DEDECMS安全设置指南
目录权限设置
1、不建议将栏目目录设置在根目录:这样会使得安全设置变得复杂,默认情况下,安装完成后的目录设置如下:
目录名称 | 权限设置 |
data、templets、uploads、a或5.3的html | 可读写,不可执行 |
special | 若不需要专题,建议删除;需要则在生成HTML后删除special/index.php,并设置为可读写,不可执行 |
include、member、plus、后台管理目录 | 可执行脚本,可读,但不可写入 |
2、其他需注意的问题:
安装目录的处理:虽然对install目录已经进行了严格处理,但为了安全起见,建议将其删除。
MySQL用户权限:不要直接使用MySQL root用户的权限,应为每个网站设置独立的MySQL用户帐号,权限包括SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, INDEX, ALTER, CREATE TEMPORARY TABLES,由于DedeCMS没有任何地方使用存储过程,务必禁用FILE、EXECUTE等执行存储过程或文件操作的权限。
如何设置目录的权限?
对于Linux用户,相信大多数都已经懂得这些操作,IIS用户可以参考以下步骤:
1、设置目录为只读:
复制权限
设置为只读
2、设置目录不允许执行:
设置不允许执行脚本
还需要注意不管是IIS还是Apache都不要把.php和.inc文件加入mime中,这样系统会禁止下载这些文件。
服务器安全设置
如果是在Windows 2003下,可以对Apache进行如下操作:
1、创建帐户:
在计算机管理的本地用户和组里面创建一个帐户,DedeApache,密码设置为DedeApachePWD,加入guests组(如果出现问题,可以赋予user权限)。
2、配置服务登录:
打开开始>管理工具>本地安全策略,在“用户权限分配”中选择“作为服务登录”,添加DedeApache用户。
3、配置Apache服务:
计算机管理里面选择服务,找到apache2.2,先停止服务,右击>属性,选择登录,把单选框从本地系统账户切换到此帐户,然后查找选择DedeApache,输入密码DedeApachePWD,然后点确定。
4、赋予权限:
赋予apache安装目录(D:/apache2.2)以及web目录(比如D:/wwwroot)DedeApache帐号的可读写权限,去除各磁盘根目录除administror与system以外的所有权限,赋予DedeApache安装目录所在的磁盘根目录apache帐户的可读取列目录权限。
相关问答FAQs
Q1: 为什么建议不把栏目目录设置在根目录?
A1: 因为将栏目目录设置在根目录会使安全设置变得非常麻烦,通过将敏感目录放在非根目录下,可以更好地控制访问权限和执行权限,从而提高网站的安全性。
Q2: 为什么要为每个网站设置独立的MySQL用户账号?
A2: 为每个网站设置独立的MySQL用户账号可以有效防止跨站攻击,独立的用户账号意味着即使一个网站的数据库被攻破,也不会影响到其他网站的数据库安全,限制用户权限到最低必要程度,也可以减少因权限过大而导致的安全风险。