如何配置Ubuntu上的PHP安全设置

以下是Ubuntu上配置PHP安全设置的关键步骤：

1. 更新系统与软件包

   sudo apt update && sudo apt upgrade  
   

2. 配置PHP核心安全参数

   • 编辑php.ini（路径：/etc/php/{版本}/apache2/php.ini或/etc/php/{版本}/fpm/php.ini）：
     • 禁用危险函数：disable_functions = exec,system,passthru,shell_exec,proc_open
     • 限制文件上传：upload_max_filesize = 2M，post_max_size = 8M
     • 关闭信息泄露：expose_php = Off，display_errors = Off，log_errors = On
     • 启用安全模式替代选项：allow_url_fopen = Off，allow_url_include = Off
   • 保存后重启服务：

     sudo systemctl restart apache2  # Apache  
     sudo systemctl restart php{版本}-fpm  # PHP-FPM  
     

3. 启用Web安全模块

   • 安装并启用mod_security（Apache防火墙模块）：

     sudo apt install libapache2-mod-security2  
     sudo a2enmod security2  
     sudo systemctl restart apache2  
     

4. 配置防火墙与加密

   • 使用UFW限制访问：

     sudo ufw allow 'Apache Full'  # 允许HTTP/HTTPS  
     sudo ufw enable  
     

   • 强制HTTPS（需先配置SSL证书）：

     sudo a2enmod ssl  
     sudo systemctl restart apache2  
     

5. 强化会话与权限管理

   • 编辑php.ini设置会话安全：
     session.cookie_secure = On，session.cookie_httponly = On，session.cookie_samesite = Strict
   • 确保PHP文件权限正确：

     sudo chown -R www-data:www-data /var/www/html  
     sudo chmod -R 755 /var/www/html  
     

6. 定期维护与监控

   • 定期更新系统和PHP补丁。
   • 监控日志文件（如/var/log/apache2/error.log）。

注：具体配置需根据实际环境调整，生产环境建议先在测试环境验证。