1. 保持系统与PHP组件最新
定期运行sudo apt update && sudo apt upgrade -y命令,更新Debian系统内核、PHP核心及所有依赖库(如MySQL、Apache/Nginx),及时修补已知安全漏洞。建议开启unattended-upgrades自动安装安全更新,减少手动维护成本。
2. 优化PHP核心配置
编辑/etc/php/{version}/fpm/php.ini(PHP-FPM)或/etc/php/{version}/apache2/php.ini(Apache模块),调整以下关键参数:
display_errors = Off(避免错误详情暴露给用户)、expose_php = Off(移除响应头中的PHP版本信息);register_globals = Off(禁用自动全局变量,防止表单数据注入)、open_basedir = /var/www:/tmp(限制PHP仅能访问指定目录,防范非法文件读取);allow_url_fopen = Off、allow_url_include = Off(禁止通过URL加载外部资源,防止文件包含漏洞);disable_functions中添加exec、system、eval等高风险函数(减少代码执行攻击面)。3. 强化Web服务器配置
mod_security模块(Web应用防火墙,拦截SQL注入、XSS等攻击),并通过.htaccess文件限制敏感目录访问(如Deny from all禁止直接访问/config目录);fastcgi_pass unix:/var/run/php/php8.2-fpm.sock),并通过location ~ \.php$块限制仅能处理.php文件(防止恶意脚本伪装);/etc/php/{version}/fpm/pool.d/www.conf,设置listen.owner = www-data、listen.group = www-data(确保PHP进程以低权限用户运行),调整pm.max_requests = 3000(定期重启进程,避免内存泄漏)。4. 部署安全扩展与工具
sudo apt install php-suhosin),增强PHP对缓冲区溢出、格式化字符串等攻击的抵御能力;5. 实施最小权限原则
www-data)运行PHP进程(sudo usermod -aG www-data myuser),避免使用root用户启动服务;750(所有者可读写执行,组用户可读执行,其他用户无权限),上传目录设置为755(禁止执行权限,防止上传恶意脚本);sudo sed -i 's/PermitRootLogin yes/PermitRootLogin no/' /etc/ssh/sshd_config)、关闭密码认证(sudo sed -i 's/PasswordAuthentication yes/PasswordAuthentication no/' /etc/ssh/sshd_config),使用SSH密钥对认证(ssh-keygen -t rsa生成密钥并添加至authorized_keys)。6. 配置防火墙与网络隔离
使用ufw(Uncomplicated Firewall)限制入站流量,仅允许HTTP(80端口)、HTTPS(443端口)和SSH(22端口)访问:
sudo ufw enable
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw allow 22/tcp
sudo ufw reload
若使用iptables,可添加类似规则:sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT,并保存规则(sudo iptables-save > /etc/iptables/rules.v4)。
7. 定期审计与监控
/var/log/php_errors.log(PHP错误日志)、/var/log/apache2/access.log(Apache访问日志)或/var/log/nginx/access.log(Nginx访问日志),识别异常请求(如大量404错误、POST请求包含SQL语句);Fail2ban(自动封禁多次登录失败的IP)、Logwatch(每日生成日志报告)或GoAccess(实时访问统计),及时发现并响应安全事件;