Ubuntu PHP-FPM如何进行安全设置

在Ubuntu上配置PHP-FPM（FastCGI Process Manager）时，确保其安全性是非常重要的。以下是一些关键的安全设置步骤，可以帮助你提高PHP-FPM的安全性：

1. 更新系统

一切安全加固的起点，都是从一个干净、最新的系统开始。所以，第一步永远是确保你的系统和所有软件包都更新到最新版本：

sudo apt update
sudo apt upgrade

2. 配置PHP-FPM用户和组

接下来，需要关注PHP-FPM进程的运行身份。默认情况下，它通常以 www-data 用户和组运行。虽然你可以根据需求更改，但保持这个默认设置往往是更稳妥的选择——它能有效隔离进程权限，降低潜在的安全风险。

具体配置需要编辑PHP-FPM的配置文件：

sudo nano /etc/php/7.x/fpm/pool.d/www.conf

在文件中找到下面这两行，确认或修改它们：

user = www-data
group = www-data

3. 限制PHP-FPM进程数量

资源耗尽攻击（比如简单的CC攻击）是常见的威胁。为了防止PHP-FPM进程无限制地创建导致服务器崩溃，必须在 www.conf 文件中对其数量进行合理限制。

找到进程管理（pm）相关的配置，可以参考如下设置来平衡性能与安全：

pm = dynamic
pm.max_children = 50
pm.start_servers = 5
pm.min_spare_servers = 5
pm.max_spare_servers = 35

4. 禁用不必要的PHP模块

安全领域有个基本原则：最小化攻击面。PHP安装后默认启用许多模块，但你的应用很可能用不上全部。禁用那些不必要的模块，能直接减少潜在漏洞。

编辑PHP的配置文件：

sudo nano /etc/php/7.x/cli/php.ini

然后，将不需要的模块扩展注释掉，例如：

;extension=gd
;extension=mysqli

具体禁用哪些，需要根据你的实际项目需求来判断。

5. 配置防火墙

网络层面的隔离必不可少。使用Ubuntu自带的简易防火墙 ufw，可以轻松限制对PHP-FPM监听端口（默认9000）的访问，通常只允许Nginx等前端袋里服务器连接。

sudo ufw allow 9000/tcp
sudo ufw enable

6. 使用SELinux或AppArmor

对于安全性要求更高的环境，可以考虑启用强制访问控制（MAC）系统，如SELinux或AppArmor。它们能为PHP-FPM进程定义更严格的权限边界。

SELinux

如果你的发行版支持SELinux，可以这样安装和启用：

sudo apt install selinux-basics selinux-policy-default
sudo setenforce 1

AppArmor

Ubuntu更常用的是AppArmor。安装后，可以加载针对PHP-FPM的预置安全策略：

sudo apt install apparmor apparmor-utils
sudo aa-enforce /etc/apparmor.d/usr.sbin.php-fpm7.x

7. 定期更新和监控

安全不是一劳永逸的配置，而是一个持续的过程。务必定期更新PHP-FPM及相关软件包，以获取最新的安全补丁。同时，建立有效的监控和日志审查机制，以便能快速发现并响应异常事件。

8. 使用HTTPS

最后，别忘了应用层的数据安全。确保你的网站全程使用HTTPS加密数据传输，防止信息被窃听或篡改。获取SSL证书现在非常方便，例如使用Let’s Encrypt的免费证书：

sudo apt install certbot python3-certbot-nginx
sudo certbot --nginx -d yourdomain.com

遵循以上步骤，可以显著提升Ubuntu服务器上PHP-FPM运行环境的安全性。说到底，安全的核心在于持续的关注、合理的配置以及深度的防御。