LNMP權限設置：如何保證安全

在LNMP（Linux, Nginx, MySQL, PHP）環境下進行權限設置是確保系統安全性的重要步驟。以下是一些關鍵的安全措施和步驟：

用戶和組管理

• 創建專用用戶：為Nginx、MySQL等服務創建專用的非root用戶，例如 www-data、mysql等。
• 設置用戶權限：確保這些用戶只能訪問必要的文件和目錄。例如，使用 chown命令更改網站文件的所有者和組。

文件和目錄權限

• 文件和目錄權限：為網站文件和目錄設置適當的權限。通常情況下，文件權限應設置為644（所有者可讀寫，組和其他用戶只可讀），目錄權限應設置為755（所有者可讀寫執行，組和其他用戶只可讀執行）。

  sudo find /path/to/your/website -type d -exec chmod 755 {} \;
  sudo find /path/to/your/website -type f -exec chmod 644 {} \;
  

• 配置文件權限：確保Nginx和PHP-FPM配置文件的權限設置正確。例如，Nginx配置文件通常位于 /etc/nginx/nginx.conf，在該文件中可以通過 user指令設置Nginx運行的用戶和組。

Nginx權限配置

• 用戶設置：在Nginx配置文件中設置運行用戶。例如，在 /etc/nginx/nginx.conf中設置 user www-data;。
• 訪問控制：通過Nginx配置文件中的 location和 auth_basic指令控制對特定目錄的訪問權限。

  location /directory1/ {
      auth_basic "input your user name and password";
      auth_basic_user_file /home/test/.htpasswd;
  }
  

MySQL用戶權限管理

• 創建用戶：使用 CREATE USER語句創建新用戶。例如，CREATE USER 'newuser'@'localhost' IDENTIFIED BY 'password';。
• 授予權限：使用 GRANT語句為用戶分配權限。例如，GRANT SELECT, INSERT ON database_name.* TO 'newuser'@'localhost';。
• 撤銷權限：使用 REVOKE語句撤銷用戶的權限。例如，REVOKE INSERT ON database_name.* FROM 'newuser'@'localhost';。
• 查看權限：使用 SHOW GRANTS語句查看用戶的當前權限。例如，SHOW GRANTS FOR 'newuser'@'localhost';。

PHP-FPM權限配置

• 用戶和組設置：在PHP-FPM配置文件（通常是 /etc/php-fpm.d/www.conf）中設置用戶和組。例如：

  user = www-data
  group = www-data
  

SELinux配置

• 檢查SELinux狀態：使用 sestatus命令檢查SELinux狀態。
• 臨時禁用SELinux：sudo setenforce 0（不推薦長期使用）。
• 永久禁用SELinux：修改 /etc/selinux/config文件，設置 SELINUX=disabled。
• 配置SELinux策略：使用 semanage工具管理SELinux策略。

定期審計和監控

• 使用 auditd進行審計：安裝并配置 auditd進行系統審計。
• 配置防火墻：使用 iptables或 ufw配置防火墻規則，限制不必要的端口訪問。
• 定期更新：保持LNMP環境及其依賴項（如Nginx、PHP、MySQL等）更新至最新版本，以確保安全性和性能。

通過以上步驟，可以有效管理LNMP環境下的權限，確保系統的安全性和穩定性。