[code]# ee /usr/local/Zend/etc/php.ini[/code]

ctrl+y查找：disable_functions
找到后在=后面添加
[code]exec,system,passthru,error_log,ini_alter,dl,openlog,syslog,readlink,symlink,link,leak,fsockopen,proc_open,popepassthru,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,popen[/code]

上面内容请放到一行。因为保持帖子的整体效果作了换行
这里都是禁止在php里面执行的函数

查找：display_errors
如果是On的话改成Off

查找：magic_quotes_gpc
如果是Off的话改成On

查找：register_globals
如果是On的话改成Off

查找：open_basedir
后面增加
/www/:/tmp/
这里是限制php可以访问的目录，后面一定要加上/，否则如果有/wwwabcd这个目录也会被访问得到
多个目录用英文:分隔。如果不添加/tmp/的话Discuz!的上传功能就无法使用
注意：以上内容在php.ini的开头会有相关设置的提示，请按ctrl+x查找下一个，不要直接在上面修改

OK，保存退出
（ee的搜索是向后，如果发现某个词语搜索不到可以使用快捷键ctrl+t回到文档起始）

打开/etc/my.cnf。如果没有的话可以到/usr/local/share/mysql下面cp一个
[code]#cp /usr/local/share/mysql/my-medium.cnf /etc/my.cnf[/code]

编辑my.cnf
[code]#ee /etc/my.cnf[/code]

找到
[code][mysqld]
在myisam_sort_buffer_size = 8M[/code]
后面添加

[code]set-variable=local-infile=0
set-variable=max_connections=9000        #这个功能是设置最大的同时连接数，与安全无关，优化而已[/code]

//// 可选设置
把mysql的root改名

# mysql -uroot -p
按提示输入密码

[code]mysql>use mysql;
mysql>update user set user="newroot" where user="root";
mysql>flush privileges;
mysql>exit[/code]

这样就把mysql的root改成newroot了

[code]#ee /usr/local/etc/apache2/httpd.conf[/code]
去掉不需要的mod。其他的不说了，关键几个如下：

[code]#LoadModule cgi_module libexec/apache2/mod_cgi.so
#LoadModule userdir_module libexec/apache2/mod_userdir.so[/code]

在前面添加#禁止加载

把从
[code]ScriptAlias /cgi-bin/ "/usr/local/www/cgi-bin/"[/code]
到
[code]<Directory "/usr/local/www/cgi-bin">
    AllowOverride None
    Options None
    Order allow,deny
    Allow from all
</Directory>[/code]
全部在前面加上#注释掉

在文件的最后对应的VirtualHost中增加

[code]RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
php_admin_value open_basedir "/www/discuz/:/var/tmp/"[/code]

前面三行是对Trace和Track请求的处理，最后一句是对php打开的目录作限制

首先建立一个密码文件

[code]# touch /www/.discuzpass[/code]

建立用户dzadmin

[code]# htpasswd /www/.discuzpass dzadmin[/code]

按照提示输入两遍密码

完成用户创建后，在discuz!的目录里面建立一个.htaccess文件，里面的内容如下：

[code]<Files admincp.php>
AuthUserFile /www/.discuzpass        #密码文件存放位置
AuthName "Login pls"
AuthType Basic
require user dzadmin        #需要验证用户为dzadmin
</Files>
<Files config.php>
AuthUserFile /www/.discuzpass
AuthName "Login pls"
AuthType Basic
require user dzadmin
</Files>[/code]

设置后从Web访问admincp.php和config.php必须要输入正确的账号和密码

进入attachments、customavatars目录，建立.htaccess，里面的内容为：
php_flag engine off

设置后在附件和用户自定义头像目录就无法执行php文件了。就算discuz!有上传文件的漏洞，被传了webshell，在打开的时候也只是提示下载文件，而不是直接运行。

在其他的敏感目录，比如admin、forumdata、templates等目录，我们可以完全禁止用户的访问。同理，建立一个.htaccess，内容如下：

[code]Options -Indexes
Options +FollowSymLinks
Options -ExecCGI

order deny,allow
deny from all[/code]

最后，对templates目录里面的模板全部chmod 644，只有所有者能写，其他用户为只读

通过以上的设置，你的Discuz!已经相对安全了，偷笑一下吧。
经过我的测试，基本市面上的webshell都无效，包括最新的phpspy 2006，也只能在授权目录下面访问。
以上设置针对FreeBSD环境、Apache服务器。其他*nix和Win环境可以参考修改。