OJS安全配置-程序结构介绍及权限设置
近期网络安全形势严峻,各种病毒植入、挖矿程序、灰产推广木马始终侵扰着和影响着我们的网络资产。OJS(Open Journal Systems期刊管理系统)因是开源程序,且部分出版社用户使用的是OJS较早的老版本,因此颇受影响。
本篇文章丁老师将会对OJS系统的程序结构进行介绍,以及对系统目录的权限设置进行配置说明。
OJS程序结构介绍及权限配置配置说明:
.idea:IDEA IDE工具的项目配置目录,可以放心删除。
.github:OJS开发时的用到github生成的目录,没用,可以放心删除。
api:OJS程序运行的核心目录,不可删除,www用户权限设置为555。
caches:OJS程序的缓存目录,该文件夹不可删除,但里边的内容可以删除。www用户权限设置为755(需要写入缓存文件)。
classes:OJS程序运行的核心目录,不可删除,www用户权限设置为555。
controllers:OJS程序运行的核心目录,不可删除,www用户权限设置为555。
dbscripts:是OJS用来升级数据库结构的脚本仓库,仅当第一次安装和升级系统时需要。安装后或不升级系统时,可以删除。如果不想删除,可以将ww用户权限设置为555。
docs:是OJS的官方文档,如安装说明、升级指南等。可以删除。
jobs:是OJS用来执行后台任务队列的核心程序,不可删除,www用户权限设置为555。
js:OJS前后端页面的javascript脚本,不可删除,www用户权限设置为555。
lib:OJS的核心运行库,不可删除,www用户权限设置为555。
locale:OJS的多语言文件库,不可删除,www用户权限设置为555。
pages:OJS的路由页面程序库,不可删除,www用户权限设置为555。
plugins:OJS的插件目录,不可删除,www用户权限设置为755(安装和更新插件时,需要写入插件包)。
registry:OJS运行时运行时配置缓存的目录,不可删除,www用户权限设置为750(需要禁止web访问)。
schemas:数据表的定义目录,不能删除,www用户权限设置为555。
styles:样式表目录,不能删除,www用户权限设置为555。
templates:页面模板目录,不能删除,www用户权限设置为555。
tools:OJS系统用于执行命令行的工具目录,不能删除,不需要可写,www用户权限设置为700。此目录多为后门病毒攻击目录,强烈建议禁止web访问。
.php-cs-fixeer.php:是代码格式化工具的配置文件,可以删除。
.user.ini:是PHP目录的配置文件,不建议删除。
config.inc.php:OJS的核心配置文件,不能删除。www用户权限设置为555。
config.TEMPLATE.inc.php:OJS的配置文件的模板,可以删除。
cypress.config.js:是前端自动化测试文件,和OJS无关,可以删除。
cypress.travis.env.json:同上。
favicon.ico:网站图标文件,可以但不建议删除。
index.php:OJS系统的入口文件,不能删除,,www用户权限设置为555。
README.md:OJS的程序说明纯文本文件,可以删除。SECURITY.md:同上。
robots.txt:网站针对SEO蜘蛛爬虫的配置文件,可以删除。
schemaspy.properties:是数据库结构分析的配置文件,与OJS无关,可以删除。
ojs相关文章
经常有使用OJS(Open Journal Systems期刊投稿管理系统)的同学咨询,在使用的过程中,如果是把系统的语言切换为中文,就会出现中文不完整,乱码的情况,这是怎么回事呢?今天丁老师来讲一下。故障情况该故障的表现情况为,当OJ...
今天有做期刊的朋友问,OJS系统期刊支持线上投稿付费吗?就是说他只有在OJS系统中,线上付了款,才可以投稿,可以实现这种功能吗?作为OJS系统专业的开发人员,丁老师可以告诉你,这个功能OJS是支持的哦,不仅支持投稿付费,还支持多种支付方...
很多使用OJS系统的期刊出版社团队反应,在删除用户时,点击了remove后,无法从数据库删除彻底用户。怎么解决这个问题,怎么样才能彻底删除,让用户可以正常注册呢?经过丁老师研究,其实方法很简单...
最近有一家秘鲁的出版社客户,在OJS软件的使用中,遇到了故障,插件页(plugin)一直在加载,页面一直在转圈,始终打不开,咨询了丁老师。故障图:初步分析:丁老师经过分析后,初步认为这是由第三方插件引起的故障,导致页面程序无法正常执行,...
