在CentOS系统下,对PHP-FPM进行安全加固是非常重要的,以下是一些常见的安全加固措施:
确保你的CentOS系统和PHP-FPM都是最新版本,以修复已知的安全漏洞。
sudo yum update -y
sudo yum install epel-release -y
sudo yum install php-fpm php-mysqlnd php-gd php-mbstring php-xml php-pear php-bcmath -y
编辑PHP-FPM的配置文件 /etc/php-fpm.d/www.conf 或 /etc/php-fpm.conf,进行以下配置:
确保PHP-FPM以非特权用户和组运行,通常使用 www-data 或 apache。
user = www-data
group = www-data
使用Unix socket而不是TCP/IP,以提高安全性。
listen = /run/php-fpm/www.sock
listen.owner = www-data
listen.group = www-data
listen.mode = 0660
限制PHP-FPM进程的数量和行为。
pm = dynamic
pm.max_children = 50
pm.start_servers = 5
pm.min_spare_servers = 5
pm.max_spare_servers = 35
启用一些安全选项,如 request_terminate_timeout 和 security.limit_extensions。
request_terminate_timeout = 30s
security.limit_extensions = .php .php3 .php4 .php5 .php6 .phtml
使用 firewalld 或 iptables 配置防火墙,限制对PHP-FPM端口的访问。
sudo firewall-cmd --permanent --zone=public --add-service=http
sudo firewall-cmd --permanent --zone=public --add-service=https
sudo firewall-cmd --reload
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 9000 -j ACCEPT
sudo iptables-save
编辑 /etc/php.d/ 目录下的配置文件,禁用不必要的PHP模块。
sudo nano /etc/php.d/10-opcache.ini
zend_extension=opcache.so
opcache.enable=1
opcache.memory_consumption=128
opcache.interned_strings_buffer=8
opcache.max_accelerated_files=4000
opcache.revalidate_freq=60
确保你的网站使用HTTPS,可以通过配置SSL证书来实现。
sudo yum install certbot python2-certbot-apache -y
sudo certbot --apache -d yourdomain.com -d www.yourdomain.com
定期备份你的PHP-FPM配置文件和网站文件,以防止数据丢失。
sudo tar -czvf /backup/php-fpm-config.tar.gz /etc/php-fpm.d/www.conf
sudo tar -czvf /backup/website-files.tar.gz /var/www/html
启用详细的日志记录,并设置监控系统来检测异常行为。
error_log = /var/log/php-fpm/error.log
access.log = /var/log/php-fpm/access.log
使用工具如 fail2ban 来防止暴力破解攻击。
sudo yum install fail2ban -y
sudo systemctl enable fail2ban
sudo systemctl start fail2ban
通过以上步骤,你可以显著提高CentOS系统下PHP-FPM的安全性。记得定期检查和更新你的安全配置,以应对新的威胁。