Ubuntu PHP安全设置指南

在Ubuntu系统中配置PHP环境并确保其安全性是一个重要的任务。以下是一个详细的指南，涵盖了从安装到安全配置的各个方面。

安装LAMP环境

首先，通过以下命令安装LAMP（Linux, Apache, MySQL, PHP）环境：

sudo apt-get update
sudo apt-get install lamp-server^

在安装过程中，系统会提示你设置MySQL的root密码，请务必记住该密码。

配置Apache和PHP

安装完成后，可以通过以下步骤检查和配置Apache和PHP：

1. 检查Apache配置： 确保Apache配置文件中禁用了不必要的模块和信息泄露。编辑/etc/apache2/apache2.conf文件，确保以下设置：

   ErrorLog ${APACHE_LOG_DIR}/error.log
   CustomLog ${APACHE_LOG_DIR}/access.log combined
   

2. 配置PHP： 编辑/etc/php/7.x/apache2/php.ini（具体版本号请根据实际情况替换），进行以下配置：

   • 禁用不必要的模块：

     ;extension=php_mysql.dll
     ;extension=php_curl.dll
     

   • 限制PHP信息泄露：

     expose_php = Off
     

   • 禁用危险函数：

     disable_functions = eval, exec, system, passthru, shell_exec, popen, curl_exec, curl_multi_exec, parse_ini_file, show_source
     

配置防火墙

使用UFW（Uncomplicated Firewall）配置防火墙规则，允许必要的端口和服务，禁止不必要的入站和出站连接：

sudo ufw allow 22/tcp  # 允许SSH
sudo ufw allow 80/tcp  # 允许HTTP
sudo ufw allow 443/tcp # 允许HTTPS
sudo ufw enable

设置强密码策略

通过修改/etc/login.defs和/etc/pam.d/system-auth文件，设置密码的最小使用天数和复杂度要求：

PASSWORD_MAX_AGE 90
PASSWORD_EXPIRE_DATE 1
password requisite pam_pwquality.so retry=3 authtok_type=

禁用不必要的SSH登录

修改SSH配置文件/etc/ssh/sshd_config，禁用root登录，使用密钥认证代替密码认证：

PermitRootLogin no
PasswordAuthentication no

定期更新系统和软件包

保持系统和软件包的最新状态，以修复已知的安全漏洞：

sudo apt update
sudo apt upgrade

监控和日志记录

使用工具如logwatch或fail2ban监控系统日志，及时发现异常行为：

sudo apt install logwatch
sudo systemctl enable logwatch
sudo systemctl start logwatch

使用安全模块

启用mod_security和mod_evasive等Apache模块来防止攻击：

sudo a2enmod security2

加密PHP文件

可以使用PHP的内建加密函数或第三方工具如ionCube来加密PHP文件，以防止源代码泄露。

通过以上步骤，你可以显著提高Ubuntu系统上PHP环境的安全性，减少潜在的风险和攻击面。请根据最新的Ubuntu版本和PHP版本调整配置参数，并定期关注安全动态，及时应用安全补丁。