Ubuntu PHP如何进行安全设置

以下是Ubuntu下PHP的安全设置要点：

1. 更新系统与软件
   定期更新系统和PHP及其模块，修复安全漏洞：

   sudo apt update && sudo apt upgrade -y  
   

2. 配置php.ini关键参数

   • 错误报告：关闭详细错误显示，记录日志

     display_errors = Off  
     log_errors = On  
     error_log = /var/log/php_errors.log  
     

   • 文件上传限制：限制大小、类型，禁止执行上传目录脚本

     upload_max_filesize = 2M  
     post_max_size = 8M  
     file_uploads = On  
     

   • 会话安全：启用HTTPS传输、HttpOnly和SameSite属性

     session.cookie_secure = On  
     session.cookie_httponly = On  
     session.cookie_samesite = Strict  
     

   • 禁用危险函数：如exec, shell_exec, system等

     disable_functions = exec,shell_exec,system  
     

   • 启用OPcache：提升性能并减少安全风险

     opcache.enable=1  
     

3. Web服务器配置

   • Apache：使用mod_security防火墙模块，限制访问敏感目录。
   • Nginx：禁止访问.php文件的非必要路径，如上传目录。

4. 数据库安全

   • 使用预处理语句防止SQL注入。
   • 为数据库用户设置强密码，限制最小权限。

5. 权限与文件管理

   • 确保PHP项目目录归属www-data用户，限制文件权限。
   • 禁止直接访问敏感文件（如配置文件）。

6. 启用HTTPS与加密
   使用Let’s Encrypt免费SSL证书，强制HTTPS传输。

7. 安全工具与审计

   • 定期扫描漏洞（如使用OWASP ZAP）。
   • 监控访问日志与错误日志，及时发现异常。

修改配置后需重启服务生效：

# Apache  
sudo systemctl restart apache2  
# PHP-FPM  
sudo systemctl restart php7.x-fpm  

参考来源：