LNMP权限设置：如何保证安全

在LNMP（Linux, Nginx, MySQL, PHP）环境下进行权限设置是确保系统安全性的重要步骤。以下是一些关键的安全措施和步骤：

用户和组管理

• 创建专用用户：为Nginx、MySQL等服务创建专用的非root用户，例如 www-data、mysql等。
• 设置用户权限：确保这些用户只能访问必要的文件和目录。例如，使用 chown命令更改网站文件的所有者和组。

文件和目录权限

• 文件和目录权限：为网站文件和目录设置适当的权限。通常情况下，文件权限应设置为644（所有者可读写，组和其他用户只可读），目录权限应设置为755（所有者可读写执行，组和其他用户只可读执行）。

  sudo find /path/to/your/website -type d -exec chmod 755 {} \;
  sudo find /path/to/your/website -type f -exec chmod 644 {} \;
  

• 配置文件权限：确保Nginx和PHP-FPM配置文件的权限设置正确。例如，Nginx配置文件通常位于 /etc/nginx/nginx.conf，在该文件中可以通过 user指令设置Nginx运行的用户和组。

Nginx权限配置

• 用户设置：在Nginx配置文件中设置运行用户。例如，在 /etc/nginx/nginx.conf中设置 user www-data;。
• 访问控制：通过Nginx配置文件中的 location和 auth_basic指令控制对特定目录的访问权限。

  location /directory1/ {
      auth_basic "input your user name and password";
      auth_basic_user_file /home/test/.htpasswd;
  }
  

MySQL用户权限管理

• 创建用户：使用 CREATE USER语句创建新用户。例如，CREATE USER 'newuser'@'localhost' IDENTIFIED BY 'password';。
• 授予权限：使用 GRANT语句为用户分配权限。例如，GRANT SELECT, INSERT ON database_name.* TO 'newuser'@'localhost';。
• 撤销权限：使用 REVOKE语句撤销用户的权限。例如，REVOKE INSERT ON database_name.* FROM 'newuser'@'localhost';。
• 查看权限：使用 SHOW GRANTS语句查看用户的当前权限。例如，SHOW GRANTS FOR 'newuser'@'localhost';。

PHP-FPM权限配置

• 用户和组设置：在PHP-FPM配置文件（通常是 /etc/php-fpm.d/www.conf）中设置用户和组。例如：

  user = www-data
  group = www-data
  

SELinux配置

• 检查SELinux状态：使用 sestatus命令检查SELinux状态。
• 临时禁用SELinux：sudo setenforce 0（不推荐长期使用）。
• 永久禁用SELinux：修改 /etc/selinux/config文件，设置 SELINUX=disabled。
• 配置SELinux策略：使用 semanage工具管理SELinux策略。

定期审计和监控

• 使用 auditd进行审计：安装并配置 auditd进行系统审计。
• 配置防火墙：使用 iptables或 ufw配置防火墙规则，限制不必要的端口访问。
• 定期更新：保持LNMP环境及其依赖项（如Nginx、PHP、MySQL等）更新至最新版本，以确保安全性和性能。

通过以上步骤，可以有效管理LNMP环境下的权限，确保系统的安全性和稳定性。