PHP在Debian上如何安全运行

在Debian上安全运行PHP涉及多个步骤，包括安装PHP、配置Web服务器、设置安全选项以及定期维护。以下是详细的指南：

安装PHP及其模块

1. 更新系统软件包：

sudo apt update
sudo apt upgrade -y

2. 安装PHP及其常用模块：

sudo apt install php php-cli php-fpm php-mysql php-gd php-curl php-opcache

3. 验证PHP安装：

php -v

配置Web服务器

使用Apache

1. 安装Apache：

sudo apt install apache2

2. 启用mod_rewrite模块：

sudo a2enmod rewrite

3. 重启Apache：

sudo systemctl restart apache2

4. 配置Apache处理PHP： 将PHP脚本移动到Apache的默认文档根目录（通常为 /var/www/html）。

使用Nginx

1. 安装Nginx：

sudo apt install nginx

2. 配置Nginx处理PHP： 编辑Nginx配置文件（通常在 /etc/nginx/sites-available/default），添加以下内容：

location ~ \.php$ {
    include snippets/fastcgi-php.conf;
    fastcgi_pass unix:/var/run/php/php8.2-fpm.sock;
}

3. 重启Nginx：

sudo systemctl restart nginx

配置PHP安全设置

1. 编辑php.ini文件：

   • 屏蔽错误输出：

     display_errors = Off
     error_reporting = E_ALL
     log_errors = On
     error_log = /var/log/php_errors.log
     

   • 关闭全局变量：

     register_globals = Off
     

   • 限制文件系统访问：

     open_basedir = /var/www:/tmp
     

   • 禁止远程资源访问：

     allow_url_fopen = Off
     allow_url_include = Off
     

   • 安装Suhosin扩展：

     wget http://download.suhosin.org/suhosin-0.9.37.1.tar.gz
     tar zxvf suhosin-0.9.37.1.tar.gz
     cd suhosin-0.9.37.1
     phpize
     ./configure --with-php-config=/usr/bin/php-config
     make
     sudo make install
     

     在 php.ini 中添加：

     extension = suhosin.so
     

2. 重启PHP-FPM服务：

sudo systemctl restart php8.2-fpm

强化系统安全

1. 配置防火墙： 使用 ufw 或 iptables 限制入站和出站流量，仅允许必要的端口（如HTTP、HTTPS和SSH）：

sudo ufw enable
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw allow 22/tcp
sudo ufw reload

2. 强化SSH安全： 配置SSH密钥对认证，禁用root远程登录，禁止使用空密码登录：

sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
sed -i 's/PermitRootLogin prohibit-password/PermitRootLogin no/' /etc/ssh/sshd_config
sed -i 's/PermitRootLogin yes/PermitRootLogin no/' /etc/ssh/sshd_config
sed -i 's/PasswordAuthentication yes/PasswordAuthentication no/' /etc/ssh/sshd_config
sudo systemctl restart sshd

3. 定期备份数据： 制定一个备份计划，定期备份服务器的关键数据，并存储在安全的地点。

4. 监控与日志管理： 利用监控工具监控系统状态，及时发现异常活动，并确保所有的登录尝试和服务活动都被记录到日志文件中。

通过以上步骤，可以显著提高Debian系统上PHP应用的安全性，减少潜在的安全风险。