如何提升Debian LAMP服務器安全性

提升Debian LAMP（Linux, Apache, MySQL, PHP）服務器的安全性是一個持續的過程，涉及多個層面。以下是一些關鍵步驟和建議：

1. 更新系統和軟件

• 定期更新：確保所有軟件包都是最新的，以修復已知的安全漏洞。

  sudo apt update && sudo apt upgrade -y
  

2. 配置防火墻

• 使用UFW：Uncomplicated Firewall (UFW) 是一個簡單的防火墻管理工具。

  sudo ufw enable
  sudo ufw allow 22/tcp  # SSH
  sudo ufw allow 80/tcp  # HTTP
  sudo ufw allow 443/tcp # HTTPS
  sudo ufw delete allow 22  # 刪除不必要的規則
  

3. 安全配置Apache

• 禁用不必要的模塊：只啟用必要的Apache模塊。

  sudo a2enmod rewrite
  sudo systemctl restart apache2
  

• 配置.htaccess：使用.htaccess文件來限制訪問和防止目錄遍歷等攻擊。

4. 安全配置MySQL/MariaDB

• 更改默認密碼：安裝后立即更改MySQL的root密碼。

  sudo mysql_secure_installation
  

• 限制遠程訪問：只允許本地連接或特定IP地址連接。

  GRANT ALL PRIVILEGES ON *.* TO 'username'@'localhost' IDENTIFIED BY 'password';
  FLUSH PRIVILEGES;
  

• 移除匿名用戶：刪除沒有密碼的匿名用戶。

  DELETE FROM mysql.user WHERE User='';
  FLUSH PRIVILEGES;
  

5. 安全配置PHP

• 禁用危險函數：編輯php.ini文件，禁用危險函數如exec, system, shell_exec等。

  disable_functions = exec,passthru,shell_exec,system
  

• 設置文件上傳限制：限制上傳文件的大小和類型。

  upload_max_filesize = 2M
  post_max_size = 8M
  

6. 使用SSL/TLS

• 安裝Let’s Encrypt證書：使用Certbot來獲取和續訂SSL證書。

  sudo apt install certbot python3-certbot-apache
  sudo certbot --apache -d yourdomain.com
  

7. 監控和日志

• 啟用詳細的日志記錄：確保Apache和MySQL的日志記錄詳細，以便于排查問題。
• 使用監控工具：考慮使用如Prometheus和Grafana等工具來監控服務器的性能和安全狀態。

8. 定期備份

• 定期備份數據：使用rsync或tar等工具定期備份重要數據。

  sudo tar -czvf /backup/backup-$(date +%F).tar.gz /var/www/html
  

9. 使用SELinux/AppArmor

• 啟用SELinux：如果系統支持，啟用SELinux來增強安全性。

  sudo apt install selinux-basics selinux-policy-default
  sudo setenforce 1
  

• 使用AppArmor：AppArmor是另一個強制訪問控制的安全模塊。

10. 定期安全審計

• 使用安全掃描工具：如OpenVAS或Nessus來掃描服務器，查找潛在的安全漏洞。

通過以上步驟，可以顯著提升Debian LAMP服務器的安全性。記住，安全性是一個持續的過程，需要定期檢查和更新。