Linux服务器如何安全运行Laravel

Linux服务器安全运行 Laravel 的实用清单

一 基础环境加固

• 保持系统与软件为最新稳定版：及时更新 Linux 发行版、PHP、Nginx/Apache、数据库、Composer，第一时间获取安全修复。
• 最小暴露面：仅开放必要端口（如 80/443/22），数据库端口（如 3306）仅内网可达；使用 UFW/firewalld 或云安全组进行白名单控制。
• SSH 安全：禁用密码登录，使用 SSH 密钥；限制可登录用户与来源 IP；必要时通过 跳板机访问。
• 入侵防护：启用 fail2ban 对暴力登录进行封禁；关闭不必要的系统服务与内核模块。
• 数据库加固：设置 强口令、限制数据库账户权限为最小必要；禁止远程 root 登录；如条件允许走 内网/VPC 访问。
  以上措施能显著降低被入侵与横向渗透的风险。

二 Web 服务器与 PHP 安全配置

• 站点根目录必须指向 public/，禁止直接暴露应用代码；Nginx 使用 try_files $uri $uri/ /index.php?$query_string; 统一入口。
• 隐藏敏感资源：禁止访问 .env、.git 等文件（如 Nginx 配置 location ~ /.(?!well-known).* { deny all; }）。
• PHP 安全：在 php.ini 中关闭 display_errors，仅记录错误日志；禁用危险函数（如 exec、shell_exec、passthru、proc_open 等）；设置合适的 open_basedir 限制脚本访问范围。
• 进程与权限：PHP-FPM 以 www-data 等低权限用户运行；Web 与 FPM 使用 Unix Socket 通信优先于 TCP。
• 安全响应头：启用 X-Frame-Options、X-XSS-Protection、X-Content-Type-Options、Content-Security-Policy 等浏览器安全头，降低 XSS 与点击劫持风险。
  这些配置能减少攻击面并提升运行期安全。

三 Laravel 应用层安全

• 生产环境必须设置 APP_ENV=production、APP_DEBUG=false，避免泄露堆栈与配置。
• 使用 php artisan key:generate 生成应用密钥，确保 APP_KEY 强度足够并妥善保存。
• 强制 HTTPS：将 APP_URL 配置为 https://，并在 Web 服务器或负载均衡层做 HTTP→HTTPS 301 重定向。
• 防护机制：启用并正确使用 CSRF 令牌、表单请求验证、Eloquent 参数绑定/查询构造器（避免 whereRaw/selectRaw 拼接用户输入），防范 SQL 注入 与 XSS。
• 会话与 Cookie：配置 secure、httpOnly、sameSite 等安全属性，设置合理会话超时。
• 文件上传：限制 类型/大小，存储于 storage/app/public 并通过 符号链接或 CDN 访问；对上传内容做 病毒/恶意文件扫描。
• 依赖与代码：定期执行 composer update 与安全审计，移除无用依赖；使用 Dependabot/Snyk 等工具监测漏洞；严格 .gitignore 管理 .env 等敏感文件。
• 可选增强：启用 请求频率限制、部署 内容安全策略（CSP） 与 安全审计/渗透测试 常态化。
  以上做法覆盖 Laravel 常见攻击面，兼顾开发到生产的全链路安全。

四 运维与监控

• 日志与审计：开启并轮转 Laravel 日志 与 Web/系统日志；集中到 ELK/Graylog 等平台进行告警与审计。
• 监控与告警：部署 Nagios/Zabbix/Prometheus 等监控，对异常流量、登录失败、队列堆积、磁盘/CPU 异常进行告警。
• 备份与恢复：制定 每日增量/每周全量 备份策略，覆盖 代码、.env、数据库与存储；定期演练恢复流程并保留 离线/异地 副本。
• 队列与常驻进程：使用 Supervisor 管理 queue:work/horizon，设置运行用户、进程数与日志路径，确保异常自动重启。
• 持续更新与演练：定期更新 框架与依赖、修补漏洞；开展 应急预案演练 与 安全配置基线检查。
  完善的运维与监控体系可在事件发生时快速发现、定位与恢复。

五 一键最小安全配置示例

• Nginx 站点片段（强制 HTTPS 与安全头）

server {
    listen 80;
    server_name yourdomain.com;
    return 301 https://$host$request_uri;
}
server {
    listen 443 ssl http2;
    server_name yourdomain.com;

    ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;
    include /etc/letsencrypt/options-ssl-nginx.conf;
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;

    root /var/www/yourproject/public;
    index index.php;

    location / {
        try_files $uri $uri/ /index.php?$query_string;
    }

    location ~ \.php$ {
        include snippets/fastcgi-php.conf;
        fastcgi_pass unix:/var/run/php/php8.1-fpm.sock;
        fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
        include fastcgi_params;
    }

    location ~ /\.(?!well-known).* {
        deny all;
    }

    add_header X-Frame-Options "SAMEORIGIN";
    add_header X-XSS-Protection "1; mode=block";
    add_header X-Content-Type-Options "nosniff";
    add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; object-src 'none';";
}

• 目录权限与所有权

chmod -R 755 storage bootstrap/cache
chown -R www-data:www-data storage bootstrap/cache

• 生产环境常用命令

php artisan key:generate
php artisan config:cache
php artisan route:cache
php artisan view:cache
php artisan migrate --force

• Supervisor 示例（/etc/supervisor/conf.d/laravel-worker.conf）

[program:laravel-worker]
process_name=%(program_name)s_%(process_num)02d
command=php /var/www/yourproject/artisan queue:work --sleep=3 --tries=3
autostart=true
autorestart=true
user=www-data
numprocs=2
redirect_stderr=true
stdout_logfile=/var/log/laravel-worker.log

以上示例可直接用于最小安全基线的落地与验证。