-
更新系統和軟件包:
- 定期更新操作系統和PHP到最新版本����,以修復已知的安全漏洞�。
sudo apt update && sudo apt upgrade
sudo apt update && sudo apt upgrade php
-
使用PHP-FPM:
- 配置PHP-FPM(FastCGI Process Manager)以提供更高的性能和更好的安全性�����。
sudo apt install php-fpm
- 編輯PHP-FPM配置文件(通常位于
/etc/php/7.x/fpm/pool.d/www.conf)����,確保監聽地址為127.0.0.1或::1�����,禁用遠程訪問��。
listen = 127.0.0.1:9000
listen.allowed_clients = 127.0.0.1
-
使用SELinux或AppArmor:
- 啟用SELinux(Security-Enhanced Linux)或AppArmor(ApplicationArmor)以增加額外的安全層�����。
sudo apt install selinux
sudo aa-enable apparmor
-
限制命令行訪問:
- 使用
sudo限制PHP命令行的執行權限�����。
sudo php /path/to/script.php
- 創建一個專門的用戶組���,并將需要執行PHP腳本的用戶添加到該組中�����。
sudo groupadd php-users
sudo usermod -a -G php-users username
- 修改PHP腳本以檢查用戶是否屬于該組��,并拒絕非組成員執行����。
if (!in_array($_SERVER['REMOTE_USER'], ['username'])) {
die('Access denied');
}
-
使用防火墻:
- 配置防火墻(如
ufw)以限制對PHP腳本的訪問�����。
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw deny 80/tcp
sudo ufw deny 443/tcp
-
使用安全的文件權限:
sudo chmod 755 /path/to/script.php
sudo chown www-data:www-data /path/to/script.php
-
禁用不必要的PHP模塊:
- 檢查并禁用不需要的PHP模塊��,以減少潛在的安全風險�。
sudo php -m | grep -vE "^cli|common" | xargs sudo php -i | grep -vE "^extension"
-
使用安全的密碼策略:
sudo apt install libpam-pwquality
sudo pam-pwquality -a
