Linux下PHP配置中的安全设置有哪些

在Linux系统下配置PHP安全设置，可以通过以下步骤进行：

1. 更新PHP版本：确保你使用的是最新版本的PHP，因为新版本通常包含安全修复和改进。

2. 配置PHP-FPM（如果使用PHP-FPM）：

   • 编辑PHP-FPM配置文件，通常位于/etc/php-fpm.d/www.conf或/etc/php-fpm.conf。
   • 在配置文件中，确保以下设置：
     • user和group设置为非root用户和组，以提高安全性。
     • listen.owner和listen.group也设置为相同的非root用户和组。
     • listen.mode设置为0660，以限制文件权限。

3. 配置PHP安全选项：编辑PHP的配置文件php.ini，通常位于/etc/php.ini。在php.ini文件中，进行以下安全设置：

   • 错误处理：
     • display_errors = Off
     • log_errors = On
     • error_log = /var/log/php_errors.log
   • 文件上传：
     • file_uploads = On
     • upload_max_filesize = 2M
     • post_max_size = 8M
   • SQL注入防护：
     • magic_quotes_gpc = Off
   • XSS防护：
     • html_errors = Off
   • 会话安全：
     • session.cookie_httponly = On
     • session.cookie_secure = On
     • session.use_strict_mode = On
   • 内存限制：
     • memory_limit = 128M
   • 禁用不必要的PHP模块：检查并禁用不需要的PHP模块，以减少潜在的安全风险。
     • 使用命令：sudo php -m | grep -vE "^cli|common" | xargs sudo php -i | grep -vE "^extension"

4. 配置防火墙：使用firewalld或iptables配置防火墙规则，限制对PHP应用的访问。

   • 例如，使用firewalld：

     sudo firewall-cmd --permanent --zone=public --add-service=http
     sudo firewall-cmd --permanent --zone=public --add-service=https
     sudo firewall-cmd --reload
     

5. 使用HTTPS：确保你的网站使用HTTPS，可以通过配置SSL证书来实现。

   • 例如，使用certbot为Nginx配置SSL证书：

     sudo yum install certbot python2-certbot-nginx
     sudo certbot --nginx -d yourdomain.com
     

6. 定期更新和维护：定期更新PHP和相关软件包，以确保安全漏洞得到修复。

   • 例如，更新PHP和系统：

     sudo yum update php*
     sudo apt update && sudo apt upgrade
     

7. 其他安全措施：

   • 禁用不必要的函数：在php.ini中设置disable_functions，禁用可能被恶意利用的函数。
   • 启用安全模式：在php.ini中设置safe_mode = On，限制PHP脚本的执行权限。
   • 配置open_basedir：限制PHP脚本只能访问指定目录。
   • 设置合理的文件权限：确保PHP脚本和相关文件具有适当的权限。