Debian LNMP环境如何安全配置

在Debian系统上配置LNMP（Linux, Nginx, MySQL/MariaDB, PHP）环境时，安全性是一个重要的考虑因素。以下是一些关键的安全设置步骤和建议：

系统更新与升级

• 保持系统最新：定期更新系统以修补可能存在的安全漏洞。

  sudo apt update
  sudo apt upgrade
  

防火墙配置

• 使用 iptables 或 ufw 限制对特定端口的访问。

  sudo apt install iptables
  sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT # 允许HTTP连接
  sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT # 允许HTTPS连接
  sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT # 允许SSH连接
  sudo service iptables save
  sudo systemctl enable iptables
  sudo systemctl start iptables
  

  或

  sudo apt install ufw
  sudo ufw enable
  sudo ufw allow OpenSSH
  sudo ufw allow port 80/tcp
  sudo ufw allow port 443/tcp
  

SSH服务安全配置

• 使用SSH密钥对认证。
• 禁用root远程登录。
• 限制空密码登录。

  sudo nano /etc/ssh/sshd_config
  PermitRootLogin no
  PermitEmptyPasswords no
  

MySQL安全配置

• 运行 mysql_secure_installation 命令进行必要的安全配置。
• 修改MySQL绑定地址以限制远程访问。

  sudo nano /etc/mysql/mysql.conf.d/mysqld.cnf
  bind-address = 127.0.0.1
  

Nginx安全配置

• 确保Nginx配置文件中的 fastcgi_pass 指向正确的PHP-FPM套接字或端口。
• 配置Nginx使用SSL/TLS加密。

  ssl_certificate /path/to/your/certificate.crt;
  ssl_certificate_key /path/to/your/private.key;
  

用户与权限管理

• 创建普通用户并限制权限。
• 配置PAM模块强化密码策略。

  sudo apt install libpam-pwquality
  sudo nano /etc/pam.d/commonpassword
  

其他安全建议

• 使用SELinux或AppArmor进一步限制进程权限。
• 定期检查系统日志和应用程序日志。
• 禁用不必要的网络服务。
• 设置强密码并强制用户使用复杂密码。
• 定期备份重要数据和配置文件。

通过上述措施，可以显著提高Debian LNMP环境的安全性，保护系统免受网络攻击和数据泄露的威胁。