Godaddy上dokuwiki安全策略
在GoDaddy上架了个dokuwiki做简单的pkm。在管理员登录后,dokuwiki总有一个安全提示,说dokuwiki的安全设定有问题。之前没去折腾它,一直忍着大红叉,直到今天无意打开了指导文章,按照上面的提示,访问了一下url: http://xiaoy.info/pkm/dokuwiki/data/pages/wiki/dokuwiki.txt,居然很顺利的就把wiki内容取出来了(别试了,现在已经不行了
),按图索骥就可得到所有wiki,就算设定了private也照样可以拉到。赶紧看解决方案,官方给出两个方法:
- 通过WebServer配置,禁用关键目录(data/conf)的访问
- 将关键目录从htdocs移走
杯具的是,这两个方法对godaddy免费windows主机都无效。它上面跑的是IIS,而IIS想禁用关键目录访问,必须有IIS控制权限,免费主机当然是没有的。
而第2个方法,godaddy为每个用户只提供了htdocs目录,无法把文件放置于其他地方。
难道就没有别的解决方案了么?分析一下现在的目标是:让用户无法直接访问到关键目录。官方两种方法为了达到这个目的,采用了webserver配置或者htdocs的方法,但达到这个目的只有这两个方法么?显然答案是no.在godaddy上,可以用很简单的基于IIS的方案:
修改web.config,用rule匹配的方式,禁用掉data目录和conf目录的访问:
<rule name="secure"> <match url="^pkm/dokuwiki/(data|conf|bin|inc)/?(.*)?$" /> <action type="CustomResponse" statusCode="403" statusReason="Forbidded" statusDescription="Forbidden" /> </rule>
当识别到关键目录的直接访问时,直接返回403错误,这样就很简单明了的解决了问题。
参考: http://learn.iis.net/page.aspx/557/translate-htaccess-content-to-iis-webconfig/