Debian下PHP安全设置怎么做

在Debian系统下进行PHP安全设置，可以参考以下步骤和建议：

1. 更新系统和软件包

• 保持系统和所有软件包都是最新的，以修补已知的安全漏洞。

  sudo apt update && sudo apt upgrade
  

2. 配置PHP

• 编辑php.ini文件：
  • 禁用错误显示，防止敏感信息泄露：

    display_errors = Off
    

  • 禁用PHP版本信息泄露：

    expose_php = Off
    

  • 关闭全局变量，减少脚本注入风险：

    register_globals = Off
    

  • 限制PHP可以访问的系统目录，使用open_basedir：

    open_basedir = /var/www
    

  • 禁止远程资源访问，防止文件包含漏洞：

    allow_url_fopen = Off
    allow_url_include = Off
    

  • 安装并配置Suhosin扩展，增强PHP的安全性：

    wget http://download.suhosin.org/suhosin-0.9.37.1.tar.gz
    tar zxvf suhosin-0.9.37.1.tar.gz
    cd suhosin-0.9.37.1
    phpize
    ./configure --with-php-config=/usr/local/bin/php-config
    make
    make install
    

    在php.ini中添加：

    extension=suhosin.so
    

3. 配置Web服务器（如Apache）

• 使用PHP-FPM：
  • 配置PHP-FPM监听地址和端口：

    cp /etc/php/8.2/fpm/pool.d/www.conf{,_bak}
    sed -i 's/^listen = .*/listen = 0.0.0.0:9000/' /etc/php/8.2/fpm/pool.d/www.conf
    

  • 重启PHP-FPM服务：

    sudo systemctl restart php8.2-fpm.service
    

4. 配置防火墙

• 使用ufw或iptables限制入站和出站流量，仅允许必要的端口（如HTTP、HTTPS和SSH）：

  sudo ufw enable
  sudo ufw allow 80/tcp
  sudo ufw allow 443/tcp
  sudo ufw allow 22/tcp
  sudo ufw reload
  

5. 强化SSH安全

• 配置SSH密钥对认证，禁用root远程登录，禁止使用空密码登录：

  sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
  sed -i 's/PermitRootLogin prohibit-password/PermitRootLogin no/' /etc/ssh/sshd_config
  sed -i 's/PermitRootLogin yes/PermitRootLogin no/' /etc/ssh/sshd_config
  sed -i 's/PasswordAuthentication yes/PasswordAuthentication no/' /etc/ssh/sshd_config
  sudo systemctl restart sshd
  

6. 定期审计和监控

• 定期检查系统日志和PHP错误日志，及时发现异常请求或攻击行为。
• 使用日志监控工具如Logwatch或Fail2ban自动监控并报告系统活动。

通过上述步骤，可以显著提高Debian系统下PHP应用的安全性。建议定期审查和更新安全设置，以应对不断变化的安全威胁。