阅读量:35
PHP在Debian中的安全设置
1. 系统与软件基础安全
- 保持系统与PHP更新:定期运行
sudo apt update && sudo apt upgrade -y,修补系统漏洞与PHP已知安全问题,避免黑客利用旧版本缺陷攻击。 - 强化SSH访问:禁用root远程登录(修改
/etc/ssh/sshd_config中PermitRootLogin no)、启用SSH密钥认证(替换PasswordAuthentication yes为no)、更改默认SSH端口(如改为2222),降低SSH暴力破解风险。
2. PHP核心配置安全
- 隐藏错误信息:在
/etc/php/{version}/fpm/php.ini(PHP-FPM)或/etc/php/{version}/apache2/php.ini(Apache)中设置display_errors = Off,并开启日志记录(log_errors = On、error_log = /var/log/php_errors.log),避免敏感信息(如数据库凭证、服务器路径)泄露给攻击者。 - 隐匿PHP版本:将
expose_php = Off,防止HTTP响应头中暴露PHP版本(如X-Powered-By: PHP/8.2.0),减少针对性攻击的可能。 - 禁用全局变量:设置
register_globals = Off,避免表单提交的数据自动成为全局变量(如$_GET['name']可直接通过$name访问),降低脚本注入风险。 - 限制文件访问范围:使用
open_basedir约束PHP可访问的目录(如open_basedir = /var/www/html:/tmp),防止非法访问系统敏感文件(如/etc/passwd、/etc/shadow)。注意:多个目录用冒号分隔,且需包含网站根目录。 - 禁止远程资源访问:设置
allow_url_fopen = Off、allow_url_include = Off,阻止通过URL加载外部文件(如include('http://malicious-site.com/script.php'))或包含远程资源,防范远程代码执行漏洞。
3. 安全扩展部署
- 安装Suhosin防护模块:Suhosin是PHP增强安全扩展,可抵御缓冲区溢出、格式化字符串、会话固定等攻击。编译安装步骤:下载源码(
wget http://download.suhosin.org/suhosin-0.9.37.1.tar.gz)、解压编译(tar zxvf suhosin-*.tar.gz && cd suhosin-* && phpize && ./configure --with-php-config=/usr/bin/php-config && make && make install),最后在php.ini中添加extension=suhosin.so并重启PHP服务。
4. Web服务器配置
- Nginx配置:确保Nginx正确代理PHP请求,在
/etc/nginx/sites-available/default中添加PHP处理块:location ~ \.php$ { include snippets/fastcgi-php.conf; fastcgi_pass unix:/var/run/php/php{version}-fpm.sock; # 替换为实际PHP版本 fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; include fastcgi_params; }sudo systemctl restart nginx)使配置生效。 - Apache配置:启用必要模块(
sudo a2enmod rewrite actions cgi alias),配置PHP-FPM监听(修改/etc/php/{version}/fpm/pool.d/www.conf中listen = /run/php/php{version}-fpm.sock),并重启Apache(sudo systemctl restart apache2)。
5. 防火墙与网络隔离
- 配置UFW防火墙:启用UFW(
sudo ufw enable),仅允许HTTP(80/tcp)、HTTPS(443/tcp)、SSH(22/tcp)等必要端口,拒绝其他非法访问:
可通过sudo ufw allow 80/tcp sudo ufw allow 443/tcp sudo ufw allow 22/tcp sudo ufw reloadsudo ufw status查看规则状态。
6. 日志与监控
- 定期审计日志:每日检查PHP错误日志(
/var/log/php_errors.log)、Nginx/Apache访问日志(/var/log/nginx/access.log、/var/log/apache2/access.log),识别异常请求(如大量404错误、可疑POST请求)。 - 部署Fail2ban:通过
sudo apt install fail2ban安装,配置jail.local文件监控PHP相关日志(如/var/log/php_errors.log),自动封禁频繁攻击的IP地址(如5分钟内尝试登录失败10次),降低暴力破解风险。