背景介绍

Discuz! 是北京康盛新创科技有限责任公司推出的一套通用社区论坛软件系统，自发布以来，凭借其丰富的功能、简易的操作和高度的可定制性，Discuz迅速成为全球最受欢迎的论坛系统之一，随着互联网安全威胁的不断升级，Discuz论坛面临着越来越多的安全挑战，历史上，Discuz被发现存在若干安全漏洞，这些漏洞极易导致服务器被入侵，从而对网站数据和用户隐私造成威胁，如何有效地管理和保护Discuz论坛的安全成为了广大企业管理员亟需解决的问题。

权限最小化

确保服务器安全首先要保证各项组件的安全，如Discuz服务器的一般组件有Apache、php、mysql等，以下是一些基本的安全加固措施：

- Web服务器及数据库服务应以非root权限启动。

- 确保文件属主与Web服务器进程属主不同（一般设置文件的属主为root）。

- 确保Discuz网站的目录和文件权限最小化，目录权限除必须为777的目录外，其他目录权限须设置为755；文件权限除必须为777的文件外，其他文件权限须设置为644。

- 数据库与Web服务器不在同一台机器上。

- 可写的目录没有执行脚本权限，可执行脚本权限的目录不可写。

默认选项需要加固

为了进一步确保服务器安全，还需要对一些默认选项进行加固：

- 删除默认webserver页面，如apache需要删除icons和manual两个目录。

- 禁用php危险函数，在php.ini配置中添加如下代码：disable_functions=exec,popen,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open。

- 关闭webserver的目录浏览功能，将Apache配置文件中的目录配置项的“Indexes”删除或者改为“-Indexes”。

- 关闭php的错误消息显示，在Php配置中添加display_errors = Off。

开启日志记录

日志记录对于检测和追踪异常行为至关重要：

- 开启webserver的日志记录功能，例如在Apache中添加如下配置：CustomLog /www/logs/access_log common。

- 开启php的错误日志记录功能，在php.ini中添加如下配置：log_errors = On；error_log = D:/usr/local/apache2/logs/php_error.log，注意：该文件必须允许apache用户的和组具有写的权限。

实施ip策略

通过实施IP策略可以有效防止未经授权的访问：

- 数据库仅开放在内网。

- 不允许任意IP连接数据库。

- 使用Iptables禁止所有的非法连接。

- 管理目录仅允许内网访问。

网站安全加固

除了服务器安全加固外，网站自身的安全设置也非常重要：

账户安全：用户密码需要加密存储，并且在网络上传输时采用密文的形式，后台管理界面需要使用双因子认证确保管理员的合法性，常见的因子如ip策略、token和用户密码等。

业务配置：针对Discuz业务特性，在安装的时候会删除不必要的插件，关闭论坛的个人空间以防止恶意钓鱼和欺诈，检查crossdomain.xml文件并限制到特定的域名或者将其删除，遵循Discuz常见安全配置，如设置唯一的创始人UID、调整论坛防御级别、启用URL XSS防御开关等。

日常管理

日常管理是确保Discuz论坛长期安全的关键：

- 所有的第三方软件均需要使用最新版本，确保安全，关注所用到的第三方软件的安全信息，及时更新补丁或升级，如dz论坛容易出现nginx的解析漏洞，在PHP的配置文件php.ini中添加cgi.fix_pathinfo = 0来防止此类问题，定期备份数据是非常重要的，一旦发生安全事件或数据损坏，可以迅速恢复数据，建议定期备份数据库和文件系统，并存储在安全的地方，使用安全插件或模块来增强Discuz论坛的安全性，例如安装防篡改模块、防止跨站脚本攻击（XSS）的插件等。

通过对Discuz论坛服务器和网站进行全面的安全加固以及日常管理，可以有效提升其安全性，降低被攻击的风险，作为管理员，应始终保持警惕，关注最新的安全动态和技术发展，采取适当的防护措施确保论坛系统的稳定运行和用户数据的隐私安全。