Ubuntu下PHP如何安全设置

Ubuntu下PHP安全设置指南

1. 系统与PHP版本更新

保持系统和PHP及其依赖库的最新状态，是修复已知安全漏洞的核心措施。定期执行以下命令更新系统及PHP组件：

sudo apt update && sudo apt upgrade -y
sudo apt install php php-cli php-fpm php-mysql php-curl php-gd php-mbstring php-xml php-zip --only-upgrade

2. PHP配置文件（php.ini）安全参数调整

php.ini是PHP安全的核心配置文件，需根据实际环境修改以下关键参数：

• 错误报告控制：禁用详细错误显示（避免泄露服务器路径、数据库结构等敏感信息），转而记录到专用日志文件。

  display_errors = Off
  log_errors = On
  error_log = /var/log/php_errors.log
  

• 远程代码执行防护：禁用allow_url_fopen和allow_url_include，防止通过URL访问或包含远程文件（如恶意脚本）。

  allow_url_fopen = Off
  allow_url_include = Off
  

• 危险函数禁用：禁用可能被滥用的函数（如执行系统命令、代码评估等），根据应用需求调整列表：

  disable_functions = eval,exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source
  

• 文件上传限制：限制上传文件的大小（避免大文件消耗服务器资源）和类型（如仅允许图片、文档等必要格式），并启用文件上传目录的权限控制。

  upload_max_filesize = 2M
  post_max_size = 8M
  file_uploads = On
  

• 会话安全配置：通过设置HTTP Only（防止XSS窃取会话ID）和Secure（仅通过HTTPS传输会话ID）标志增强会话安全性，同时设置合理的会话生命周期。

  session.cookie_httponly = On
  session.cookie_secure = On
  session.gc_maxlifetime = 1440  # 会话有效期（分钟）
  

• 资源限制：限制脚本的最大执行时间（避免长时间运行消耗服务器资源）和内存使用量（防止内存耗尽攻击）。

  max_execution_time = 30
  memory_limit = 128M
  

• 信息泄露防护：禁用expose_php，隐藏服务器上的PHP版本信息（减少针对性攻击）。

  expose_php = Off
  

• 目录访问限制：使用open_basedir限制PHP脚本只能访问指定目录（如网站根目录和临时目录），防止越权访问系统文件。

  open_basedir = /var/www/html/:/tmp/
  

3. Web服务器配置加固

Apache配置

• 启用PHP模块并禁用不必要的模块（减少攻击面）：

  sudo a2enmod php7.x  # 替换为实际PHP版本
  sudo a2dismod php7.y  # 禁用不需要的PHP版本
  

• 修改Apache配置文件（如/etc/apache2/apache2.conf或虚拟主机配置），限制错误信息泄露并设置目录权限：

  ServerTokens Prod  # 隐藏Apache版本信息
  ServerSignature Off  # 禁止在错误页面显示服务器信息
  <Directory /var/www/html>
      Options -Indexes  # 禁止目录列表
      AllowOverride None  # 禁止.htaccess覆盖配置
      Require all granted
  </Directory>
  

• 重启Apache服务使配置生效：

  sudo systemctl restart apache2
  

Nginx配置

• 配置PHP-FPM处理PHP文件（确保fastcgi_pass指向正确的PHP-FPM socket）：

  location ~ \.php$ {
      include snippets/fastcgi-php.conf;
      fastcgi_pass unix:/var/run/php/php7.x-fpm.sock;  # 替换为实际PHP版本
      fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
      include fastcgi_params;
  }
  

• 重启Nginx服务：

  sudo systemctl restart nginx
  

4. 安全模块与防火墙配置

• 启用ModSecurity（可选）：ModSecurity是一个开源Web应用防火墙（WAF），可拦截SQL注入、XSS、CSRF等常见攻击。通过以下命令安装并配置：

  sudo apt install libapache2-mod-security2
  sudo cp /etc/modsecurity/modsecurity.conf-recommended /etc/modsecurity/modsecurity.conf
  sudo sed -i 's/SecRuleEngine DetectionOnly/SecRuleEngine On/' /etc/modsecurity/modsecurity.conf
  sudo systemctl restart apache2
  

• 配置UFW防火墙：仅允许HTTP（80端口）、HTTPS（443端口）和SSH（22端口）流量，拒绝其他不必要的入站连接：

  sudo ufw allow 'Apache Full'  # 允许HTTP和HTTPS
  sudo ufw allow ssh
  sudo ufw enable  # 启用防火墙
  

5. 数据库安全实践

• 使用预处理语句：无论是使用PDO还是MySQLi扩展，均应使用预处理语句和参数绑定，防止SQL注入攻击。例如（PDO示例）：

  $pdo = new PDO("mysql:host=localhost;dbname=test", "username", "password");
  $stmt = $pdo->prepare("SELECT * FROM users WHERE id = :id");
  $stmt->bindParam(':id', $userId, PDO::PARAM_INT);
  $stmt->execute();
  $result = $stmt->fetchAll();
  

• 数据库权限控制：为应用创建专用数据库用户，仅授予必要的权限（如SELECT、INSERT、UPDATE），避免使用root用户连接数据库。

6. 文件与目录权限管理

• 设置网站根目录的正确权限（确保Web服务器用户（如www-data）有读取权限，但无写入权限；上传目录可写入但不可执行脚本）：

  sudo chown -R www-data:www-data /var/www/html  # 将所有权赋予Web服务器用户
  sudo chmod -R 755 /var/www/html  # 设置目录权限为755（所有者可读写执行，其他用户可读执行）
  sudo chmod -R 775 /var/www/html/uploads  # 上传目录设置为775（允许Web服务器写入）
  sudo chcon -R -t httpd_sys_rw_content_t /var/www/html/uploads  # （可选）针对SELinux系统设置上下文
  

7. 日志监控与分析

• 定期检查PHP错误日志（/var/log/php_errors.log）和Web服务器错误日志（如Apache的/var/log/apache2/error.log），及时发现异常行为（如大量404请求、SQL错误）。可使用工具（如fail2ban）自动封禁恶意IP地址。

8. 定期维护与安全审计

• 定期更新：订阅Ubuntu和PHP的安全公告，及时安装安全补丁。
• 安全审计：使用工具（如lynis）定期扫描系统，检查PHP配置的安全性（如是否存在未禁用的危险函数、是否暴露了敏感信息）。

  sudo apt install lynis
  sudo lynis audit system
  

• 备份策略：定期备份网站文件和数据库，确保在遭受攻击后可快速恢复。

通过以上步骤，可显著提升Ubuntu环境下PHP应用的安全性，防范常见的Web攻击（如SQL注入、XSS、文件上传漏洞等）。需根据实际应用场景调整配置（如调整上传文件大小、开放必要端口），并持续关注安全动态以应对新威胁。