PHP在Linux上如何安全配置

PHP在Linux上的安全配置指南

一、PHP配置文件安全优化

1. 禁用信息泄露

• 关闭PHP版本暴露：在php.ini中设置expose_php = Off，防止HTTP头部泄露PHP版本信息（攻击者可利用版本针对性攻击）。
• 限制错误显示：生产环境中务必设置display_errors = Off，避免将详细错误信息（如数据库结构、路径）暴露给用户；同时开启log_errors = On，将错误记录到安全位置（如/var/log/php_errors.log），便于后续排查。

2. 禁用危险函数与模块

• 禁用危险函数：通过disable_functions参数禁用可能被滥用的函数，如eval（代码执行）、system（系统命令）、exec（执行外部程序）、shell_exec（shell命令）、passthru（直接输出原始结果）、curl_exec（远程请求）、popen（管道打开文件）等。例如：disable_functions = eval,system,exec,shell_exec,passthru,curl_exec。
• 精简PHP模块：通过php -m命令查看已加载模块，移除不必要的模块（如sqlite3、gd（若无需图片处理）），减少攻击面。

3. 限制文件上传

• 约束上传参数：设置upload_max_filesize（单个文件最大大小，如2M）、post_max_size（POST数据最大大小，需大于upload_max_filesize，如8M）、max_file_uploads（单次请求最多上传文件数，如5），防止大文件上传导致拒绝服务（DoS）攻击。
• 验证上传文件：在应用层检查文件类型（如通过mime_content_type函数）、扩展名（如仅允许.jpg、.png），并将上传目录设置为不可执行（如chmod 755 /var/www/html/uploads，且移除php执行权限）。

二、Web服务器配置加固

1. 正确处理PHP请求

• Apache：在站点配置文件（如/etc/apache2/sites-available/000-default.conf）中，通过<FilesMatch \.php$>块将PHP请求交给PHP-FPM处理，例如：SetHandler "proxy:unix:/var/run/php/php8.1-fpm.sock|fcgi://localhost"（需与PHP-FPM的listen参数一致）。
• Nginx：在站点配置文件（如/etc/nginx/sites-available/default）中，添加PHP处理块：location ~ \.php$ { include snippets/fastcgi-php.conf; fastcgi_pass unix:/var/run/php/php8.1-fpm.sock; }（同样需匹配PHP-FPM的listen）。

2. 禁用敏感目录解析

• 禁止访问隐藏文件：在Web服务器配置中添加规则，拒绝访问以.开头的隐藏文件（如.htaccess、.env），例如Nginx中：location ~ /\. { deny all; }；Apache中：<FilesMatch "^\."> Deny from all </FilesMatch>。
• 关闭上传目录PHP解析：确保上传目录（如/var/www/html/uploads）无法执行PHP脚本，例如Nginx中：location ~* ^/uploads/.*\.php$ { deny all; }。

三、系统与权限管理

1. 控制Web服务器用户权限

• 使用非root用户：确保Web服务器（如Apache/Nginx）以普通用户（如www-data、nginx）运行，避免以root身份运行（若意外执行恶意代码，可能导致系统沦陷）。可通过ps aux | grep apache或ps aux | grep nginx检查运行用户。
• 设置合理文件权限：PHP文件权限设为644（所有者可读写，组和其他用户只读），目录权限设为755（所有者可读写执行，组和其他用户可读执行）。例如：sudo chmod -R 644 /var/www/html/*.php、sudo chmod -R 755 /var/www/html；所有权设为Web用户，例如：sudo chown -R www-data:www-data /var/www/html。

2. 隔离脚本执行环境

• 配置open_basedir：在php.ini中设置open_basedir，限制PHP脚本只能访问指定目录（如/var/www/html），防止脚本遍历到系统敏感目录（如/etc、/root）。例如：open_basedir = /var/www/html:/tmp（多个目录用冒号分隔）。

四、会话与数据安全

1. 强化会话管理

• 设置HttpOnly与Secure标志：在php.ini中开启session.cookie_httponly = On（防止JavaScript通过document.cookie窃取会话ID）、session.cookie_secure = On（仅通过HTTPS传输会话cookie，避免中间人攻击）。
• 限制会话生命周期：设置session.gc_maxlifetime = 1440（会话有效期，单位秒，默认1440秒=24分钟），并在应用中调用session_regenerate_id(true)（如用户登录后），重新生成会话ID，防止会话固定攻击。

2. 加密数据传输

• 强制使用HTTPS：通过Web服务器配置（如Nginx的listen 443 ssl;、Apache的SSLEngine on）启用SSL/TLS，确保数据传输加密；同时在应用中检查$_SERVER['HTTPS']，强制跳转HTTPS（如if ($_SERVER['HTTPS'] !== 'on') { header('Location: https://' . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI']); exit; }）。

五、其他安全措施

1. 定期更新维护

• 更新PHP及依赖：定期通过包管理器更新PHP至最新稳定版（如Ubuntu中sudo apt update && sudo apt upgrade php*），修复已知安全漏洞。
• 审计代码与日志：定期检查PHP代码（如使用grep -r "eval(" /var/www/html查找危险函数），监控系统日志（如/var/log/syslog、/var/log/php_errors.log），及时发现异常行为（如大量404请求、可疑的文件上传）。

2. 使用安全模块

• 启用防火墙：通过ufw（Ubuntu）或firewalld（CentOS）限制访问，仅允许必要端口（如80、443）：例如sudo ufw allow 80/tcp、sudo ufw allow 443/tcp、sudo ufw enable。
• 部署WAF：考虑安装Web应用防火墙（如mod_security for Apache），过滤恶意请求（如SQL注入、XSS攻击）。例如CentOS中：sudo yum install mod_security、sudo systemctl enable mod_security、sudo systemctl start mod_security。