php配置中centos安全设置有哪些

CentOS 下 PHP 安全配置要点

在 CentOS 上部署 PHP 应用，安全是地基。下面这份配置清单，涵盖了从系统到应用层的核心加固点，帮你把安全防线筑得更牢。

一 系统与网络基础加固

安全始于底层。在配置 PHP 之前，先确保你的操作系统和网络环境足够坚固。

• 保持系统与软件包为最新，及时修补漏洞：这是最基本也最重要的一步。定期执行 sudo yum update，不给已知漏洞留下可乘之机。
• 仅开放必要端口，使用 firewalld 放行 80/443：默认情况下，应该关闭所有非必需端口。通过以下命令配置防火墙，只允许 Web 流量：

  sudo yum install -y firewalld
  sudo systemctl start firewalld && sudo systemctl enable firewalld
  sudo firewall-cmd --permanent --add-service=http --add-service=https
  sudo firewall-cmd --reload

• 全站启用 HTTPS：安装 mod_ssl 并配置有效的 SSL/TLS 证书。这不仅是 SEO 和用户体验的要求，更是防止数据在传输过程中被窃听或篡改的关键。
• 启用并配置 SELinux 为 enforcing：虽然 SELinux 的配置有一定学习曲线，但它提供了强大的强制访问控制机制，能极大限制进程的权限，是防止权限滥用的重要屏障。

二 PHP 运行时核心配置 php.ini

接下来是重头戏：PHP 本身的配置。修改 php.ini 文件，从根源上收紧安全策略。

• 关闭错误显示、开启日志记录：将错误信息展示给用户，等于给攻击者提供了一张“地图”。务必设置为：

  display_errors = Off
  log_errors = On
  error_log = /var/log/php_errors.log

  同时，确保日志目录和文件可写，且权限设置为仅管理员可读。
• 隐藏版本信息：设置 expose_php = Off，移除响应头中的 X-Powered-By 信息，避免暴露 PHP 版本，减少被针对特定版本漏洞攻击的风险。
• 禁用危险函数：根据应用的实际需要，尽可能多地禁用不必要的系统级函数。一个基础的禁用列表可以参考：

  disable_functions = exec,system,passthru,shell_exec,proc_open,popen,eval,assert,symlink,link,escapeshellarg,escapeshellcmd

• 限制远程包含与协议访问：除非应用明确需要，否则关闭远程文件包含功能：

  allow_url_fopen = Off
  allow_url_include = Off

• 目录访问隔离：使用 open_basedir 将 PHP 脚本的文件操作限制在指定的目录树内，例如：open_basedir = /var/www/html:/tmp。这能有效防止目录遍历攻击。
• 文件上传控制：仅在确实需要上传功能时开启，并严格限制文件大小：

  file_uploads = On
  upload_max_filesize = 2M
  post_max_size = 8M

  注意，post_max_size 应略大于 upload_max_filesize。
• 会话安全：加固会话管理，防止会话劫持和固定攻击：

  session.cookie_httponly = 1
  session.cookie_secure = 1  # 启用 HTTPS 时设置
  session.use_strict_mode = 1

  同时，根据业务场景合理设置 session.gc_maxlifetime（会话过期时间）。
• 其他历史风险项：需要明确的是，register_globals 已在 PHP 5.4 中移除；magic_quotes_gpc 等函数也已废弃。现代应用绝对不应依赖这些不安全的特性，而应使用参数化查询和严格的输入验证/过滤。

三 PHP-FPM 与进程权限

当使用 PHP-FPM 时，进程的运行权限是安全的关键一环。

• 运行身份降权：在 /etc/php-fpm.d/www.conf 配置文件中，务必让 PHP-FPM 进程以非 root 的低权限用户运行，例如与 Web 服务器用户保持一致：

  user = apache
  group = apache

• 按虚拟主机或目录细化隔离：对于多站点服务器，可以为不同站点或目录配置独立的 open_basedir 和上传目录权限，甚至使用独立的进程池。这样，即使一个站点被攻破，影响范围也能被有效限制，难以横向移动。

四 可选增强与注意事项

除了上述核心配置，还有一些增强措施和注意事项值得关注。

• 使用 OPcache：启用 OPcache 不仅能显著提升 PHP 性能，还能减少因脚本文件暴露而带来的潜在风险。一个基础的配置示例如下：

  opcache.enable=1
  opcache.memory_consumption=128
  opcache.interned_strings_buffer=8
  opcache.max_accelerated_files=4000
  opcache.revalidate_freq=60
  opcache.fast_shutdown=1

  注意仅启用必要的缓存功能，避免暴露调试信息。
• Web 应用防火墙：在 Web 服务器层（如 Apache）部署 ModSecurity 等 WAF，并加载 OWASP Core Rule Set 等规则集，可以在应用逻辑之外，再增加一层针对常见攻击向量（如 SQL 注入、XSS）的过滤。
• 历史机制提示：PHP 的 safe_mode 自 5.4 版本起已被移除。不应再幻想依赖某个单一模式来保障安全，而应综合运用最小权限原则、open_basedir、禁用危险函数等现代手段构建纵深防御。
• 扩展安装提示：随着 PHP 版本演进，一些扩展可能被移除或替代。例如，php-mcrypt 扩展在新版本中可能已不可用，需要根据实际使用的 PHP 版本和仓库情况，寻找替代方案（如 OpenSSL）或重构相关功能。

五 变更生效与验证

所有配置修改完成后，必须重启服务并验证其效果，确保安全策略已正确生效。

• 修改 php.ini 或 www.conf 后，重启服务：
  • 对于 Apache: sudo systemctl restart httpd
  • 对于 PHP-FPM: sudo systemctl restart php-fpm
• 验证要点：完成重启后，建议进行以下检查：
  • 访问一个不存在的或会报错的资源，页面不应显示详细的 PHP 错误堆栈信息。
  • 检查 HTTP 响应头，确认其中不再出现 X-Powered-By: PHP/x.y.z。
  • 尝试在代码中调用被禁用的危险函数（如 system(‘whoami’)）或进行远程文件包含，这些操作应被安全配置阻断。
  • 使用 nmap 或类似工具扫描服务器端口，确认只有 80（HTTP）和 443（HTTPS）端口对外开放，并且网站可以通过 HTTPS 正常访问。