discuz建站的安全策略

SetYun 发表于 2018-10-23 15:25:45 | 显示全部楼层 |阅读模式
安全问题
最近调研了一下discuz的安全策略,并有如下几点要求:
1、防止php上传漏洞
2、防止大量刷新攻击
限制某个IP大量刷新某一页面导致论坛宕机
3、防止恶意注册、发帖
限制用户IP大量注册、大量发帖
关键字过滤
针对策略
调研了相关的资料,针对以上提到的三条问题给出解决方案如下:
第一条
1)防止上传php代码执行
配置nginx入口上对data|images|config|static|source|template 这几个可以上传的目录里的php文件禁止访问 。
(更安全一点就是列出放行的,其他全部禁止。)
第二条
1)限制某个IP大量刷新某一页面导致论坛宕机
方案:
在 forum.php(论坛入口) 和 home.php(个人中心入口)分别加载“频率控制程序”。
频率控制程序记录ip的访问频率,将单位时间内达到阈值的ip加入黑名单。
对来源ip在黑名单的请求,退出并返回警告。
第三条
1)“限制用户IP大量注册”
个人觉得当前没有太大问题:
现在注册流程用的公司统一的帐号中心,注册要绑定手机号验证。这个注册条件基本可以杜绝一个人注册大量用户。
2)“大量发帖”
可以通过论坛自带的“防灌水”设置发帖间隔;
3)关键词过滤
论坛自带“敏感词”过滤功能。
也可以再一些过滤发帖和回复的插件
综上所述,对第一条需要nginx做相应配置,对第三条需要修改论坛的设置,难点在第二条“频率控制程序”的设计和实现上。
“频率控制程序”初步打算使用redis的string类型结构,key为ip,value为频率,具体算法仁者见仁智者见智了。

补充方案供参考:
第一条,配置一下允许上传文件的格式以及大小,同时设置一下文件的权限(读写),更严格一点可以配合图片插件进行校验检查;
第二条,可以通过nginx限制某个ip同一时段的访问次数;
第一条没有问题,都是必要的措施;
第二条nginx直接就能限制某个ip同一时段的访问次数。
nginx可以通过HttpLimitReqModul和HttpLimitZoneModule配置来限制ip在同一时间段的访问次数来防cc攻击。
HttpLimitReqModul用来限制连单位时间内连接数的模块,使用limit_req_zone和limit_req指令配合使用来达到限制。一旦并发连接超过指定数量,就会返回503错误。
HttpLimitConnModul用来限制单个ip的并发连接数,使用limit_zone和limit_conn指令
这两个模块的区别前一个是对一段时间内的连接数限制,后者是对同一时刻的连接数限制
  1. http{
  2.     ...
  3.     #定义一个名为allips的limit_req_zone用来存储session,大小是10M内存,
  4.     #以$binary_remote_addr 为key,限制平均每秒的请求为20个,
  5.     #1M能存储16000个状态,rete的值必须为整数,
  6.     #如果限制两秒钟一个请求,可以设置成30r/m
  7.     limit_req_zone $binary_remote_addr zone=allips:10m rate=20r/s;
  8.     ...
  9.     server{
  10.         ...
  11.         location {
  12.             ...
  13.             #限制每ip每秒不超过20个请求,漏桶数burst为5
  14.             #brust的意思就是,如果第1秒、2,3,4秒请求为19个,
  15.             #第5秒的请求为25个是被允许的。
  16.             #但是如果你第1秒就25个请求,第2秒超过20的请求返回503错误。
  17.             #nodelay,如果不设置该选项,严格使用平均速率限制请求数,
  18.             #第1秒25个请求时,5个请求放到第2秒执行,
  19.             #设置nodelay,25个请求将在第1秒执行。
  20.             limit_req zone=allips burst=5 nodelay;
  21.             ...
  22.         }
  23.         ...
  24.     }
  25.     ...
  26. }
复制代码
HttpLimitZoneModule 限制并发连接数实例
limit_zone只能定义在http作用域,limit_conn可以定义在http server location作用域
  1. http{
  2.     ...
  3.     #定义一个名为one的limit_zone,大小10M内存来存储session,
  4.     #以$binary_remote_addr 为key
  5.     #nginx 1.18以后用limit_conn_zone替换了limit_conn
  6.     #且只能放在http作用域
  7.     limit_conn_zone   one  $binary_remote_addr  10m;
  8.     ...
  9.     server{
  10.         ...
  11.         location {
  12.             ...
  13.            limit_conn one 20;          #连接数限制
  14.            #带宽限制,对单个连接限数,如果一个ip两个连接,就是500x2k
  15.            limit_rate 500k;         
  16.             ...
  17.         }
  18.         ...
  19.     }
  20.     ...
  21. }
复制代码


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|SetYun ( 辽ICP备16005250号

GMT+8, 2024-3-29 15:46 , Processed in 0.042445 second(s), 4 queries , File On.

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表