LNMP在Debian安全策略

以下是Debian系统上LNMP环境的安全策略：

1. 系统基础安全

   • 定期更新系统及软件包：sudo apt update && sudo apt upgrade。
   • 使用强密码策略：安装libpam-pwquality并配置复杂密码规则。
   • 禁用不必要的服务：通过systemctl disable关闭非必要服务。

2. 网络与访问控制

   • 配置防火墙（如ufw）：仅允许HTTP（80）、HTTPS（443）、SSH（22）等必要端口。
   • 强化SSH安全：修改默认端口、禁用root登录、启用密钥认证。

3. 组件安全加固

   • Nginx：
     • 禁用不必要的模块，限制访问敏感目录。
     • 启用SSL/TLS加密，配置HTTP/2。
   • MySQL/MariaDB：
     • 运行mysql_secure_installation脚本，移除匿名用户、限制远程root登录。
     • 设置bind-address=127.0.0.1，仅允许本地访问。
   • PHP：
     • 禁用危险函数，限制文件访问权限。
     • 调整pm.max_children等参数，防止资源滥用。

4. 监控与日志

   • 启用详细日志记录：Nginx、MySQL、PHP日志需定期审查。
   • 部署监控工具：如Fail2ban防止暴力破解，Prometheus+Grafana监控系统状态。

5. 安全工具与审计

   • 安装安全工具：如fail2ban防止暴力破解，auditd进行系统审计。
   • 定期备份：重要数据和配置文件需定期备份。

参考来源：