Ubuntu上PHP安全设置有哪些

以下是Ubuntu上PHP的安全设置要点：

1. 修改php.ini配置

   • 错误报告：display_errors = Off（生产环境关闭详细错误显示），log_errors = On，指定错误日志路径error_log=/var/log/php_errors.log。
   • 禁用危险函数：disable_functions=eval,exec,system,passthru,shell_exec,popen等。
   • 文件上传限制：upload_max_filesize=2M，post_max_size=8M，file_uploads=On。
   • 限制访问目录：open_basedir=/var/www:/tmp（限制PHP仅能访问指定目录）。
   • 会话安全：session.cookie_secure=On（仅HTTPS传输），session.cookie_httponly=On（禁止JS访问）。

2. 启用安全模块

   • mod_security：安装并启用Apache防火墙模块，防御常见Web攻击。
   • OPcache：启用缓存提升性能，减少代码暴露风险opcache.enable=1。

3. 系统权限与防火墙

   • 文件权限：敏感文件（如配置文件）权限设为600，目录设为755，归属www-data用户。
   • UFW防火墙：限制SSH访问（仅密钥认证），关闭不必要的端口。

4. 其他安全措施

   • HTTPS加密：通过Let’s Encrypt配置SSL/TLS，确保数据传输安全。
   • 定期更新：执行sudo apt update && sudo apt upgrade，修复PHP及系统漏洞。
   • 日志监控：启用访问日志和错误日志，定期分析异常请求。

具体配置需根据实际环境调整，修改后重启Apache/Nginx及PHP服务生效。