经常有朋友遇到Discuz目录权限设置出错的问题,网上千奇百怪的教程非常多,所谓的终极安全的教程更是满天飞,各种所谓的安全加强软件也随处可见,可实际过程中发现,老手用不上,新手则只会因为这些东西徒增麻烦与不便。昨天顺道又给一朋友处理了一起目录权限的问题,当时看到他服务器上显示的目录权限,顿时就傻眼了,哎,网上所谓的高手害死人啊。
DiscuzX的目录权限其实非常简单,主要是两部分,一部分是需要写入权限的目录,包括缓存目录、附件目录、中间文件目录、头像目录,他们分布在三个地方,分别是/data/、/uc_client/data/cache/、/uc_server/data/cache/,这里说的这些目录,都包括他们的所有下级子目录。这部分需要写入权限的文件夹,我们需要设置administrators的完全控制权限,users的读取权限,以及internet guest的读取+写入权限,internet guest的具体帐号是在IIS里面设置的,点开站点的“目录安全性”选项卡里面可以找到。很多人将users权限去掉,这样是非常不建议的,一旦配置不当,就会造成权限不足的问题。同时,我们在IIS里面,需要将以上给了写入权限的目录去掉脚本权限,有些人可能找不到,下面两张截图很清晰的显示了,一张是iis6,一张是iis7。在Linux下,则设置上述几个目录为666的权限就可以了,其实是没有必要777的。
另一部分则是剩下的不需要写入权限的目录,Windows下设置Administrators、Users、Internet Guest帐号具有读取的权限就可以了,IIS里面不要去拿掉脚本执行权限。而Linux里面,设置成555就可以了。
通过以上设置,在不考虑服务器其他设置的情况下,大部分通过写入webshell文件来挂马的情况,基本上就可以杜绝了,当然,并非百分之百,安全是个相对的活,只能说这么设置之后可以更安全,没法做到一定安全。