1. 最小化进程权限
确保PHP-FPM以非特权用户(如www-data)运行,修改配置文件(/etc/php/{version}/fpm/pool.d/www.conf)中的user和group参数;若使用Unix socket监听,需设置listen.owner、listen.group为www-data,listen.mode为0660,限制仅Web服务器用户可访问socket文件。
2. 限制监听方式与访问范围
优先使用Unix socket(而非TCP端口)进行本地通信,降低被远程扫描的风险;若必须使用TCP端口,需修改默认的9000端口为非标准端口,并通过防火墙(如ufw)限制仅可信IP(如Web服务器自身)访问该端口。
3. 禁用危险功能与函数
在php.ini中禁用高危函数(如exec、system、shell_exec、passthru),防止命令注入攻击;关闭allow_url_fopen和allow_url_include,杜绝远程文件包含(RFI)漏洞;设置expose_php = Off,隐藏PHP版本信息,减少针对性攻击。
4. 隔离脚本访问范围
通过open_basedir指令限制PHP脚本只能访问指定目录(如/var/www/html:/tmp),防止脚本越权访问系统敏感文件(如/etc/passwd)。需注意,open_basedir的路径需用冒号分隔,且不能包含符号链接。
5. 强化错误处理与日志监控
关闭错误显示(display_errors = Off),避免将服务器路径、数据库结构等敏感信息暴露给用户;开启错误日志(log_errors = On),并将日志记录到安全位置(如/var/log/php-fpm/error.log),定期检查日志以发现异常(如SQL注入尝试、文件上传漏洞利用)。
6. 配置文件与目录权限
确保PHP-FPM配置文件(如www.conf)的权限为640(所有者可读写,组可读,其他无权限);Web根目录(如/var/www/html)的所有者为www-data,权限设为755(目录)和644(文件),防止未授权修改。
7. 使用安全模块增强防护
启用Web应用防火墙(WAF)(如ModSecurity),过滤恶意请求(如SQL注入、XSS攻击);若使用SELinux或AppArmor,配置相应策略限制PHP-FPM的权限(如SELinux的httpd_can_network_connect_db设为0,禁止数据库连接)。
8. 启用OPcache优化性能与安全
开启OPcache(opcache.enable = 1),缓存编译后的PHP脚本,减少服务器负载;设置opcache.memory_consumption(如64MB)、opcache.max_accelerated_files(如4000)等参数优化缓存性能,同时避免缓存恶意代码。
9. 定期更新与补丁管理
定期更新PHP-FPM、PHP核心及依赖库到最新版本,修复已知安全漏洞(如CVE-2024-XXXX系列的PHP-FPM漏洞);使用包管理器(如apt)的upgrade命令自动更新,或订阅安全公告及时手动更新。
10. 监控与异常检测
使用监控工具(如Prometheus+Granafa、Zabbix)实时监控PHP-FPM的进程数量、内存占用、请求响应时间等指标,设置阈值告警(如pm.max_children超过80%时报警);定期检查日志中的异常模式(如大量404错误、500内部错误),及时响应潜在攻击。
