PHP在Linux系统中如何进行安全加固

以下是PHP在Linux系统中的安全加固措施：

1. PHP配置加固

   • 禁用危险函数：在php.ini中设置disable_functions，禁止system、exec、phpinfo等高风险函数。
   • 限制文件访问：通过open_basedir限制PHP脚本仅能访问指定目录（如网站根目录）。
   • 关闭版本泄露：设置expose_php=Off，避免HTTP头暴露PHP版本信息。
   • 限制文件上传：设置upload_max_filesize和post_max_size，并验证上传文件类型。
   • 启用HTTPS：配置SSL证书，强制使用HTTPS加密传输数据。

2. 系统及服务安全

   • 更新系统与软件：定期执行yum update，修复PHP及依赖库的安全漏洞。
   • 配置防火墙：使用firewalld或iptables限制仅允许HTTP/HTTPS等必要端口访问。
   • 启用SELinux/AppArmor：通过强制访问控制限制PHP进程权限，增强系统隔离性。

3. Web服务器与权限管理

   • 隔离Web用户权限：运行Web服务（如Nginx/Apache）的用户设为非root（如www用户），并限制文件权限（文件644、目录755）。
   • 禁用不必要的模块：移除未使用的PHP模块（如php-mcrypt等），减少攻击面。
   • 安全日志监控：配置error_log记录错误信息，并定期分析日志，及时发现异常。

4. 应用层安全实践

   • 防止SQL注入：使用预处理语句（如PDO或MySQLi）替代直接拼接SQL。
   • 会话安全配置：设置session.cookie_httponly=1和session.cookie_secure=1，防止会话劫持。
   • 代码审计与更新：定期审查代码，修复漏洞，避免使用过时或不安全的函数。

参考来源：