DiscuzX的目录权限设置

爱晴皇岛

　　DiscuzX的目录权限设置1

　　经常有朋友遇到Discuz目录权限设置出错的问题，网上千奇百怪的教程非常多，所谓的终极安全的教程更是满天飞，各种所谓的安全加强软件也随处可见，可实际过程中发现，老手用不上，新手则只会因为这些东西徒增麻烦与不便。昨天顺道又给一朋友处理了一起目录权限的问题，当时看到他服务器上显示的目录权限，顿时就傻眼了，哎，网上所谓的高手害死人啊。

　　DiscuzX的目录权限其实非常简单，主要是两部分，一部分是需要写入权限的目录，包括缓存目录、附件目录、中间文件目录、头像目录，他们分布在三个地方，分别是/data/、/uc_client/data/cache/、/uc_server/data/cache/，这里说的这些目录，都包括他们的所有下级子目录。这部分需要写入权限的文件夹，我们需要设置administrators的完全控制权限，users的读取权限，以及internet guest的读取+写入权限，internet guest的具体帐号是在IIS里面设置的，点开站点的“目录安全性”选项卡里面可以找到。很多人将users权限去掉，这样是非常不建议的，一旦配置不当，就会造成权限不足的问题。同时，我们在IIS里面，需要将以上给了写入权限的目录去掉脚本权限，有些人可能找不到，下面两张截图很清晰的显示了，一张是iis6，一张是iis7。在Linux下，则设置上述几个目录为666的权限就可以了，其实是没有必要777的。

　　另一部分则是剩下的不需要写入权限的目录，Windows下设置Administrators、Users、Internet Guest帐号具有读取的权限就可以了，IIS里面不要去拿掉脚本执行权限。而Linux里面，设置成555就可以了。

　　通过以上设置，在不考虑服务器其他设置的情况下，大部分通过写入webshell文件来挂马的情况，基本上就可以杜绝了，当然，并非百分之百，安全是个相对的活，只能说这么设置之后可以更安全，没法做到一定安全。