在Ubuntu服务器上进行PHP安全配置是确保应用程序安全性的重要步骤。以下是一些关键的安全配置措施:
首先,确保您的系统包是最新的。打开终端并运行以下命令:
sudo apt update
sudo apt upgrade -y
使用 apt 安装所需的PHP版本及其模块。例如,安装PHP 7.4及其常用模块:
sudo apt install php7.4 php7.4-cli php7.4-fpm php7.4-mysql php7.4-json php7.4-opcache -y
禁用不需要的PHP模块以减少潜在攻击面。例如,如果您不需要FTP模块,可以运行:
sudo a2dismod php7.4-ftp
编辑PHP配置文件(通常位于 /etc/php/7.4/apache2/php.ini 或 /etc/php/7.4/fpm/php.ini),确保以下配置项已设置:
错误报告:
error_reporting = E_ALL & E_NOTICE & E_DEPRECATED & E_STRICT & E_USER_NOTICE
display_errors = Off
log_errors = On
error_log = /var/log/php_errors.log
文件上传:
file_uploads = On
upload_max_filesize = 2M
post_max_size = 8M
内存限制:
memory_limit = 128M
执行时间:
max_execution_time = 30
SQL注入防护:
magic_quotes_gpc = Off
XSS防护:
html_errors = Off
安全模式(已弃用,但可以作为参考):
safe_mode = Off
编辑Apache的配置文件(通常位于 /etc/apache2/sites-available/000-default.conf),确保在 <VirtualHost> 块中包含以下内容:
<VirtualHost *:80>
ServerAdmin webmaster@localhost
DocumentRoot /var/www/html
DirectoryIndex index.php
Options Indexes FollowSymLinks
AllowOverride All
Require all granted
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>
编辑Nginx的配置文件(通常位于 /etc/nginx/sites-available/default),确保在 server 块中包含以下内容:
server {
listen 80 default_server;
listen [::]:80 default_server;
root /var/www/html;
index index.php index.html index.htm index.nginx-debian.html;
server_name _;
location / {
try_files $uri $uri/ =404;
}
location ~ \.php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/var/run/php/php7.4-fpm.sock;
}
location ~ /\.ht {
deny all;
}
}
samesite 标志。将会话数据存储在安全位置,如数据库或加密文件。session_start([
'cookie_secure' => true,
'cookie_samesite' => 'strict',
'cookie_httponly' => true
]);
session_regenerate_id(true);
实施CSRF防护措施:为每个表单生成唯一的令牌,防止CSRF攻击。
输入校验:对所有输入进行校验,拒绝不符合预期格式的数据,以防止恶意输入导致的安全漏洞。
使用UTF-8编码:在PHP脚本开头设置UTF-8编码,以保证数据的一致性,并避免编码漏洞。
第三方类库的安全:使用受信任的源获取第三方类库,并保持类库更新到最新版本,以减少潜在的安全风险。
加密和随机数质量:使用安全的加密算法和良好的随机源,以增强数据的安全性。
定期审查PHP和Web服务器的配置,确保其符合最新的安全标准和最佳实践。
通过以上步骤,您可以显著提高Ubuntu系统上PHP应用程序的安全性。务必定期更新和维护您的系统和软件包,以保持其安全性。