確保Ubuntu上PHP-FPM的安全性可從以下方面入手:
-
系統與軟件更新
定期更新系統和PHP-FPM及相關軟件包�����,修復安全漏洞:
sudo apt update && sudo apt upgrade -y
-
用戶與權限配置
-
配置文件安全設置
- 限制監聽方式:優先使用Unix Socket(如
listen = /run/php/php{version}-fpm.sock)�����,避免暴露TCP端口���;若需使用TCP�,需限制僅本地訪問(listen = 127.0.0.1:9000)并配置防火墻����。
- 禁用危險函數:在
php.ini中注釋或刪除exec�����、system等高風險函數��。
- 控制進程資源:通過
pm.max_children等參數限制進程數量�����,避免資源耗盡攻擊����。
-
防火墻與網絡隔離
使用ufw限制端口訪問�,僅允許HTTP/HTTPS及必要的管理端口:
sudo ufw allow 'Nginx Full'
sudo ufw enable
-
日志與監控
-
高級安全增強(可選)
- 啟用SELinux或AppArmor限制PHP-FPM權限���,禁止訪問非必要文件��。
- 部署Web應用防火墻(WAF)攔截惡意流量�。
關鍵操作參考來源:
