centos下php安全配置有哪些要点

1. 系统及PHP基础安全维护
保持CentOS系统和PHP为最新版本，及时安装安全补丁以修复已知漏洞。使用sudo yum update -y命令更新系统及PHP相关包。

2. 防火墙与网络访问控制
通过Firewalld限制对PHP服务的访问，仅开放必要端口（如HTTP 80、HTTPS 443）。示例命令：

sudo yum install firewalld -y
sudo systemctl start firewalld
sudo firewall-cmd --zone=public --add-port=80/tcp --permanent
sudo firewall-cmd --zone=public --add-port=443/tcp --permanent
sudo firewall-cmd --reload

此操作可阻断非法IP对PHP应用的探测与攻击。

3. PHP配置文件（php.ini）关键安全设置

• 关闭错误显示：生产环境中禁用错误回显，防止敏感信息（如数据库结构、路径）泄露。设置：

  display_errors = Off
  log_errors = On
  error_log = /var/log/php_errors.log
  

• 禁用危险函数：禁止执行系统命令、文件操作等高危函数，降低代码执行风险。常见禁用列表：

  disable_functions = eval,exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source
  

• 限制文件访问路径：通过open_basedir约束PHP脚本仅能访问指定目录（如网站根目录），防止遍历系统文件。设置：

  open_basedir = /var/www/html/:/tmp/
  

• 控制文件上传：限制上传文件大小（避免大文件消耗服务器资源）及类型（如仅允许图片、文档），并存储在非web可访问目录（需后续通过代码移动至目标目录）。设置：

  upload_max_filesize = 2M
  post_max_size = 8M
  file_uploads = On
  

• 强化会话安全：通过Cookie属性防止会话劫持。设置：

  session.cookie_secure = On    # 仅通过HTTPS传输Cookie
  session.cookie_httponly = On  # 禁止JavaScript访问Cookie
  session.cookie_samesite = Strict  # 限制Cookie在跨站请求时不被发送
  session.gc_maxlifetime = 1440 # 会话有效期（分钟）
  

• 隐藏PHP版本信息：避免通过HTTP头暴露PHP版本，减少针对性攻击。设置：

  expose_php = Off
  

以上配置需编辑/etc/php.ini文件，修改后重启Web服务（Apache/Nginx）生效。

4. PHP-FPM安全配置（若使用）
若采用PHP-FPM处理PHP请求，需修改其配置文件（/etc/php-fpm.d/www.conf），确保：

• 以非root用户运行：降低权限提升风险。设置：

  user = apache  # 或nginx（根据Web服务器用户调整）
  group = apache
  

• 限制可执行的文件扩展名：仅允许PHP相关文件解析。设置：

  security.limit_extensions = .php .php3 .php4 .php5 .php7
  

修改后重启PHP-FPM服务：sudo systemctl restart php-fpm。

5. 安全扩展安装与配置

• ModSecurity：部署开源Web应用防火墙（WAF），拦截SQL注入、XSS等常见攻击。安装命令：

  sudo yum install mod_security -y
  sudo systemctl enable mod_security
  sudo systemctl start mod_security
  

• 其他扩展：安装增强安全性的扩展（如php-mcrypt（注意：新版本可能移除）、php-gd、php-mbstring），提升数据处理与加密能力。

6. HTTPS加密传输
通过SSL/TLS证书加密网站流量，保护用户敏感信息（如密码、支付信息）。步骤：

• 安装mod_ssl模块：sudo yum install mod_ssl openssl -y
• 配置证书：编辑/etc/httpd/conf.d/ssl.conf，指定证书路径（如SSLCertificateFile /path/to/cert.pem、SSLCertificateKeyFile /path/to/key.pem）
• 重启Apache：sudo systemctl restart httpd
  确保证书由受信任的证书颁发机构（CA）签发，避免自签名证书引发的浏览器警告。

7. 输入验证与输出编码

• 输入验证：对用户提交的表单数据（如用户名、密码）进行格式检查（如邮箱格式、长度限制），拒绝非法字符（如 jindouyun.cn. All Rights Reserved. 筋斗云 版权所有 | 粤ICP备13013545号 | 增值电信业务经营许可证： 粤B1-20215235 | 粤公网安备 44070302000974号
违法和不良信息举报中心   24 小时违法和不良信息举报热线：4006783389，举报邮箱：jubao@jindouyun.cn