以下是CentOS下PHP安全加固的關鍵步驟:
-
系統及軟件更新
定期更新系統和PHP至最新版本�����,修復已知漏洞:
sudo yum update -y
-
配置PHP安全參數
- 編輯
/etc/php.ini:
- 關閉錯誤顯示:
display_errors = Off�,開啟日志記錄:log_errors = On�。
- 限制文件上傳:
file_uploads = On�����,設置upload_max_filesize和post_max_size為合理值(如2M)�����。
- 禁用危險函數:
disable_functions = exec,shell_exec,system,passthru等�。
- 啟用會話安全:
session.cookie_httponly = On���,session.cookie_secure = On(HTTPS下)�。
- 若使用PHP-FPM�����,配置
/etc/php-fpm.d/www.conf���,設置非root用戶運行�����。
-
Web服務器安全加固
-
防火墻與網絡隔離
使用firewalld限制僅開放HTTP(80)�����、HTTPS(443)端口:
sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https
sudo firewall-cmd --reload
-
加密與認證
- 啟用HTTPS����,配置SSL證書�。
- 對用戶輸入進行過濾和驗證����,防止SQL注入����、XSS攻擊(如使用預處理語句����、
htmlspecialchars)����。
-
權限與日志管理
- 限制文件和目錄權限��,遵循最小權限原則���。
- 定期備份網站數據和數據庫�����。
- 監控系統日志和PHP錯誤日志���,及時發現異常��。
注意:部分配置(如safe_mode)在PHP新版本中已移除����,需根據實際環境調整���。操作前建議備份配置文件�����,并在測試環境驗證���。
