centos上php的安全策略有哪些

在CentOS上提高PHP应用的安全性需要采取多方面的措施。以下是一些关键的步骤：

系统及软件包更新

• 保持系统和所有软件包的最新版本，及时安装安全补丁。

sudo yum update

防火墙配置

• 使用Firewalld精细控制服务器的网络访问，仅开放必要的端口，例如HTTP (80) 和HTTPS (443)。

sudo yum install firewalld
sudo systemctl start firewalld
sudo systemctl enable firewalld
sudo firewall-cmd --zone=public --add-port=80/tcp --permanent
sudo firewall-cmd --zone=public --add-port=443/tcp --permanent
sudo firewall-cmd --reload

PHP安全设置

• 修改php.ini文件，强化PHP配置。
• 关闭错误显示，启用 open_basedir 限制文件访问路径，并设置合理的文件上传大小限制。

sudo vi /etc/php.ini
# display_errors = Off
# open_basedir = "/var/www/html:/tmp" (根据实际路径调整)
# upload_max_filesize = 2M
# post_max_size = 8M

安装必要的PHP扩展

• 安装一些关键的PHP扩展，例如 php-mcrypt 、 php-gd 、 php-mbstring 和 php-bcmath，增强安全性及功能。

sudo yum install php-mcrypt php-gd php-mbstring php-bcmath

启用HTTPS

• 使用HTTPS协议加密网站流量，安装并配置SSL证书。

sudo yum install mod_ssl
sudo systemctl restart httpd
# 配置 /etc/httpd/conf.d/ssl.conf (将SSL证书和密钥文件配置到此文件中)

用户及账户安全

• 删除不必要的系统账户，更改SSH默认端口，并强制使用强密码策略，禁用root直接登录。

userdel adm userdel lp userdel sync userdel shutdown userdel halt userdel news userdel uucp userdel operator userdel games userdel gopher userdel ftps
sudo passwd -dl user1 user2 ... (替换user1, user2为需要修改密码的用户)
sudo sed -i 's/PermitRootLogin prohibit-password/PermitRootLogin no/' /etc/ssh/sshd_config

数据备份

• 定期备份网站数据和数据库，以防数据丢失或损坏。

mkdir -p /backup
rsync -avz --delete /var/www/html/ /backup/website_backup/
mysqldump -u[数据库用户名] -p[数据库密码][数据库名] | gzip > /backup/website_backup.sql.gz

安全模式及禁用危险函数

• 在php.ini中启用 safe_mode (已在较新PHP版本中移除，不推荐使用) 或禁用一些潜在危险的PHP函数，例如 exec() 、 shell_exec() 等。

# safe_mode = On (不推荐)
disable_functions = exec,shell_exec,system,passthru,popen,proc_open (根据实际情况选择禁用函数)

SELinux (可选)

• 启用SELinux可以提供更严格的安全防护，但需要仔细配置以避免与应用程序冲突。

通过以上措施，可以显著提高CentOS服务器上PHP应用的安全性。