如何在Ubuntu上提升Laravel安全性

Ubuntu上提升Laravel安全性的实操清单

一 系统与网络加固

• 保持系统与软件为最新稳定版，及时修补内核、Nginx/PHP/数据库等组件漏洞。
• 仅开放必要端口，使用UFW或firewalld限制访问：例如仅放行22/80/443；数据库默认仅127.0.0.1监听，禁止公网直连。
• 强制HTTPS：使用Let’s Encrypt签发证书并开启自动续期，配置HTTP到HTTPS重定向。
• 部署WAF（如 ModSecurity 或云WAF）缓解常见SQL注入/XSS/文件上传等攻击。
• 数据库安全：为数据库设置强随机密码、最小权限账户；如跨主机访问，使用SSH隧道/内网而非开放公网端口。

二 Laravel应用配置安全

• 生产环境务必设置：.env 中 APP_ENV=production、APP_DEBUG=false，APP_URL=https://...；使用 php artisan key:generate 生成唯一APP_KEY。
• 启用并正确使用CSRF保护：所有表单包含 @csrf，API使用Sanctum/Passport的令牌认证。
• 严格输入验证与输出转义，优先使用Eloquent/查询构造器，避免 whereRaw/selectRaw 拼接用户输入；如必须使用原生语句，采用参数绑定。
• 强制HTTPS：在路由或中间件中重定向HTTP到HTTPS，设置 SESSION_SECURE_COOKIE=true。
• 安全的会话管理：设置合理 lifetime，启用 http_only、same_site 策略，防止会话劫持。
• 实施速率限制：如 Route::middleware('throttle:60,1') 抵御暴力破解与滥用。
• 强化文件上传：限制类型/大小，存储到非Web可访问目录，必要时对可执行文件做MIME/扩展名校验与隔离执行。
• 部署时执行：composer install --no-dev，并运行 php artisan config:cache、route:cache、view:cache 提升性能与安全（变更配置后记得清缓存）。

三 文件与权限最小化

• 运行用户与组统一为www-data（或你的PHP-FPM运行用户），遵循“最小权限”原则。
• 仅赋予写入权限给必需目录：
  • storage/、bootstrap/cache 需www-data可写
  • 其余目录与PHP文件只读，避免被植入恶意代码
• 示例（按需替换路径）：
  • sudo chown -R www-data:www-data /var/www/laravel/storage
  • sudo chown -R www-data:www-data /var/www/laravel/bootstrap/cache
  • sudo chmod -R 775 /var/www/laravel/storage /var/www/laravel/bootstrap/cache
• 保护敏感文件：确保 .env 权限为600，禁止Web直接访问；.git 目录禁止对外暴露。

四 依赖与持续监控

• 持续更新Laravel与Composer依赖，及时获取安全补丁；可集成enlightn/security-checker定期扫描已知漏洞。
• 采用Git + CI/CD或零停机部署（如 Capistrano），避免FTP；出现问题时可快速回滚到上一个稳定版本。
• 配置日志与监控：开启Laravel日志，并接入ELK/Grafana Loki/Prometheus等集中监控与告警，定期审计异常登录、权限变更与大量失败请求。
• 建立备份与恢复机制（含数据库与附件存储），定期演练恢复流程。

五 快速检查清单

以上步骤按“系统→应用→权限→运维”的顺序实施，可在不影响业务连续性的前提下显著提升 Ubuntu 上 Laravel 应用的安全水位。