曼波中国
曼波社区
曼波知识库
曼波搜索

查看完整版本: [原创]我的mambo安全防护策略(适合中小企事业单位)

小偷公司 2005-3-8 20:39

[原创]我的mambo安全防护策略(适合中小企事业单位)

1、把数据库权限设成只读。我做过测试,即使数据库的权限设置为“选择”,MAMBO也可以照常运行,不过要把PHP的报错给关了,要不会有一大堆错误提示。对于无会员的网站,这个方法非常有效。
2、开放session,users两个表的读写权限(选择、插入、删除、更改四个权限)。这时,用户可申请会员、会员登陆。
3、开放akobook表权限。因为我装了留言板插件,这个表权限不放开,用户无法留言。

使用上述方法后,你的网站就很难被人黑掉了,因为遭攻击的最坏结果是用户表被清空、留言被删掉,网站的内容是不会被更改的,除非有人能突破操作系统的安全屏障,这很难。

4、当你做了上述设置后,作为超级用户的你,同样改不了网站内容,怎么办?设置另一个后台数据库管理的用户名,这个用户对网站数据库有完全访问权限,改administrator目录下的index.php、index2.php、index3.php三个脚本,加入这个高权限用户名和密码。这样你的后台对网站数据有全部操作权限。

5、如果黑客从后台攻击进入呢?你可以在上述三个脚本内加个IP限制(网上有检测用户IP的源码,比如仅允许内网用户进入后台,这样黑客只能从单位内部攻击你的网站。显然,对于中小型单位,很容易追查到谁搞了破坏。
我是把后台部分放到家里主机上运行,数据库和网站在单位主机上,这样我家里的后台管理通过操作远程数据库来维护网站。同样方法也适合单位内部使用。这时,黑客所要面对的,是MYSQL的安全体系,熟悉MYSQL管理的人应该知道,用户名、数据库都可以设置IP访问限制。

6、除了4所说的三个文件外,网站根目录下的index.php和index2.php两个文件里也有打开数据库的指令,同样关系到网站安全。如果网管不太称职或者比较懒的时候,你就要改这两个脚本中打开数据库的程序行,把用户名和密码直接嵌在源码里,用户名和密码放在configuration.php里很可能被别人include.

7、ZEND优化。提高脚本运行速度的同时,你藏在源码里的密码也被加密了。

8、重点防范同事、同主机用户和站内会员三类人。经常做数据备份。!!!!!!!!!数据库备份文件千万不要放在网站根目录,如果非放不可,那就用个类似密码的文件名。

lang3 2005-3-8 21:27

赞!

小偷公司真细心,非常有安全意识,讲解得这么细致,非常值得借鉴!

img 2005-3-8 21:50

[quote]原帖由 [i]lang3[/i] 发表
赞!

小偷公司真细心,非常有安全意识,讲解得这么细致,非常值得借鉴![/quote]

建议收集到"技术文档"!

deepbluefly 2005-3-8 21:55

小偷公司自然是贼王了   嘿嘿

poweb 2005-3-8 22:25

[其他]

不错,学到两招,又可以吃一年了,呵呵

buginote 2005-3-9 19:49

[其他]好啊

谢谢小偷公司的指点

sununs 2005-3-15 17:00

那要是购买的虚拟空间呢,没有远程登陆,怎么办?谢谢

qmark 2005-5-18 17:38

楼上说的是啊。虚拟主机没有那么多权限。

wbbwb 2005-5-22 06:48

感谢,已收藏

underx 2005-5-23 17:05

自己搞主机还能用上

snowstorm 2005-5-26 15:39

[建议]还远远不够

apache必须使用ModSecurity,并且以chroot方式运行,才能够基本保证php程序的安全,注意只是php程序,不是操作系统,操作系统可以被突破的地方实在太多了!个人感觉Selinux要好一点,正在试验中..

hihoo 2005-6-10 20:39

刚刚注册,这是我在这里看到的第一篇好文章

freediscuz 2005-6-15 02:10

不错的说

RT

lang3 2005-6-15 14:03

Re: [建议]还远远不够

[quote]原帖由 [i]snowstorm[/i] 发表
apache必须使用ModSecurity,并且以chroot方式运行,才能够基本保证php程序的安全,注意只是php程序,不是操作系统,操作系统可以被突破的地方实在太多了!个人感觉Selinux要好一点,正在试验中..[/quote]

FreeBSD 的安全性怎样?

yzhkp 2005-6-21 11:35

fb的稳定性好。但是应用程序(apache)的安全还是靠管理员

小偷公司 2005-7-5 21:19

Re: [建议]还远远不够

[quote]原帖由 [i]snowstorm[/i] 发表
apache必须使用ModSecurity,并且以chroot方式运行,才能够基本保证php程序的安全,注意只是php程序,不是操作系统,操作系统可以被突破的地方实在太多了!个人感觉Selinux要好一点,正在试验中..[/quote]

我们学校服务器是LINUX的,php.ini里有safe_mode开关,不知跟你说的是一样的东西。

vastwelkin 2005-8-14 16:05

我只有空间管理权,充其量只能把configuration.php改成644,感觉不太放心那

yuwen210 2005-11-9 12:05

非常不错,收了!

wanghgui 2005-11-11 15:59

好文章,这样文章建议多写。

autumnsky 2005-11-26 11:40

谢谢

:lol:

northspring 2005-12-20 14:53

虚拟主机基本上没有权限对数据库做全面的操作吧?

unspace 2005-12-21 18:29

我是新手,我顶顶

安全方面这么做,确实很到位了
不知道,安装时设置的777权限的目录还用不用改回一些

我看过文章说,那些写入权限,很多地方不需要的

lvjunjia 2007-3-5 09:27

不愧是小偷公司!!顶!!学到不少东东1

cn0335 2007-8-5 23:31

目前为止能力有限,看不大懂:L

sangern 2007-10-9 14:52

学习
页: [1]
查看完整版本: [原创]我的mambo安全防护策略(适合中小企事业单位)