Debian PHP安全性检查清单

在 Debian 系统上配置和检查 PHP 安全性涉及多个步骤。以下是一个详细的安全检查清单：

1. 安装必要的软件包

确保已安装 PHP 和 Web 服务器（Apache 或 Nginx）。

安装 PHP 模块：

sudo apt update
sudo apt install php libapache2-mod-php

或

sudo apt install php-fpm

2. 配置 Web 服务器

配置 Apache

编辑 Apache 配置文件以启用必要的模块和设置：

sudo cp /etc/php/8.2/fpm/pool.d/www.conf{,_bak}
sudo sed -i 's/listen  .*/listen  0.0.0.0:9000/' /etc/php/8.2/fpm/pool.d/www.conf
sudo sed -i -e "/pm.max_requests/s/;//" -e '/pm.max_requests/s/500/3000/' /etc/php/8.2/fpm/pool.d/www.conf
sudo sed -i '/pm.status_listen/s/;//' /etc/php/8.2/fpm/pool.d/www.conf
sudo sed -i '/pm.status_path/s/;//' /etc/php/8.2/fpm/pool.d/www.conf
sudo systemctl restart php8.2-fpm

配置 Nginx

确保在配置文件中正确设置了 PHP 处理：

server {
    listen 80;
    server_name example.com;
    root /var/www/html;
    index index.php index.html index.htm;
    location / {
        try_files uri uri / 404;
    }
    location ~ \.php$ {
        include snippets/fastcgi-php.conf;
        fastcgi_pass unix:/var/run/php/php8.2-fpm.sock;
    }
}

3. 配置防火墙

使用 iptables 或其他防火墙工具限制访问权限，仅允许必要的端口（如 HTTP、HTTPS 和 SSH）连接：

sudo apt install iptables
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables-save
sudo systemctl restart iptables

4. 强化密码策略

通过 PAM 模块强化密码策略，要求密码包含字母、数字和特殊字符的组合，并定期更新密码。

5. 使用 SSH 密钥对认证

配置 SSH 服务使用密钥对认证，禁用 root 远程登录，禁止使用空密码登录：

sudo nano /etc/ssh/sshd_config
# 设置 PermitRootLogin no
# 设置 PasswordAuthentication no
sudo systemctl restart sshd

6. 定期更新系统和软件

保持系统和软件的最新状态，以修补已知的安全漏洞：
```
sudo apt update
sudo apt upgrade
```

7. 禁用不必要的服务和端口

禁用不必要的服务和端口，减少潜在的攻击面。

8. 定期审计和日志监控

定期检查 Apache 的访问日志和错误日志，及时发现异常请求或攻击行为。使用日志监控工具如 GoAccess 或 Awstats 进行详细的访问统计和安全警告。

9. 禁用不必要的 Apache 模块

关闭和精简不需要的 Apache 模块，以减少潜在的安全风险。

10. 防止信息泄露

隐藏 Apache 的版本和操作系统信息，以防止攻击者利用这些信息找到可利用的漏洞。
在 PHP 配置文件中禁用 expose_php 选项。
禁用自动索引模块，以防止目录列表泄露。

通过以上步骤，你可以显著提高 Debian 系统上 PHP 应用的安全性。务必定期检查和更新安全配置，以应对不断变化的安全威胁。