如何优化Ubuntu PHP配置增强安全性

以下是优化Ubuntu PHP配置增强安全性的关键步骤：

1. 系统与软件更新
   定期更新系统和PHP至最新版本，修复安全漏洞：

   sudo apt update && sudo apt upgrade  
   

2. 配置php.ini安全参数

   • 禁用危险函数：如exec, system, shell_exec等。
   • 限制文件上传：设置upload_max_filesize和post_max_size（如2M/8M）。
   • 关闭信息泄露：expose_php = Off，隐藏PHP版本。
   • 错误处理：display_errors = Off，记录错误到日志。

3. PHP-FPM安全加固

   • 非root用户运行：在/etc/php/{version}/fpm/pool.d/www.conf中设置user=www-data。
   • 限制监听地址：设置listen = 127.0.0.1:9000，仅允许本地访问。

4. 启用安全模块

   • mod_security：安装并启用Web应用防火墙模块。
   • OPcache：启用缓存以提升性能并减少安全风险。

5. 防火墙与网络隔离

   • 使用UFW限制端口访问，仅开放必要服务（如HTTP/HTTPS）。
   • 禁用allow_url_fopen和allow_url_include，防止远程代码执行。

6. 加密与认证

   • 强制使用HTTPS（TLS/SSL），可通过Let’s Encrypt获取免费证书。
   • 配置强密码策略，限制SSH root登录。

7. 日志与监控

   • 记录PHP和Web服务器日志，定期分析异常。
   • 使用Fail2Ban防止暴力破解。

参考来源：