PHP在Ubuntu上如何配置安全模式

PHP安全模式（safe_mode）狀態說明
安全模式是PHP早期版本（≤5.3）提供的核心安全功能，用于限制腳本的權限（如文件訪問、函數執行）。但自PHP 5.4.0起，safe_mode被正式棄用；PHP 7.0.0及以上版本已完全移除該功能。因此，若使用PHP 7及以上版本，無法再通過safe_mode配置安全模式，需采用其他替代方案。

替代方案：針對PHP 7及以上版本的安全配置
若仍需提升PHP安全性，可通過以下配置替代safe_mode的功能：

1. 禁用危險函數

通過disable_functions指令禁用可能被濫用的函數（如遠程執行、文件操作等），防止惡意代碼執行。
編輯php.ini文件（路徑可通過php --ini命令獲取，如/etc/php/8.1/apache2/php.ini），找到disable_functions并修改為：

disable_functions = exec,system,passthru,shell_exec,popen,proc_open,curl_exec,curl_multi_exec,parse_ini_file,show_source

保存后重啟Web服務器（Apache：sudo systemctl restart apache2；Nginx+PHP-FPM：sudo systemctl restart php8.1-fpm && sudo systemctl restart nginx）。

2. 限制文件系統訪問

使用open_basedir指令限制PHP腳本可訪問的目錄，防止腳本讀取或寫入系統關鍵文件（如/etc、/root）。
在php.ini中添加或修改：

open_basedir = /var/www/html:/tmp

（/var/www/html為網站根目錄，/tmp為臨時目錄，可根據實際需求調整）。

3. 禁止遠程資源訪問

關閉allow_url_fopen和allow_url_include，防止腳本通過URL訪問遠程文件（如遠程代碼包含攻擊）。
在php.ini中設置：

allow_url_fopen = Off
allow_url_include = Off
```。

### 4. 配置錯誤報告  
生產環境中關閉詳細錯誤顯示（`display_errors`），避免泄露敏感信息（如數據庫結構、路徑），僅記錄錯誤日志（`log_errors`）。  
在`php.ini`中修改：  
```ini
display_errors = Off
log_errors = On
error_log = /var/log/php_errors.log  # 確保日志目錄可寫
error_reporting = E_ALL & ~E_NOTICE & ~E_DEPRECATED  # 僅顯示嚴重錯誤
```。

### 5. 限制文件上傳  
通過`upload_max_filesize`和`post_max_size`限制上傳文件的大小，防止惡意文件上傳（如PHP木馬）。  
在`php.ini`中設置：  
```ini
upload_max_filesize = 2M  # 單個文件最大2MB
post_max_size = 8M        # POST數據最大8MB

同時，在Web服務器配置中禁止上傳目錄執行PHP腳本（以Apache為例，在/etc/apache2/sites-available/000-default.conf中添加）：

<Directory "/var/www/html/uploads">
    php_flag engine off
    Deny from all
</Directory>

重啟Apache使配置生效。

6. 使用Web應用防火墻（WAF）

安裝mod_security（Apache模塊）或NAXSI（Nginx模塊），過濾惡意請求（如SQL注入、XSS攻擊）。
以mod_security為例，安裝步驟：

sudo apt install libapache2-mod-security2
sudo a2enmod security2
sudo systemctl restart apache2

配置規則文件（/etc/modsecurity/modsecurity.conf），啟用OWASP核心規則集（CRS）。

7. 更新與權限管理

• 定期更新PHP及擴展：通過sudo apt update && sudo apt upgrade安裝最新安全補丁，修復已知漏洞。
• 設置正確目錄權限：網站目錄所有者設為www-data（Web服務器用戶），權限設為755（目錄）和644（文件），避免腳本越權訪問：

  sudo chown -R www-data:www-data /var/www/html
  sudo chmod -R 755 /var/www/html
  ```。