Debian LAMP安全漏洞怎么防范

Debian LAMP 安全漏洞防范清单

一 系统与基础加固

• 保持系统与软件为最新，优先安装来自 security.debian.org 的安全更新；建议启用自动安全更新：安装并配置 unattended-upgrades，减少暴露窗口。
• 创建普通用户并加入 sudo，日常操作避免直接使用 root。
• 强化密码策略：安装 libpam-cracklib 并在 /etc/pam.d/common-password 中启用复杂度校验。
• 仅开启必要端口与服务，卸载或禁用无用软件包与后台服务，降低攻击面。

二 网络与 SSH 安全

• 使用 UFW 或 iptables 仅放行 22/TCP(SSH)、80/TCP(HTTP)、443/TCP(HTTPS)。
• SSH 加固：启用密钥登录，禁用 root 远程登录与空密码；可进一步设置 PasswordAuthentication no 仅允许密钥；使用 AllowUsers your_username 限制可登录账户。
• 部署 fail2ban 防御暴力破解，例如对 SSH 设置最大重试与封禁时长。

三 Apache 与 PHP 安全配置

• Apache：仅启用必要模块；在虚拟主机或目录配置中禁用目录列表 Options -Indexes；隐藏版本信息；合理配置 AllowOverride（如无必要设为 None）；为需要保护的目录设置访问控制。
• PHP：在 php.ini 中禁用危险函数（如 exec、system、shell_exec、passthru）；限制上传与请求大小（如 upload_max_filesize=2M、post_max_size=8M）；仅启用必要的 PHP 扩展；Web 目录建议由 www-data 拥有，目录 755、文件 644。

四 MariaDB MySQL 与数据安全

• 安装后立即运行 mysql_secure_installation，设置强口令，删除匿名账户与测试库，限制 root 仅本地访问。
• 数据库仅监听本地或受控网段，3306 端口不对公网开放；为应用创建最小权限专用账户，避免使用 root 直连应用。
• 定期备份与校验：使用 mysqldump 或物理备份，保留离线/异地副本，定期演练恢复流程。

五 加密传输 监控审计与备份恢复

• 启用 HTTPS：使用 Certbot 获取 Let’s Encrypt 证书并自动配置 Apache 虚拟主机，强制或优先使用 TLS。
• 日志与监控：开启并集中 Apache/MariaDB 访问与错误日志；使用 Lynis 进行系统安全基线扫描；部署 Nagios/Zabbix 或 Prometheus+Grafana 做可用性、资源与异常监控；使用 logwatch 进行日常审计。
• 备份与灾难恢复：制定定期备份（如每日增量、每周全量）与保留策略，定期验证可恢复性；对关键系统文件设置不可变属性（如 chattr +i /etc/passwd /etc/shadow /etc/group）防止被篡改。