如何安装一个安全的动网(转)
1.论坛的安全设置:关闭flash标签,设置论坛脚本过滤扩展
攻击者可以利用flash标签发表特殊的帖子,让所有浏览到其发帖或者跟贴的论坛用户都会自动转向其指定的包含有恶意代码的页面。具体在各个版面的高级设置中。
若您的论坛开启了html解析,在后台基本设置中的“论坛脚本过滤扩展设置”中过滤iframe|object|script|标签,若不过滤,则攻击者照样可以使用html的这些标签实现页面自动转移。
2.IIS中的设置:
对不需要asp有执行许可的目录,如data目录,images目录,uploadfile,uploadface等里面没有asp文件的目录,根本不需要对其设置asp的运行权。而默认是整站都有asp的运行权的,所以需要在IIS中将以上目录的“执行许可”设置为“无”(在IIS管理器中右键点相关目录,选择属性,在属性界面中设置)。
执行禁止这些目录的尤其是uploadfile和uploadface这些上传相关的目录的asp执行许可,能够使得即使有人利用了动网的上传漏洞在这些目录里面传上了木马文件,但这些asp木马文件却无法运行。
3.NTFS中的设置:
NTFS权限设置应该是一个安全设置的基本前提。设置方法,右键点某个目录或文件,然后选“安全”,即可看到相应的用户组的权限。
关键点有:
(1)删除默认的Everyone对web目录所有的权限。
(2)一般情况下,Administrator和system对web目录应拥有完全的权限。
(3)对bbs的放置目录设置IUSR_ServerName(此帐号是web访问者使用的系统默认帐号,系统表示为Internet访问用户)的详细权限:只有四个目录需要有"修改"的权限,分别是skins,data,uploadfile和UploadFace,其他的目录和论坛根目录设置“只读”的权限即可。这样设置的目的在于,即使被人上传了asp木马,若没有取得管理员权限,他也无法对论坛的asp文件进行修改,从而使得即使被攻击,也可以将损失面降低到最少(比如你的插件和自己写的代码不会被删除)。设置时,可以先将bbs的目录的IUSR_servername权限设置为"只读",然后在针对需要有写权限的四个目录增加"修改"权限即可。
另外就是尽量不要安装插件,除非你确认此插件很安全。目前SQL Injection攻击很流行,很多程序都存在这种漏洞,如果影响范围大的话可能会影响整个论坛的安全。如果插件程序使用了上传功能,请将其上传使用的的目录的执行权限也设置为无。
4.随时注意动网官方的更新,及时打上最新的安全补丁。
以上安全设置,是在论坛所在服务器整体安全的情形前提下所针对动网进行的细化设置。若整体服务器都不安全,能被人轻易取得管理员权限,则倾巢之下,焉有完卵。