centos上php的安全策略有哪些

在CentOS上提高PHP應用的安全性需要采取多方面的措施。以下是一些關鍵的步驟：

系統及軟件包更新

• 保持系統和所有軟件包的最新版本，及時安裝安全補丁。

sudo yum update

防火墻配置

• 使用Firewalld精細控制服務器的網絡訪問，僅開放必要的端口，例如HTTP (80) 和HTTPS (443)。

sudo yum install firewalld
sudo systemctl start firewalld
sudo systemctl enable firewalld
sudo firewall-cmd --zone=public --add-port=80/tcp --permanent
sudo firewall-cmd --zone=public --add-port=443/tcp --permanent
sudo firewall-cmd --reload

PHP安全設置

• 修改php.ini文件，強化PHP配置。
• 關閉錯誤顯示，啟用 open_basedir 限制文件訪問路徑，并設置合理的文件上傳大小限制。

sudo vi /etc/php.ini
# display_errors = Off
# open_basedir = "/var/www/html:/tmp" (根據實際路徑調整)
# upload_max_filesize = 2M
# post_max_size = 8M

安裝必要的PHP擴展

• 安裝一些關鍵的PHP擴展，例如 php-mcrypt 、 php-gd 、 php-mbstring 和 php-bcmath，增強安全性及功能。

sudo yum install php-mcrypt php-gd php-mbstring php-bcmath

啟用HTTPS

• 使用HTTPS協議加密網站流量，安裝并配置SSL證書。

sudo yum install mod_ssl
sudo systemctl restart httpd
# 配置 /etc/httpd/conf.d/ssl.conf (將SSL證書和密鑰文件配置到此文件中)

用戶及賬戶安全

• 刪除不必要的系統賬戶，更改SSH默認端口，并強制使用強密碼策略，禁用root直接登錄。

userdel adm userdel lp userdel sync userdel shutdown userdel halt userdel news userdel uucp userdel operator userdel games userdel gopher userdel ftps
sudo passwd -dl user1 user2 ... (替換user1, user2為需要修改密碼的用戶)
sudo sed -i 's/PermitRootLogin prohibit-password/PermitRootLogin no/' /etc/ssh/sshd_config

數據備份

• 定期備份網站數據和數據庫，以防數據丟失或損壞。

mkdir -p /backup
rsync -avz --delete /var/www/html/ /backup/website_backup/
mysqldump -u[數據庫用戶名] -p[數據庫密碼][數據庫名] | gzip > /backup/website_backup.sql.gz

安全模式及禁用危險函數

• 在php.ini中啟用 safe_mode (已在較新PHP版本中移除，不推薦使用) 或禁用一些潛在危險的PHP函數，例如 exec() 、 shell_exec() 等。

# safe_mode = On (不推薦)
disable_functions = exec,shell_exec,system,passthru,popen,proc_open (根據實際情況選擇禁用函數)

SELinux (可選)

• 啟用SELinux可以提供更嚴格的安全防護，但需要仔細配置以避免與應用程序沖突。

通過以上措施，可以顯著提高CentOS服務器上PHP應用的安全性。