1. 更新系统与PHP-FPM至最新版本
定期运行sudo apt update && sudo apt upgrade -y,确保Ubuntu系统、PHP核心及PHP-FPM组件安装最新安全补丁,修复已知漏洞。
2. 以非特权用户/组运行PHP-FPM
修改PHP-FPM进程池配置文件(路径如/etc/php/8.2/fpm/pool.d/www.conf),将user和group设置为非root的低权限用户(通常为www-data),避免进程越权访问系统文件。
3. 配置安全的监听方式(优先使用Unix Socket)
将listen指令从默认的127.0.0.1:9000改为Unix Socket(如/run/php/php8.2-fpm.sock),并设置正确的权限:
listen = /run/php/php8.2-fpm.sock
listen.owner = www-data
listen.group = www-data
listen.mode = 0660
Socket文件仅能被本地进程访问,比TCP端口更安全。
4. 限制进程资源与请求数量
在进程池配置中调整以下参数,防止资源耗尽攻击:
pm.max_children:根据服务器内存设置(如512MB内存建议设为20-30),限制最大子进程数;pm.max_requests:每个工作进程处理指定请求数后重启(如pm.max_requests = 500),避免内存泄漏累积。5. 禁用危险PHP函数与限制文件访问
php.ini中禁用高危函数(如eval、exec、system、passthru、shell_exec):disable_functions = eval,exec,passthru,shell_exec,system
open_basedir限制PHP脚本访问范围(如仅允许访问Web根目录):open_basedir = /var/www/html/:/tmp/
/etc/passwd)。6. 配置防火墙限制访问
使用UFW(Uncomplicated Firewall)仅允许必要流量:
sudo ufw allow 80/tcp; sudo ufw allow 443/tcp;sudo ufw allow 9000/tcp;sudo ufw enable。7. 启用PHP安全日志与监控
www.conf中开启慢日志,定位性能瓶颈或恶意脚本:request_slowlog_timeout = 10s
slowlog = /var/log/php-fpm/www-slow.log
php.ini中日志记录开启:log_errors = On,并指定日志路径(如error_log = /var/log/php_errors.log);tail -f /var/log/php-fpm/error.log),及时发现异常请求。8. 使用SELinux或AppArmor加强权限控制
sudo chcon -Rv --type=httpd_sys_content_t /var/www/html;/etc/apparmor.d/usr.sbin.php-fpm策略允许访问必要目录(如Web根目录、临时目录),并通过sudo aa-enforce /etc/apparmor.d/usr.sbin.php-fpm启用强制模式。9. 配置HTTPS加密传输
使用Let’s Encrypt免费获取SSL证书,强制网站使用HTTPS(如Nginx配置中添加listen 443 ssl;并指定证书路径),防止数据在传输过程中被窃取或篡改。
10. 定期备份与安全审计
/var/www/html)和数据库(如MySQL),可使用rsync或工具如Duplicati;Lynis)进行系统安全审计,检测配置漏洞并及时修复。