Ubuntu下PHP安全设置指南

在Ubuntu系统下设置PHP的安全性是非常重要的，以下是一些关键的安全设置步骤和最佳实践：

更新系统和软件包

确保你的系统和所有软件包都是最新的，以防止已知的安全漏洞。

sudo apt update && sudo apt upgrade

安装必要的依赖

安装一些必要的依赖包，如 software-properties-common。

sudo apt install software-properties-common

安装PHP及其常用扩展

使用官方PPA安装PHP及其常用扩展，如 php-mysql、php-xml、php-curl 等。

sudo add-apt-repository ppa:ondrej/php
sudo apt update
sudo apt install php php-cli php-fpm php-mysql php-xml php-curl

配置PHP

编辑PHP配置文件 php.ini，进行以下设置：

关闭详细错误报告：在生产环境中，关闭详细的错误报告，只显示必要的信息。

error_reporting = 0
display_errors = Off
log_errors = On
error_log = /var/log/php_errors.log

启用安全模式：在开发环境中可以启用安全模式，但在生产环境中通常不建议使用。

safe_mode = Off

禁用不需要的PHP函数：禁用不需要的函数可以减少潜在的安全风险。

disable_functions = exec, system, passthru, shell_exec, popen, curl, fsockopen, file_get_contents, mkdir, rmdir, rename, unlink, chmod, chown, chgrp, date, time, localtime, gmtime, isset, empty, is_array, is_object, is_resource, is_string, is_int, is_float, is_bool, is_callable, assert

设置上传临时目录：指定临时文件夹用于文件上传，确保该目录具有适当的权限。

upload_tmp_dir = /path/to/tmp

限制PHP可以访问的文件和目录：使用 open_basedir 指令来限制PHP只能访问指定目录下的文件。

open_basedir = /var/www/html:/tmp

设置内存限制和脚本执行时间：防止内存泄漏或资源耗尽。

memory_limit = 128M
max_execution_time = 30
post_max_size = 10M
upload_max_filesize = 10M

安装和配置防火墙

使用UFW（Uncomplicated Firewall）来保护你的系统。

sudo apt install ufw
sudo ufw enable
sudo ufw allow ssh

使用强密码和限制root登录

为用户和root账户设置复杂且难以猜测的密码，并禁止直接通过SSH登录root账户。

sudo passwd root

定期备份

定期备份重要数据，以防止数据丢失。

使用安全编码工具

使用诸如PHP Security Advisories Checker (PHPSA)之类的工具来扫描你的代码，查找潜在的安全问题。

监控和更新

定期检查系统、应用程序和安全相关的日志，以便及时发现潜在的安全问题，并持续关注安全动态，及时更新系统和应用程序。

遵循以上步骤和最佳实践，可以显著提高Ubuntu系统上PHP运行环境的安全性。请根据你的具体需求和环境进行调整，并在实施时注意配置参数可能因Linux发行版和PHP版本而异。

亿速云「云服务器」，即开即用、新一代英特尔至强铂金CPU、三副本存储NVMe SSD云盘，价格低至29元/月。点击查看>>