1. 服务器环境准备
选择Ubuntu Server作为操作系统(具备稳定的社区支持与安全更新),安装Nginx(推荐,处理静态文件与反向代理更高效)或Apache(配置简洁),并确保安装PHP(需匹配Laravel版本要求,如PHP 8.1+)、MySQL/PostgreSQL(数据库)、Composer(依赖管理)、Node.js(前端资产编译)等核心组件。使用Git进行代码版本控制,避免通过FTP直接部署(防止版本失控与敏感信息泄露)。
2. Web服务器安全配置
add_header X-Frame-Options "SAMEORIGIN"防止点击劫持、add_header X-XSS-Protection "1; mode=block"启用XSS防护、add_header X-Content-Type-Options "nosniff"阻止MIME类型嗅探);限制访问敏感目录(如location ~ /\.(?!well-known).* { deny all; }禁止访问隐藏文件);启用请求速率限制(limit_req_zone $binary_remote_addr zone=laravel:10m rate=10r/s;)防止暴力破解。rewrite(sudo a2enmod rewrite)与headers模块(sudo a2enmod headers),配置虚拟主机时设置AllowOverride All以允许.htaccess文件覆盖配置(需确保public目录为根目录)。3. 文件权限与所有权管理
遵循最小权限原则,将项目目录所有者设为Web服务器用户(通常为www-data):sudo chown -R www-data:www-data /var/www/laravel;设置storage(日志、缓存、上传文件)与bootstrap/cache(框架缓存)目录为www-data可写(sudo chmod -R 755 /var/www/laravel/storage、sudo chmod -R 755 /var/www/laravel/bootstrap/cache);其他目录(如app、config)设置为只读(chmod 755),防止恶意代码注入。
4. Laravel环境变量与配置加固
.env.example为.env,生成唯一APP_KEY(php artisan key:generate),确保APP_DEBUG设置为false(禁用调试模式,避免泄露敏感堆栈信息),APP_ENV设置为production(启用生产环境优化);.env文件管理(不要将.env提交至版本控制);php artisan config:cache缓存配置(提升性能并防止配置文件被篡改)。5. HTTPS强制使用与SSL配置
通过Let’s Encrypt获取免费SSL证书(sudo apt install certbot python3-certbot-nginx),运行sudo certbot --nginx自动配置HTTPS(自动重定向HTTP至HTTPS);设置证书自动续订(sudo certbot renew --dry-run测试续订流程),确保证书长期有效。
6. PHP安全设置优化
修改php.ini文件,关闭错误显示(display_errors = Off,防止泄露敏感信息),设置error_reporting = E_ALL(记录所有错误至日志);禁用危险函数(如exec、system,若无需使用),调整memory_limit(根据应用需求设置,避免内存耗尽攻击);启用opcache(opcache.enable=1)提升PHP性能,减少代码执行时间。
7. 定期更新与补丁管理
定期更新Laravel框架(composer update)、PHP版本(sudo apt upgrade php)、操作系统(sudo apt update && sudo apt upgrade)及所有依赖库,及时修补已知安全漏洞;使用Composer的--prefer-stable选项(composer update --prefer-stable)确保依赖稳定。
8. 安全工具与监控
使用Web应用防火墙(WAF)如ModSecurity(Nginx/Apache插件)抵御SQL注入、XSS等常见攻击;部署监控工具(如Prometheus+Grafana)监控服务器资源(CPU、内存、磁盘)与应用性能(请求延迟、错误率);定期检查Laravel日志(storage/logs/laravel.log)与Web服务器日志(/var/log/nginx/access.log),识别异常行为(如频繁登录失败、大量404请求)。
9. Laravel内置安全功能启用
@csrf指令(如<form method="POST" action="/submit">@csrf</form>);Validator facade或表单请求类)验证用户输入(如$request->validate(['email' => 'required|email']);config/session.php中的secure选项为true(仅通过HTTPS传输会话cookie),设置http_only为true(防止JavaScript访问cookie),调整lifetime(会话过期时间)。