保持系统和软件包最新
定期运行sudo apt update && sudo apt upgrade -y命令,及时修补Debian系统、PHP及关联组件(如Web服务器、数据库)的安全漏洞,减少被已知攻击利用的风险。
优化PHP核心配置(php.ini)
display_errors设置为Off,避免将数据库结构、路径等敏感信息直接暴露给攻击者;同时配置error_log(如/var/log/php_errors.log)记录错误详情,便于后续排查。expose_php = Off,防止HTTP响应头中泄露PHP版本(如X-Powered-By: PHP/8.2.0),降低针对性攻击的概率。register_globals设置为Off(PHP 5.4+默认禁用),避免表单提交的数据自动注册为全局变量,减少SQL注入、代码执行等脚本注入风险。open_basedir指定PHP可访问的目录(如/var/www:/tmp),防止通过PHP脚本非法读取系统敏感文件(如/etc/passwd)。allow_url_fopen和allow_url_include设置为Off,阻断通过URL访问远程文件或包含远程脚本的行为(如include('http://malicious-site.com/code.php')),防范远程代码执行攻击。安装安全扩展(如Suhosin)
Suhosin是PHP的强化扩展,可抵御缓冲区溢出、格式化字符串、会话固定等高级攻击。安装步骤:下载源码包(如suhosin-0.9.37.1.tar.gz),解压后执行phpize && ./configure --with-php-config=/usr/local/bin/php-config && make && make install,最后在php.ini中添加extension=suhosin.so启用扩展。
强化Web服务器配置
mod_security(Web应用防火墙模块),过滤恶意请求;配置php.ini中的cgi.fix_pathinfo=0,防止路径遍历攻击(如/wp-admin/../etc/passwd)。fastcgi_pass指向PHP-FPM的Unix套接字(如unix:/var/run/php/php8.2-fpm.sock),避免通过TCP暴露PHP-FPM端口;设置location ~ \.php$块,限制仅处理.php文件。配置防火墙限制访问
使用ufw(Uncomplicated Firewall)简化规则配置:运行sudo ufw enable启用防火墙,允许HTTP(80/tcp)、HTTPS(443/tcp)和SSH(22/tcp)端口,拒绝其他不必要的入站流量(如sudo ufw deny 21/tcp禁用FTP),仅允许可信IP访问管理端口(如SSH)。
加强用户与权限管理
sudo useradd -m myuser && sudo usermod -aG sudo myuser),通过sudo命令临时提权执行管理任务。/etc/ssh/sshd_config中的PermitRootLogin no)、禁用密码认证(设置PasswordAuthentication no),强制使用SSH密钥对认证(将公钥添加至~/.ssh/authorized_keys),降低SSH暴力破解风险。部署应用层安全工具
使用CrowdSec等开源防护工具,通过分析用户行为识别恶意请求(如暴力破解、爬虫、SQL注入),自动拦截攻击IP。安装后配置crowdsec服务,订阅规则集(如php相关规则),实时防护PHP应用免受常见攻击。
定期审计与监控
/var/log/php_errors.log(PHP错误日志)、/var/log/apache2/access.log(Apache访问日志)或/var/log/nginx/access.log(Nginx访问日志),关注异常请求(如大量POST请求、访问/admin路径的陌生IP)。sudo fail2ban-client set ssh banip 192.168.1.100);或使用Logwatch生成每日安全报告,汇总异常活动。