如何保护Ubuntu PHP日志

Ubuntu PHP日志保护实操清单

一 基础防护配置

• 关闭错误回显，防止敏感堆栈与路径暴露：在 /etc/php/{版本}/{sapi}/php.ini 中设置 display_errors = Off，开启 log_errors = On，并指定专用日志文件（如 error_log = /var/log/php_errors.log）。修改后重启 Apache/Nginx 生效。
• 控制日志级别，避免记录敏感数据：将 error_reporting 调整为仅记录必要级别（如 E_ALL & ~E_DEPRECATED & ~E_STRICT 或生产环境更保守的策略），禁止记录密码、信用卡等敏感信息。
• 限制脚本可访问范围与远程包含：设置 open_basedir 仅允许访问项目目录；关闭 allow_url_fopen 与 allow_url_include，降低通过日志或包含点外带数据的风险。
• 禁用危险函数：在 php.ini 的 disable_functions 中禁用 eval、exec、shell_exec、passthru、system、popen 等，减少日志被滥用触发命令执行的可能。

二 权限与所有权

• 存放位置：将日志置于 /var/log/ 下的专用目录（如 /var/log/php/），确保不在 Web 根目录 下，避免被直接访问。
• 所有权与权限：日志目录权限 700/750，日志文件 600/640；文件属主/属组设为 www-data:www-data（或相应的 Web/FPM 运行用户/组），保证服务可写、其他用户不可读。
• 多用户运维场景：创建专用组（如 log_access），将运维账号加入该组，日志文件属组设为该组并使用 640，实现最小权限共享。
• 示例命令：
  • 创建目录与授权：
    sudo mkdir -p /var/log/php
    sudo chown www-data:www-data /var/log/php
    sudo chmod 750 /var/log/php
  • 授权运维组：
    sudo groupadd -f log_access
    sudo usermod -aG log_access alice
    sudo chown www-data:log_access /var/log/php/php_errors.log
    sudo chmod 640 /var/log/php/php_errors.log

三 日志轮转与保留

• 使用 logrotate 管理日志生命周期：创建 /etc/logrotate.d/php，设置按日/大小轮转、保留份数、压缩与延迟压缩、以及轮转后执行权限修复与通知。
• 示例配置（/etc/logrotate.d/php）：
  /var/log/php/*.log {
  daily
  rotate 30
  missingok
  compress
  delaycompress
  notifempty
  create 640 www-data www-data
  sharedscripts
  postrotate
  systemctl reload apache2 >/dev/null 2>&1 || true
  systemctl reload php-fpm7.4 >/dev/null 2>&1 || true
  endscript
  }
• 关键点：轮转后使用 create 重置权限；对 FPM 场景在 postrotate 中 reload 使其重新打开日志文件。

四 传输与静态加密及完整性

• 传输加密：日志集中或远程采集时，使用 TLS/SSL 加密通道（如 rsyslog over TLS、Filebeat/Logstash 到 Elasticsearch 的加密传输）。
• 静态加密：对含高敏日志的目录启用 磁盘/文件系统加密（如 LUKS）或在写入前对敏感字段进行 脱敏/加密（如 AES-256），降低介质被盗后的泄露风险。
• 完整性校验：定期计算并记录日志 哈希值（如 SHA-256），或使用 不可变属性（chattr +i）与集中式审计，防止篡改与伪造。
• 备份与隔离：将归档与备份存放在 隔离存储，并设置最小访问权限与异地/离线副本策略。

五 监控审计与响应

• 集中化与告警：使用 ELK Stack（Elasticsearch/Logstash/Kibana）、Graylog 或 Splunk 进行收集、分析与可视化；对异常关键字（如 PHP Fatal error、SQL Injection、LFI/RFI）设置实时告警。
• 审计与合规：定期审计日志访问与变更，启用 进程/文件完整性监控（如 AIDE），对关键操作（登录、权限变更、配置修改）建立审计线索。
• 运行时防护：在 Web 端部署 WAF/安全模块（如 mod_security、mod_evasive），降低日志被攻击面与滥用风险。
• 维护与更新：保持 PHP、Web 服务器、日志组件 与安全模块的最新版本，及时修补漏洞并清理过期日志。