Ubuntu PHP安全怎样保障 - 问答

1. 系统与PHP版本更新
保持Ubuntu系统和PHP及其扩展为最新版本，及时修复已知安全漏洞。使用以下命令更新系统及PHP：

sudo apt update && sudo apt upgrade -y
sudo apt install php php-cli php-fpm php-mysql php-curl php-xml php-zip php-gd php-mbstring php-pear php-bcmath --only-upgrade

定期检查Ubuntu安全公告和PHP官方更新，确保第一时间应用补丁。

2. PHP配置文件安全优化
编辑PHP配置文件（根据运行模式选择/etc/php/{version}/apache2/php.ini或/etc/php/{version}/fpm/php.ini），调整以下关键参数：

关闭错误泄露：禁用详细错误显示，将错误记录到日志文件，避免暴露系统路径、数据库结构等信息。
```
display_errors = Off
log_errors = On
error_log = /var/log/php_errors.log
```

禁用危险函数：禁止执行系统命令、文件操作等高危函数，防止恶意代码执行。

disable_functions = eval,exec,system,passthru,shell_exec,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source

限制文件上传：约束上传文件大小（避免大文件消耗服务器资源），并禁止执行上传目录中的PHP文件。
```
upload_max_filesize = 2M
post_max_size = 8M
file_uploads = On
```
在Web服务器配置中添加规则（如Nginx的deny all或Apache的<FilesMatch "\.(php|php5|php7)$">deny all</FilesMatch>）。

3. Web服务器安全配置

Apache：启用mod_security（Web应用防火墙）和mod_evasive（防暴力破解），隐藏版本信息。
```
sudo apt install libapache2-mod-security2
sudo a2enmod security2 evasive20
```
在配置文件中添加：
```
ServerTokens Prod
Header unset X-Powered-By
```
Nginx：禁用不必要的模块（如xmlrpc.php），限制敏感页面访问（如登录页仅允许可信IP）。
```
location = /xmlrpc.php { deny all; }
location = /wp-login.php { allow 192.168.1.1; deny all; }
```
确保server_tokens off;关闭版本信息。

4. 安全模块与防火墙

启用AppArmor：限制PHP进程权限，防止非法访问系统资源。

sudo aa-status  # 查看状态
sudo aa-enforce /etc/apparmor.d/usr.sbin.php-fpm  # 强制生效

配置UFW防火墙：仅允许必要端口（如HTTP 80、HTTPS 443、SSH 22），拒绝其他非法访问。

sudo apt install ufw
sudo ufw allow 'Nginx Full'  # 或 'Apache Full'
sudo ufw allow ssh
sudo ufw enable

安装Fail2Ban：防范SSH暴力破解，自动封禁多次尝试的IP。
```
sudo apt install fail2ban
sudo systemctl enable --now fail2ban
```
复制配置文件cp /etc/fail2ban/jail.local /etc/fail2ban/jail.local.local并修改阈值。

5. 会话与会话安全管理

强化会话Cookie：设置HttpOnly（防止XSS窃取Cookie）、Secure（仅HTTPS传输）属性。
```
session.cookie_httponly = On
session.cookie_secure = On
```
限制会话生命周期：设置合理的会话超时时间（如1小时），清理过期会话。
```
session.gc_maxlifetime = 3600
```
使用强密码哈希：采用password_hash()函数存储用户密码（默认使用 bcrypt 算法），避免明文存储。
```
$hashed_password = password_hash('user_password', PASSWORD_DEFAULT);
```
验证密码时使用password_verify()函数。

6. 数据库安全防护

限制数据库用户权限：创建专用数据库用户，仅授予必要权限（如SELECT、INSERT），避免使用root账户连接。

CREATE USER 'app_user'@'localhost' IDENTIFIED BY 'StrongPassword123!';
GRANT SELECT, INSERT, UPDATE ON app_db.* TO 'app_user'@'localhost';
FLUSH PRIVILEGES;

使用预处理语句：防止SQL注入攻击，推荐使用PDO或MySQLi扩展。

$stmt = $pdo->prepare("SELECT * FROM users WHERE email = :email");
$stmt->bindParam(':email', $email);
$stmt->execute();
$user = $stmt->fetch();

加密数据库连接：若数据库不在本地，使用SSL/TLS加密连接（如MySQL的ssl-ca参数）。

7. HTTPS加密与证书管理
使用Let’s Encrypt免费获取SSL证书，启用HTTPS加密数据传输，防止中间人攻击。

sudo apt install certbot python3-certbot-apache  # Apache
# 或
sudo apt install certbot python3-certbot-nginx  # Nginx
sudo certbot --apache -d yourdomain.com  # 替换为你的域名
sudo certbot --nginx -d yourdomain.com

证书到期前自动续期（Let’s Encrypt支持自动续期）。

8. 日志监控与安全审计

启用日志记录：确保PHP错误日志、Web服务器访问日志（/var/log/apache2/access.log/error.log或/var/log/nginx/access.log/error.log）开启，并定期检查异常请求（如大量404错误、POST请求到敏感页面）。

使用监控工具：通过auditd监控PHP文件变动（如上传目录、配置文件），及时发现非法篡改。

sudo apt install auditd
sudo auditctl -w /var/www/html -p wa -k php_files  # 监控/var/www/html目录
sudo ausearch -k php_files  # 查看监控日志

定期安全审计：使用工具（如PHP Security Advisories Checker）扫描代码，查找已知漏洞；手动检查代码中的输入验证、输出转义等安全实践。

9. 文件与目录权限控制

设置正确权限：PHP文件及目录归属www-data用户（Web服务器运行用户），目录权限设为755（允许遍历），文件权限设为644（禁止写入）。
```
sudo chown -R www-data:www-data /var/www/html
sudo find /var/www/html -type d -exec chmod 755 {} \;
sudo find /var/www/html -type f -exec chmod 644 {} \;
```
限制上传目录权限：上传目录（如/uploads）设置为755，禁止执行PHP文件（通过Web服务器配置），防止上传恶意脚本。

10. 安全编码实践

输入验证：对用户输入（如表单、URL参数）进行严格验证（如使用filter_var()函数验证邮箱、手机号），拒绝非法字符。
```
$email = filter_var($_POST['email'], FILTER_VALIDATE_EMAIL);
if (!$email) {
    die("Invalid email address");
}
```
输出转义：在输出到页面时，使用htmlspecialchars()函数转义特殊字符（如<、>），防止XSS攻击。
```
echo htmlspecialchars($user_input, ENT_QUOTES, 'UTF-8');
```
使用安全框架：选择经过安全审计的PHP框架（如Laravel、Symfony），利用其内置的安全功能（如CSRF防护、ORM防止SQL注入）。

0 赞

0 踩