ThinkPHP在Debian中的安全设置方法

ThinkPHP 在 Debian 的安全设置方法

一 系统与 PHP 基础加固

• 保持系统与应用为最新：执行 sudo apt update && sudo apt upgrade -y，及时修补漏洞。
• 关闭错误回显与版本暴露：在 php.ini 中设置
  • display_errors Off、log_errors On、error_log /var/log/php_errors.log
  • expose_php Off
• 限制危险函数：禁用 eval、exec、shell_exec、passthru、system、popen、phpinfo 等（仅保留业务必需）。
• 限制文件与协议访问：设置 open_basedir /var/www:/tmp；关闭远程包含与读取 allow_url_fopen Off、allow_url_include Off。
• 强化 Web 服务与进程隔离：
  • PHP-FPM 建议设置 pm.max_requests=3000 缓解内存泄漏与长时执行风险；按需开启 pm.status_path 便于观测。
  • 防火墙仅开放 80/443/22，SSH 使用密钥登录并禁用 root 远程登录。
• 可选增强：安装 Suhosin 扩展以进一步加固 PHP 运行时（编译安装后加入 extension=suhosin.so）。

二 ThinkPHP 应用层安全配置

• 关闭调试与隐藏版本：生产环境务必 app_debug => false；隐藏或移除页面与响应头中的 ThinkPHP 版本号 信息。
• 入口与路由安全：将对外访问限制在 public/；启用 强制路由 或设置 MISS 路由规则，仅允许白名单 URL。
• 表单与 CSRF：开启 表单令牌验证（如 TOKEN_ON/TOKEN_NAME/TOKEN_TYPE/TOKEN_RESET），为敏感表单增加一次性令牌。
• 输入验证与过滤：使用框架的 验证器/Request 输入 与 default_filter（如 strip_tags、htmlspecialchars、stripslashes），对输出做 XSS 转义。
• SQL 注入防护：优先使用 参数绑定/预处理 或 数组条件，避免字符串拼接；必要时使用 PDO。
• 文件上传安全：使用 think\File 校验后缀、MIME、大小与图片合法性；上传目录禁止执行脚本；必要时将上传内容托管至 对象存储/CDN。
• 目录与文件权限：按最小权限分配，确保 runtime/ 可写且归 www-data；将 log/ 抽离项目或置于非常规目录；入口 index.php 设为只读。

三 Web 服务器与运行环境配置

• Nginx 示例（禁止上传与静态资源目录执行 PHP）：
  • 将站点根目录指向 public/；
  • 对 .php$ 使用 php-fpm 处理；
  • 对上传与静态资源目录拦截 PHP 执行：
    • location ~ ^/(uploads|assets|runtime)/.*.(php|php5|jsp)$ { deny all; }
• Apache 示例（同效）：
  • 在 .htaccess 或虚拟主机中拦截：RewriteRule ^uploads/(.*).(php)$ - [F]
• 目录索引与访问限制：
  • 关闭目录浏览（如 Options -Indexes）；
  • 仅暴露 public/，禁止访问 application/、config/、runtime/ 等敏感目录。

四 运维监控与持续加固

• 日志与告警：集中收集 Nginx/php-fpm/应用日志，使用 Logwatch/Fail2ban 监控异常访问与暴力请求。
• 备份与恢复：定期备份 代码、数据库与配置，并进行离线/异地保存与恢复演练。
• 更新与依赖管理：持续 composer update 与框架小版本升级；关注官方安全通告并第一时间打补丁。
• 访问控制与加密：对外仅开放必要端口；启用 HTTPS/TLS；数据库账户遵循 最小权限 原则。

五 快速检查清单