Ubuntu PHP-FPM的安全设置是确保服务器安全性的重要步骤。以下是一些关键的安全设置要点:
sudo apt update
sudo apt upgrade
sudo apt install php-fpm php-mysql
配置监听地址和端口:默认情况下,PHP-FPM会监听127.0.0.1:9000。如果需要更改监听地址或端口,可以编辑 /etc/php/{version}/fpm/pool.d/www.conf 文件,找到 listen 配置项,并进行相应的更改。
设置正确的用户和用户组:PHP-FPM需要运行在一个用户和用户组下。建议使用非root用户运行PHP-FPM以提高安全性。编辑 www.conf 文件中的 user 和 group 配置项。
配置防火墙:使用 ufw 设置防火墙规则,限制对PHP-FPM端口的访问。
sudo ufw allow 9000/tcp
禁用不必要的PHP功能:在 php.ini 文件中禁用不必要的函数,如 exec、shell_exec、system 等。关闭 display_errors 设置,以防止错误信息泄露。
限制文件上传:在 php.ini 中设置文件上传限制,防止上传恶意文件。
配置 open_basedir:在 php.ini 文件中设置 open_basedir,限制PHP脚本能够访问的文件和目录范围,防止访问敏感文件。
启用OPcache:OPcache可以缓存PHP脚本编译后的字节码,提高执行性能并减少服务器负载。在 php.ini 文件中启用OPcache,并配置相关参数。
定期审计和监控:定期审计系统和应用程序日志,监控异常行为。
通过以上步骤和建议,你可以有效地加固Ubuntu系统上的PHP-FPM,提高服务器的安全性和稳定性。