如何确保Ubuntu PHP-FPM安全运行

确保Ubuntu上的PHP-FPM安全运行是一个多层面的过程，涉及系统更新、配置优化、安全设置和定期维护。以下是一些关键步骤和建议，帮助你提高PHP-FPM的安全性：

更新系统和软件包

• 保持系统和软件包最新：定期更新系统和所有软件包，以修补已知的安全漏洞。

  sudo apt update
  sudo apt upgrade
  

安装和配置PHP-FPM

• 安装PHP和PHP-FPM：安装PHP及其相关扩展，以及PHP-FPM。

  sudo apt install php php-fpm php-mysql php-curl php-gd php-imagick php-mbstring php-zip
  

配置PHP.ini

• 限制内存使用：通过 memory_limit 设置内存使用上限，防止单个脚本消耗过多内存。
• 限制上传文件大小：通过 upload_max_filesize 和 post_max_size 限制上传文件的大小。
• 禁用危险函数：注释掉或删除如 eval()、exec() 等危险函数。
• 设置正确的错误报告级别：在生产环境中，将 display_errors 设置为 Off，并通过 error_reporting 设置错误报告级别。

  memory_limit = 256M
  upload_max_filesize = 128M
  post_max_size = 128M
  display_errors = Off
  error_reporting = E_ALL & ~E_NOTICE & ~E_DEPRECATED & ~E_STRICT & ~E_USER_NOTICE & ~E_USER_WARNING
  

配置PHP-FPM

• 使用非root用户运行PHP-FPM：通过 user 和 group 配置项指定非root用户和用户组运行PHP-FPM。
• 配置监听地址和端口：默认情况下，PHP-FPM监听127.0.0.1:9000，确保只接受本地访问。
• 设置进程池参数：通过 pm.max_children、pm.start_servers、pm.min_spare_servers、pm.max_spare_servers 和 pm.max_requests 等参数设置进程池的行为，例如限制最大子进程数和每个进程的最大请求数。

  user = www-data
  group = www-data
  listen = 127.0.0.1:9000
  pm.max_children = 50
  pm.start_servers = 5
  pm.min_spare_servers = 5
  pm.max_spare_servers = 35
  pm.max_requests = 500
  

重启服务

• 重启PHP-FPM和Web服务器：以应用配置更改。

  sudo systemctl restart php{version}-fpm
  sudo systemctl restart nginx
  

配置防火墙

• 使用ufw配置防火墙：允许必要的端口和服务通过。

  sudo ufw allow 'Nginx Full'
  sudo ufw enable
  

SELinux/AppArmor配置（可选）

• 如果使用SELinux或AppArmor，可以进一步配置以增强安全性。

  sudo semanage fcontext -a -t httpd_sys_content_t "/var/www/html(/.*)?"
  sudo restorecon -Rv /var/www/html
  

定期安全检查和更新

• 定期检查系统和软件包的安全性，并进行更新。

  sudo apt update
  sudo apt upgrade
  

通过上述步骤，可以显著提高Ubuntu PHP-FPM的安全性。务必定期审查和更新安全配置，以应对不断变化的安全威胁。