Debian PHP安全配置有哪些要点

Debian PHP安全配置要点如下：

1. 系统与软件更新
   定期更新系统和PHP软件包，修补已知漏洞：
   sudo apt update && sudo apt upgrade。

2. PHP配置优化

   • 屏蔽敏感信息：
     • display_errors = Off：禁止错误信息显示在网页，避免泄露路径等敏感内容。
     • expose_php = Off：隐藏PHP版本信息，防止被针对性攻击。
   • 限制访问权限：
     • open_basedir = /var/www:/tmp：限制PHP仅能访问指定目录，防止越权访问系统文件。
     • allow_url_fopen = Off、allow_url_include = Off：禁止远程文件包含，防范远程代码执行。
   • 关闭危险功能：
     • register_globals = Off：防止用户输入自动注册为全局变量，减少注入风险。
     • safe_mode = Off（新版本默认关闭）：依赖更细粒度的权限控制替代。
     • 禁用危险函数（如system、exec等）：通过disable_functions配置。

3. Web服务器配置

   • 使用PHP-FPM时，限制监听地址和端口，仅允许必要IP访问。
   • 配置Nginx/Apache时，关闭不必要的模块，限制目录权限。

4. 防火墙与权限管理

   • 用ufw或iptables限制端口，仅开放HTTP（80）、HTTPS（443）、SSH（22）。
   • 禁用root远程登录，使用普通用户+sudo提升权限。

5. 安全扩展与监控

   • 安装Suhosin扩展增强防护，抵御缓冲区溢出等攻击。
   • 配置日志记录（log_errors = On），定期审计系统日志，使用Fail2ban监控异常访问。

6. 其他安全措施

   • 启用HTTPS（SSL/TLS），加密数据传输。
   • 对用户输入进行严格过滤和验证，防范SQL注入、XSS等攻击。