Debian LAMP安全配置有哪些

Debian LAMP安全配置主要包括以下方面：

1. 系统与软件更新
   定期更新系统和软件包，修复安全漏洞：
   sudo apt update && sudo apt upgrade -y。

2. 防火墙配置
   使用UFW限制端口访问，仅允许HTTP（80）、HTTPS（443）、SSH（22）等必要端口：
   sudo ufw enable && sudo ufw allow 80/tcp && sudo ufw allow 443/tcp && sudo ufw allow 22/tcp。

3. Apache安全设置

   • 禁用不必要的模块（如autoindex）：sudo a2dismod autoindex。
   • 隐藏版本信息：ServerTokens Prod和ServerSignature Off。
   • 禁止目录列表：Options -Indexes。
   • 启用SSL/TLS加密（使用Let’s Encrypt证书）：
     sudo apt install certbot python3-certbot-apache && sudo certbot --apache。

4. 数据库安全加固

   • 限制远程访问，仅允许本地连接：修改bind-address=127.0.0.1。
   • 删除匿名用户和测试数据库：DELETE FROM mysql.user WHERE User=''，DROP DATABASE IF EXISTS test。
   • 禁用远程root登录，创建专用用户并授权：CREATE USER 'app_user'@'localhost' IDENTIFIED BY '密码'。
   • 启用SSL/TLS加密连接（可选）。

5. PHP安全配置

   • 禁用危险函数（如exec、system）：disable_functions = exec,passthru。
   • 限制文件访问：open_basedir=/var/www:/tmp，禁止远程文件包含：allow_url_fopen=Off。
   • 关闭错误显示，记录日志：display_errors=Off，log_errors=On。
   • 安装Suhosin扩展增强防护（可选）。

6. 用户与权限管理

   • 禁用root远程登录，使用普通用户+sudo权限：修改/etc/ssh/sshd_config中PermitRootLogin no。
   • 强化密码策略，定期更换密码。

7. 日志与监控

   • 启用详细日志记录（Apache、MySQL），定期分析异常：tail -f /var/log/apache2/access.log。
   • 使用工具（如Fail2ban）防止暴力破解。

8. 其他安全措施

   • 定期备份数据：sudo tar -czvf /backup/backup-$(date +%F).tar.gz /var/www/html。
   • 禁用SSH密码认证，仅允许密钥登录：PasswordAuthentication no。

参考来源：[1,2,3,5,6,7,8,9,10,11,12,13,14]