discuz建站的安全策略

SetYun · 发表于 2018-10-23 15:25:45

安全问题

最近调研了一下discuz的安全策略，并有如下几点要求：

1、防止php上传漏洞
2、防止大量刷新攻击
限制某个IP大量刷新某一页面导致论坛宕机
3、防止恶意注册、发帖
限制用户IP大量注册、大量发帖
关键字过滤

针对策略

调研了相关的资料，针对以上提到的三条问题给出解决方案如下：

第二条
1）限制某个IP大量刷新某一页面导致论坛宕机
方案：
在 forum.php(论坛入口) 和 home.php（个人中心入口）分别加载“频率控制程序”。
频率控制程序记录ip的访问频率，将单位时间内达到阈值的ip加入黑名单。
对来源ip在黑名单的请求，退出并返回警告。

第三条
1）“限制用户IP大量注册”
个人觉得当前没有太大问题：
现在注册流程用的公司统一的帐号中心，注册要绑定手机号验证。这个注册条件基本可以杜绝一个人注册大量用户。
2）“大量发帖”
可以通过论坛自带的“防灌水”设置发帖间隔；
3）关键词过滤
论坛自带“敏感词”过滤功能。
也可以再一些过滤发帖和回复的插件

综上所述，对第一条需要nginx做相应配置，对第三条需要修改论坛的设置，难点在第二条“频率控制程序”的设计和实现上。
“频率控制程序”初步打算使用redis的string类型结构，key为ip,value为频率，具体算法仁者见仁智者见智了。

补充方案供参考：

第一条，配置一下允许上传文件的格式以及大小，同时设置一下文件的权限（读写），更严格一点可以配合图片插件进行校验检查；
第二条，可以通过nginx限制某个ip同一时段的访问次数；

第一条没有问题，都是必要的措施；

第二条nginx直接就能限制某个ip同一时段的访问次数。

nginx可以通过HttpLimitReqModul和HttpLimitZoneModule配置来限制ip在同一时间段的访问次数来防cc攻击。

HttpLimitReqModul用来限制连单位时间内连接数的模块，使用limit_req_zone和limit_req指令配合使用来达到限制。一旦并发连接超过指定数量，就会返回503错误。

HttpLimitConnModul用来限制单个ip的并发连接数，使用limit_zone和limit_conn指令

这两个模块的区别前一个是对一段时间内的连接数限制，后者是对同一时刻的连接数限制

http{
...
#定义一个名为allips的limit_req_zone用来存储session，大小是10M内存，
#以$binary_remote_addr 为key,限制平均每秒的请求为20个，
#1M能存储16000个状态，rete的值必须为整数，
#如果限制两秒钟一个请求，可以设置成30r/m
limit_req_zone $binary_remote_addr zone=allips:10m rate=20r/s;
...
server{
...
location {
...
#限制每ip每秒不超过20个请求，漏桶数burst为5
#brust的意思就是，如果第1秒、2,3,4秒请求为19个，
#第5秒的请求为25个是被允许的。
#但是如果你第1秒就25个请求，第2秒超过20的请求返回503错误。
#nodelay，如果不设置该选项，严格使用平均速率限制请求数，
#第1秒25个请求时，5个请求放到第2秒执行，
#设置nodelay，25个请求将在第1秒执行。
limit_req zone=allips burst=5 nodelay;
...
}
...
}
...
}

复制代码

HttpLimitZoneModule 限制并发连接数实例

limit_zone只能定义在http作用域，limit_conn可以定义在http server location作用域

http{
...
#定义一个名为one的limit_zone,大小10M内存来存储session，
#以$binary_remote_addr 为key
#nginx 1.18以后用limit_conn_zone替换了limit_conn
#且只能放在http作用域
limit_conn_zone one $binary_remote_addr 10m;
...
server{
...
location {
...
limit_conn one 20; #连接数限制
#带宽限制,对单个连接限数，如果一个ip两个连接，就是500x2k
limit_rate 500k;
...
}
...
}
...
}

复制代码

		自动登录	找回密码
密码			立即注册