在Debian系统中配置LNMP(Linux, Nginx, MySQL/MariaDB, PHP)环境时,安全性是一个重要的考虑因素。以下是一些关键的安全设置步骤:
确保系统处于最新状态,安装所有可用的安全更新。
sudo apt update
sudo apt upgrade
设置强密码并强制用户使用复杂密码。
sudo apt install libpam-pwquality
sudo nano /etc/security/pwquality.conf
检查并禁用不必要的网络服务,降低攻击面。
sudo systemctl list-units --type service --state running
sudo systemctl disable service-name
使用防火墙限制入站和出站流量。
sudo apt install ufw
sudo ufw enable
sudo ufw allow OpenSSH
sudo ufw allow port 80/tcp
sudo ufw allow port 443/tcp
更改SSH默认端口,禁用root登录,使用SSH密钥对进行身份认证。
sudo nano /etc/ssh/sshd_config
# 更改端口号
Port 2222
# 禁用root登录
PermitRootLogin no
# 使用SSH密钥对进行身份认证
在安装MySQL后,使用 mysql_secure_installation 命令进行安全设置。
sudo mysql_secure_installation
使用工具如Logwatch或Fail2ban来自动监控并报告系统活动和安全事件。
合理配置用户权限,确保每个用户只能访问其需要的文件和目录。
编辑Nginx配置文件,确保所有配置符合安全最佳实践。禁用不必要的Nginx模块,减少潜在的安全风险。配置Nginx以使用SSL/TLS加密,保护数据传输过程中的安全。
sudo nano /etc/nginx/nginx.conf
# 禁用不必要的模块
# ...
# 配置SSL/TLS
ssl_certificate /path/to/your/certificate.crt;
ssl_certificate_key /path/to/your/private.key;
安装并配置PHP-FPM时,限制PHP进程的资源使用,例如通过调整 pm.max_children 、 pm.start_servers 等参数。禁用不必要的PHP模块,减少攻击面。定期更新PHP和PHP-FPM到最新版本,以修补已知的安全漏洞。
sudo nano /etc/php/7.4/fpm/pool.d/www.conf
# 限制资源使用
pm.max_children = 5
pm.start_servers = 5
# 禁用不必要的模块
; extension=php_curl.dll
安全加固是一个持续的过程,需要定期评估和调整策略以应对新的威胁。
以上步骤可以帮助提高Debian LNMP环境的安全性。建议定期审查和更新安全设置,以应对新的安全威胁。