Ubuntu如何防止PHP被攻击

1. 及时更新系统与PHP版本
保持Ubuntu系统和PHP及相关库的最新状态，是修复已知安全漏洞的关键。定期运行以下命令更新系统：

sudo apt update && sudo apt upgrade -y

对于PHP，可通过sudo apt upgrade php*升级所有PHP相关包，或使用PPA安装特定安全版本（如sudo add-apt-repository ppa:ondrej/php）。

2. 配置PHP.ini核心安全参数
编辑PHP配置文件（路径如/etc/php/8.1/apache2/php.ini或/etc/php/8.1/fpm/php.ini），调整以下关键设置：

• 禁用错误详细显示：防止敏感信息（如服务器路径、数据库结构）泄露给攻击者。

  display_errors = Off
  log_errors = On
  error_log = /var/log/php_errors.log
  

• 关闭远程代码执行：禁止通过URL访问外部文件或包含远程文件，防止恶意代码注入。

  allow_url_fopen = Off
  allow_url_include = Off
  

• 禁用危险函数：移除可能被滥用的函数（如执行系统命令、文件操作等）。

  disable_functions = exec,system,passthru,shell_exec,proc_open,popen,curl_exec,eval,assert
  

• 限制文件访问范围：通过open_basedir约束PHP脚本仅能访问指定目录（如网站根目录），防止越权访问系统文件。

  open_basedir = /var/www/html:/tmp
  

• 控制资源消耗：限制脚本执行时间和内存占用，防止资源耗尽攻击（DoS）。

  max_execution_time = 30
  max_input_time = 30
  memory_limit = 64M
  

• 隐藏PHP版本信息：避免向客户端泄露PHP版本，减少针对性攻击。

  expose_php = Off
  

3. 强化Web服务器配置

• Apache：启用PHP模块并禁用不必要的模块（如autoindex避免目录列表），重启服务使配置生效：

  sudo a2enmod php8.1
  sudo a2dismod autoindex
  sudo systemctl restart apache2
  

• Nginx：配置PHP-FPM处理PHP请求，确保fastcgi_pass指向正确的PHP套接字（如unix:/var/run/php/php8.1-fpm.sock），并限制仅处理.php文件：

  location ~ \.php$ {
      include snippets/fastcgi-php.conf;
      fastcgi_pass unix:/var/run/php/php8.1-fpm.sock;
  }
  

4. 安装安全模块与防火墙

• ModSecurity：部署Web应用防火墙（WAF），拦截SQL注入、XSS、CSRF等常见攻击。安装并启用模块：

  sudo apt install libapache2-mod-security2
  sudo a2enmod security2
  

  配置规则集（如OWASP Core Rule Set）以增强防护。
• UFW防火墙：限制对Web服务器的访问，仅允许必要端口（如HTTP 80、HTTPS 443）：

  sudo ufw allow 'Apache Full'
  sudo ufw enable
  

• Fail2Ban：防范暴力破解攻击（如SSH、登录表单），通过自动封禁频繁失败的IP地址：

  sudo apt install fail2ban
  sudo systemctl start fail2ban && sudo systemctl enable fail2ban
  

5. 实施严格的文件与权限管理

• 设置正确权限：网站目录所有者设为Web服务器用户（如www-data），目录权限为755（允许遍历），文件权限为644（禁止写入）：

  sudo chown -R www-data:www-data /var/www/html
  sudo find /var/www/html -type d -exec chmod 755 {} \;
  sudo find /var/www/html -type f -exec chmod 644 {} \;
  

• 隔离上传目录：禁止上传目录执行PHP脚本，防止上传恶意文件后被执行：

  <Directory "/var/www/html/uploads">
      php_flag engine off
      Deny from all
  </Directory>
  

6. 采用安全编码与认证机制

• 输入验证与过滤：对用户输入（如表单、URL参数）进行严格验证（如检查邮箱格式、数字范围），过滤特殊字符（如<, >, ', ", \），防止SQL注入和XSS攻击。
• 使用预处理语句：通过PDO或MySQLi扩展执行数据库操作，避免拼接SQL语句：

  $stmt = $pdo->prepare("SELECT * FROM users WHERE email = ?");
  $stmt->execute([$email]);
  $user = $stmt->fetch();
  

• 启用HTTPS：通过Let’s Encrypt获取免费SSL证书，强制使用HTTPS加密数据传输，防止中间人攻击：

  sudo apt install certbot python3-certbot-apache
  sudo certbot --apache -d yourdomain.com
  

• 强密码策略：为用户账户（尤其是root、数据库用户）设置复杂密码（包含大小写字母、数字、特殊字符），定期更换密码。

7. 监控与日志分析

• 定期检查日志：监控Apache（/var/log/apache2/error.log）、PHP（/var/log/php_errors.log）的错误日志，识别异常访问（如大量404错误、可疑POST请求）。
• 实时监控工具：使用工具如fail2ban、logwatch或ELK Stack（Elasticsearch+Logstash+Kibana）自动化日志分析，及时预警潜在攻击。