117笔记问答在Debian系统下进行PHP安全设置,可以参考以下步骤和建议:
1. 更新系统和软件包
- 保持系统和所有软件包都是最新的,以修补已知的安全漏洞。
sudo apt update && sudo apt upgrade
2. 配置PHP
- 编辑php.ini文件:
- 禁用错误显示,防止敏感信息泄露:
display_errors = Off
- 禁用PHP版本信息泄露:
expose_php = Off
- 关闭全局变量,减少脚本注入风险:
register_globals = Off
- 限制PHP可以访问的系统目录,使用
open_basedir:open_basedir = /var/www
- 禁止远程资源访问,防止文件包含漏洞:
allow_url_fopen = Off allow_url_include = Off
- 安装并配置Suhosin扩展,增强PHP的安全性:
wget http://download.suhosin.org/suhosin-0.9.37.1.tar.gz tar zxvf suhosin-0.9.37.1.tar.gz cd suhosin-0.9.37.1 phpize ./configure --with-php-config=/usr/local/bin/php-config make make install
在php.ini中添加:extension=suhosin.so
- 禁用错误显示,防止敏感信息泄露:
3. 配置Web服务器(如Apache)
- 使用PHP-FPM:
- 配置PHP-FPM监听地址和端口:
cp /etc/php/8.2/fpm/pool.d/www.conf{,_bak} sed -i 's/^listen = .*/listen = 0.0.0.0:9000/' /etc/php/8.2/fpm/pool.d/www.conf - 重启PHP-FPM服务:
sudo systemctl restart php8.2-fpm.service
- 配置PHP-FPM监听地址和端口:
4. 配置防火墙
- 使用
ufw或iptables限制入站和出站流量,仅允许必要的端口(如HTTP、HTTPS和SSH):sudo ufw enable sudo ufw allow 80/tcp sudo ufw allow 443/tcp sudo ufw allow 22/tcp sudo ufw reload
5. 强化SSH安全
- 配置SSH密钥对认证,禁用root远程登录,禁止使用空密码登录:
sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak sed -i 's/PermitRootLogin prohibit-password/PermitRootLogin no/' /etc/ssh/sshd_config sed -i 's/PermitRootLogin yes/PermitRootLogin no/' /etc/ssh/sshd_config sed -i 's/PasswordAuthentication yes/PasswordAuthentication no/' /etc/ssh/sshd_config sudo systemctl restart sshd
6. 定期审计和监控
- 定期检查系统日志和PHP错误日志,及时发现异常请求或攻击行为。
- 使用日志监控工具如
Logwatch或Fail2ban自动监控并报告系统活动。
通过上述步骤,可以显著提高Debian系统下PHP应用的安全性。建议定期审查和更新安全设置,以应对不断变化的安全威胁。