如何配置LNMP安全组

配置LNMP安全组可从系统、组件、网络层面入手，以下是关键步骤：

1. 系统基础加固
   • 禁用root远程登录，使用普通用户+SSH密钥认证。
   • 定期更新系统及软件包（如apt update && apt upgrade）。
2. 防火墙配置
   • iptables：默认拒绝所有入站流量，仅开放HTTP（80）、HTTPS（443）、SSH（自定义端口）等必要端口。
   • firewalld：通过firewall-cmd添加http、https服务规则。
   • 可选：使用ngx_lua_waf增强Web应用层防护，限制IP、防御CC攻击。
3. LNMP组件安全
   • Nginx：禁用不必要的模块，配置open_basedir限制PHP文件访问路径，启用SSL/TLS加密。
   • MySQL：设置强密码，限制仅信任IP访问，禁用远程root登录。
   • PHP：禁用高危函数（如exec、system），限制文件上传目录权限，开启错误日志记录。
4. 安全监控与维护
   • 部署Fail2ban防御暴力破解，Logwatch定期分析日志。
   • 定期备份数据，测试恢复流程。

参考来源：