对LUM有二个不解！

马其宾 · 发表于 2012-1-4 09:41:46

一、为什么后台的管理员用户要限制成：zijidelu？不能让用户自己更改？用统一的，这不是会造成一定的安全隐患？
二、后台的端口号，为什么也不可以修改呢？统一的端口号和用户名，这为服务器攻击最起码敞开了“大门和锁眼”！剩下的就是如何“开锁（破解管理员密码）”了！当然，洞主会说我用了什么什么机制，可以防止或增加难度等，但对于弱密码或忘了修改默认密码等或遇到更高级的破解方法等，恐怕还是无效的。

对于非常强调“安全”的系统，我觉得这二点限制是不应该的。

建议：用户安装成功后，第一次登录系统，就强制让用户修改端口后、管理员用户名和密码等。就像防盗一样，如果连你家的“大门”都找不到，更别说“入室”了！

dingyeyu · 发表于 2012-1-4 10:01:05

呵呵...自己管理服务器，若只这点问题都解决不了，那不完了

牛角 · 发表于 2012-1-4 10:05:20

洞主是一根筋。任何系统都是有漏洞的，如果这个系统有未公布的致命漏洞，所有用这个系统的都完了，因为只要在网站后面加上端口号就能确定用的是LUM，就能打开面板，用户名也确定了，而洞主始终在强调别的，那么自信，再自信的人做的系统也不可能没有漏洞

马其宾 · 发表于 2012-1-4 10:56:47

本帖最后由马其宾于 2012-1-4 11:02 编辑

dingyeyu 发表于 2012-1-4 10:01
呵呵...自己管理服务器，若只这点问题都解决不了，那不完了

我知道，端口可能通过编辑各个配置文件修改，用户名也可以通过PMA等工具来修改。甚至说，不用LUM，用户照样能使用和管理服务器。问题是什么都还要用户自己手动操作，那这不是和LUM的“初衷”所违背？为什么不直接解决问题？我想，凡是用LUM的人，都是为了不想再“折腾”吧！用LUM是为了不想再“折腾”服务器，按你的意思，用了LUM，不用再“折腾”服务器，换作（因为LUM的不足）开始“折腾”LUM了（因为还要涉及到升级等问题，盲目的修改，可能会带来更大的麻烦）？

爱洞特漏 · 发表于 2012-1-4 11:19:42

zijidelu.org的官方，就是用zijidelu的用户名，有兴趣的可以玩玩
或许，换成admin，就没有这么多人喊了

马其宾 · 发表于 2012-1-4 11:40:48

爱洞特漏发表于 2012-1-4 11:19
zijidelu.org的官方，就是用zijidelu的用户名，有兴趣的可以玩玩
或许，换成admin，就没有这么多人喊了

...

嘿嘿！真遗憾，美国FBI及白宫的网站服务器为什么不用LUM，要不然就不会被别人黑了！我觉得只不过是：有兴趣的没能力，有能力的没兴趣罢了！（个人猜测：用LUM的可能都是些没有服务器维护团队的小站或个人站点，同样，其网站的影响力和价值，也不会引起“真正高手”们的兴趣，自然受（高手）攻击的可能性就少很多）

问题不是什么admin不admin，现在说的是默认的用户名！大家可以看下，从BBS、CMS、SNS、微薄等众多开源的不开源的系统，在安装时似乎都是让用户自己输入管理员用户名的，包括wordpress，原来也是固定的ADMIN，现在不也换成让用户自己输入了？当然了，也有可能众多的PHP程序员都没有那么自信吧，因为他们不懂服务器安全！

呵呵，无意挑起什么口水战，只是建议，仅供参考！正如上面的朋友所有，这些问题自己解决就行了。不过，倒真的希望老大像“自信”的那样，LUM能永远的固若金汤！这未尝也不是好事！

不知道LUM的商业版怎么样？坐等中....

爱洞特漏 · 发表于 2012-1-4 12:09:26

可以把zijidelu关掉，然后换成另一个用户用户列表下面有说明的
说多了没用
我想任何人，都无法同时猜到用户密码，用户问题，问题的答案

马其宾 · 发表于 2012-1-4 12:34:18

爱洞特漏发表于 2012-1-4 12:09
可以把zijidelu关掉，然后换成另一个用户用户列表下面有说明的
说多了没用
我想任何人，都无法同时猜到用 ...

嘿嘿，那是！同时猜中的几率微乎其微！

同时分享下手动修改端口号及默认用户名的方法（抛砖引玉，仅供折腾）：

端口号在 /usr/local/apache_LuManager/conf/httpd.conf 里，搜索8888 然后替换成自己的，同时防火墙要开放其端口！

用户名更容易：在后台打开PMA，找到LUM的数据库，有个USER表，直接修改下就行（不要动密码）。不过，推荐用上面老大的方法。

在VM里随便试了下，貌似好使！^_^

喜欢折腾的可以研究下！

还有，用户的问题，是不是可以加个“自定义”？这样更增加猜的难度了！因为上面的问题，如果知道自己隐私或自己的隐私被泄漏的话，还是有几率被猜中的，如：配偶的姓名？等。如果（问题和答案）全部是自定义，还能猜中，那估计就成神了...

albertgao · 发表于 2012-1-4 18:47:57

这种问题洞哥貌似说了很多次了。。有问题和密码还不强大吗

lend · 发表于 2012-1-4 20:56:39

本帖最后由 lend 于 2012-1-4 20:57 编辑

自己的路只是官方写作软件设定的一个管理员账户。这个真的没必要折腾。您可以选择购买未来的商业版本多设置几个自己想要的管理员用户名都可以。这个真的不很必要纠结，密码和问题验证已经加固了密码安全，同时猜中或者扫描两个密码……。8888这个端口你可以把端口关闭。然后用lum的反向代理设置用网址访问都可以哦。你也可以做端口映射，你更可以a端口反向代理到b端口然后再代理出去

9420 · 发表于 2012-11-15 21:18:27

我一直用默认。感觉很OK啊。。。加多个问题提问就行啦。

kenliy · 发表于 2012-11-15 22:44:47

{:soso_e100:}
楼主可能不太明白入侵的方法，入侵一般是从程序下手的，而不是从管理系统下手的，
还有如果程序无法下手一般是从旁边的站下手的就是同台服务器，如果同台服务器不行的话一般是从Ｃ段下手的，　用ＡＲＰ　ＭＡＣ地址泛洪攻击，　ＤＨＰ攻击　等等攻击方式　弄到目标服务器密码　搞ＬＵＭ的话　只能用社会工程学，没其它方法，洞主为什么这么自信，就是因为ＬＵＭ不是开源的程序，而且加密算法也不是公开的，是他自己的算法，哪天ＬＵＭ被破解了　爆漏洞了，
只有两种可能，一种是开发团队有内鬼　一种是算法被人破解了，　不过这两种可能很难实现／

风南飞 · 发表于 2012-11-18 17:59:35

其实这个大家都可以改，不过该了意义不大。
不过说实话网站域名不太好记，4拼org，如果不是这个用户名我机会找不到论坛。

也行以后做大了，有钱了买个好域名就好记了。

		自动登录	找回密码
密码			立即注册