名為bat的檔案,配置如下:
location ~* /.batlocation ^~ /configs/對第二條
1)限制某個ip大量重新整理某一頁面導致論壇宕機
方案:
在 forum.php(論壇入口) 和 home.php(個人中心入口)分別載入「頻率控制程式」。
頻率控制程式記錄ip的訪問頻率,將單位時間內達到閾值的ip加入黑名單。
對**ip在黑名單的請求,退出並返回警告。
綜上所述,對第一條需要nginx做相應配置,對第三條需要修改論壇的設定,難點在第二條「頻率控制程式」的設計和實現上。
「頻率控制程式」初步打算使用redis的string型別結構,key為ip,value為頻率,具體演算法仁者見仁智者見智了。
參照的**:
MySQL安全策略
資料是企業核心資產,資料對企業而言是最重要的工作之一。稍有不慎,極有可能發生資料無意洩露,甚至被黑客惡意竊取的風險。每年業界都會傳出幾起大事件,某知名或不知名的公司被脫褲 拖庫的諧音,意思是整個資料庫被黑客盜取 之類的。從資料安全上也可以分為外網安全及內部操作安全,下面分別討論一下。內部操作安全策略...
SSH安全策略
ssh安全策略 ss配置基本安全策略 調整sshd服務配置,並過載服務 root vim etc ssh sshd config protocol 2 去掉ssh協議v1 permitrootlogin no 禁止root使用者登入 permitemptypasswords no 禁止密碼為空的使用...
無線安全策略
安全認證是一整套安全策略認證機制,它分為兩個部分,通常安全策略是由鏈路認證是和接入認證配合使用的。需要明確的是,鏈路認證和接入認證是兩個不同的概念,有以下圖 從表中可以看出,安全策略可以分為wep wpa wpa2和wapi幾種,這幾種安全策略對應的鏈路認證其實只有open和shared key a...