論壇的安全配置指引

論壇的安全配置

由於本人掌握的技術和愛好原因，這個部分會講得特別詳細。

首先說說asp論壇的資料庫問題，在資料庫裡存放了整個論壇的所有資料，包括使用者的敏感資訊，這是非常危險的，這時我們就面臨乙個防資料**的問題，其實真正做到防**有兩個辦法：

請看下面的目錄結構

e > user > sangel> |database web > bbs

|sangel

|log

user目錄是存放所有客戶的目錄，sangel目錄是sangel這個客戶的ftp目錄，也就是說sangel通過軟體ftp上伺服器所看到的根目錄，web目存放所有站點檔案的目錄，也就是輸入網域名稱可以直接訪問的目錄。bbs是放論壇的目錄，database用於放各種程式的資料庫，錄然也包含了論壇資料庫，先將資料庫上偉至database目錄，把論壇的所有檔案上傳至bbs目錄，然後修改資料庫配置檔案conn.asp（或其它）裡面的路徑，改為「../../ database/bbsdatabasenodown.mdb.」就可以呼叫資料庫了，由於database目錄是不能夠被直接訪問的，所以管理員得事先做好這樣的目錄結構才能行得通，這時又有了第二種辦法，把資料庫改名為*.asp.在conn.asp裡改相關地方，這樣也可以防**，其實每套論壇程式都有安全方面的說明，大家可以自行參閱。

然後就是配置論壇的問題，除開bbsxp論壇，其他論壇的配置工作是相對繁瑣的，特別新版動網和vbb還有cdb，就像設定乙個作業系統一樣，要提高效率則要好好配置，要讓整個論壇更安全，更要好好配置。

html標籤是一定要無條件禁止的，不管論壇用於什麼目的，否則有些不懷好意的人，放個標籤，只要設法讓服務上的瀏覽器訪問，就可以在伺服器建立乙個使用者，並且有辦法提公升許可權，到時整個伺服器的使用者都會受危脅，不是危言聳聽，是千真萬確的事實。

flash標籤也是要禁止的，因為flash作為向量動畫的佼佼者，因此不少病毒都在利用flash傳播，如果在flash裡做個「get url」就可以在你不知情的情況下開啟乙個新頁面，引你進入帶有惡意**、病毒或是木馬的頁面，你痛苦不？我做了個swf，裡邊有這個功能，但進入的是我的論壇，大家有興趣可以看

然後是上傳檔案的設定，有些論壇設有完整的語句過濾**，使得入侵者只要構造一句特殊的指令便能上傳系統不允許上傳的檔案型別，誰也不能確保這種情況不會出現在自己所使用的論壇程式上，只要能上傳asp或php程式，伺服器就有可能被攻占，所以要禁止上傳，如果確實要上傳附件功能，那麼請限制上傳檔案大小和檔案型別，大小限制在20k以內，檔案只允許gif.jpg.png.doc.wps.zip.rar就可以了。

在語句的過濾和使用者的過濾設定裡，把一些系統命令的名稱都過濾掉，比如system.file.dir.cmd.format等，大家還記不記得以前bbs3000存在乙個這樣的漏？註冊乙個dir使用者，系統會生成乙個dir.cgi的檔案，當用internet瀏覽器訪問該檔案時，竟出現了該主機的目錄列表，現在的論壇沒有了這漏洞，但液屯不能肯定什麼時候又冒出什麼新問題。

對於使用者的許可權也是要非常重視的，因為有些總壇主看到稍有實力的人或上比較能灌的人就給他加許可權，甚至給熟人、朋友、情人加許可權，這是規模小的論壇通病，是非常不可取的，通過我小規模的調查，只有15％的安全意識進高的，給那85％的人加許可權，這些人又不妥善保管自己的密碼，給論壇的安全又帶來一點威脅，所以加別人許可權時一定要看看這個人的安全意識怎麼樣，而且還要嚴格控制許可權，使他不能做職責以外的事。

可能的話裝些外掛程式以增加安全性，比如隨機認證碼外掛程式，讓使用者每次登陸都要輸入隨機認證碼，這樣可以防止不懷好意的人用「溯雪」一類的工具破解使用者密碼。

這樣的論壇才可以說是比較安全的，關於論壇的安全配置就談到這，說不定你比我做得更好

論壇的安全配置指引

論壇的安全配置由於本人掌握的技術和愛好原因，這個部分會講得特別詳細。首先說說asp論壇的資料庫問題，在資料庫裡存放了整個論壇的所有資料，包括使用者的敏感資訊，這是非常危險的，這時我們就面臨乙個防資料的問題，其實真正做到防有兩個辦法請看下面的目錄結構 e user sangel databas...

論壇的安全配置指引

論壇的安全配置指引

論壇的安全配置指引

論壇的安全配置指引

相關推薦