以下是LNMP環境的安全設置要點��,涵蓋系統�����、組件及運維層面:
一��、系統基礎安全
- 最小權限原則
- 創建專用用戶(如
webuser)運行Nginx��、PHP-FPM�����,禁止使用root用戶��。
- 通過
useradd -r -s /sbin/nologin webuser創建非登錄用戶��。
- 防火墻配置
- 使用
ufw或firewalld限制端口��,僅開放SSH(22)��、HTTP(80)����、HTTPS(443)等必要端口����。
- 示例(ufw):
sudo ufw allow 22,80,443�����。
- 軟件更新
- 定期更新系統及組件(Nginx�����、MySQL���、PHP)�,修復漏洞�����。
- Debian/Ubuntu:
sudo apt update && sudo apt upgrade -y�����。
二����、Nginx安全加固
- 隱藏敏感信息
- 禁止顯示版本號:
server_tokens off;����。
- 禁用目錄列表:
autoindex off;��。
- 訪問控制
- 限制IP訪問:
allow 192.168.1.0/24; deny all;�。
- 禁用危險HTTP方法:
if ($request_method !~ ^(GET|POST|HEAD)$) { return 405; }����。
- SSL/TLS配置
- 強制HTTPS跳轉:
return 301 https://$host$request_uri;�����。
- 配置強加密套件:
ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';�����。
- 啟用HSTS:
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";���。
- 防攻擊策略
- 限制請求速率:
limit_req_zone $binary_remote_addr zone=req_limit:10m rate=10r/s;���。
- 防止點擊劫持:
add_header X-Frame-Options "SAMEORIGIN";����。
三���、MySQL安全設置
- 用戶權限管理
- 數據加密與審計
- 啟用SSL連接:在
my.cnf中配置ssl-ca��、ssl-cert����、ssl-key�。
- 定期備份:使用
mysqldump備份數據并測試恢復��。
四�����、PHP安全配置
- 禁用危險函數
- 在
php.ini中禁用exec�、system等高危函數:disable_functions = exec,passthru,shell_exec��。
- 文件權限控制
- 網站目錄權限:
chown -R webuser:webuser /var/www/html�,文件權限設為640��,目錄設為750���。
- 會話安全
- 啟用
session.cookie_httponly和session.cookie_secure���,防止XSS和會話劫持���。
五�、運維與監控
- 日志管理
- 配置Nginx�����、MySQL錯誤日志路徑����,定期分析異常請求����。
- 使用
logrotate定期輪轉日志�����,避免占滿磁盤��。
- 安全工具部署
- 安裝
fail2ban防止暴力破解:sudo apt install fail2ban����,配置針對Nginx和SSH的防護規則�。
- 定期掃描漏洞:使用
rkhunter或lynis檢測系統漏洞�����。
六����、備份策略
- 數據庫備份:每日全量備份��,存儲至異地服務器或云存儲�����。
- 配置文件備份:備份
/etc/nginx/���、/etc/mysql/��、/etc/php/等目錄��。
參考來源:
通過以上步驟可顯著提升LNMP環境的安全性�����,需定期審查配置并更新安全策略���。
