如何配置Ubuntu PHP安全策略

Ubuntu PHP 安全策略配置清单

想让你的Ubuntu服务器上的PHP应用坚如磐石吗？安全配置从来不是一蹴而就的魔法，而是一套需要严格执行的“组合拳”。下面这份清单，将帮你从基础到外围，系统性地构建PHP运行环境的安全防线。

一 基础加固

安全建设，地基必须打牢。这一部分的所有配置，都直接作用于PHP的核心行为，是防御的第一道关口。

• 更新系统与软件包，修复已知漏洞：这是老生常谈，但也是最容易被忽视的一步。定期执行 sudo apt update && sudo apt upgrade，确保所有补丁都已就位。
• 隐藏服务器与PHP版本信息：别给攻击者“送情报”。在Apache配置中设置 ServerTokens Prod 和 ServerSignature Off；在php.ini中，务必把 expose_php = Off 这一项关掉。
• 错误与日志策略：生产环境下，错误信息在前台展示是大忌，但记录日志却至关重要。建议设置 display_errors = Off、log_errors = On、error_reporting = E_ALL，并指定一个专属日志路径，例如 error_log = /var/log/php_errors.log。
• 禁用危险函数：这是关键操作。在php.ini的 disable_functions 列表中，果断禁用那些不必要的“危险品”，例如：eval, exec, system, passthru, shell_exec, proc_open, popen, curl_exec, curl_multi_exec, parse_ini_file, show_source 等。
• 限制文件上传：根据业务需要，按最小化原则设置。通常 upload_max_filesize = 2M 和 post_max_size = 8M 是个不错的起点，当然，具体数值需要你按实际情况调整。
• 限制可访问目录：使用 open_basedir = /var/www:/tmp 将PHP脚本的文件操作锁在必要的目录范围内，路径请根据你的站点实际位置修改。
• 禁用远程包含与URL文件操作：将远程文件包含这个高危漏洞彻底堵上，设置 allow_url_fopen = Off、allow_url_include = Off。
• 资源与执行控制：防止脚本滥用资源或陷入死循环。设置 max_execution_time = 30、max_input_time = 30、memory_limit = 128M（这些值同样需要结合业务负载调整）。
• 会话安全：加固Cookie，防止会话劫持。设置 session.cookie_secure = On（仅HTTPS传输）、session.cookie_httponly = On（禁止Ja vaScript访问）、session.cookie_samesite = Strict（防范CSRF）、session.gc_maxlifetime = 1440（控制会话有效期）。
• 性能与安全：启用OPcache不仅能提升性能，也能固化脚本文件，增加一定的安全系数。示例配置：opcache.enable=1、opcache.memory_consumption=128、opcache.interned_strings_buffer=8、opcache.max_accelerated_files=4000、opcache.revalidate_freq=60。

二 运行时与隔离

配置写好了，还得让它生效，并且确保运行环境本身是隔离、干净的。

• 确认配置文件路径：首先用 php --ini 命令看清楚到底加载了哪个php.ini文件，注意区分CLI和FPM/Apache使用的不同实例。
• 按运行模式分别修改：千万别改错了地方。
  • 如果是Apache模块模式，编辑 /etc/php/{version}/apache2/php.ini；
  • 如果是PHP-FPM，编辑 /etc/php/{version}/fpm/php.ini；
  • CLI模式有自己的配置文件：/etc/php/{version}/cli/php.ini（它只影响命令行执行）。
• 重启服务生效：修改后，服务必须重启。
  • Apache：sudo systemctl restart apache2；
  • PHP-FPM：sudo systemctl restart php{version}-fpm；
  • Nginx+PHP-FPM组合：需要同时重启php-fpm和nginx。
• 目录与权限：遵循最小权限原则。站点目录建议所有权归Web服务用户：chown -R www-data:www-data /var/www/html，权限设为 chmod -R 755 /var/www/html。特别要注意，上传目录必须与可执行脚本分离，并禁止上传目录执行PHP脚本（例如在Nginx配置中，针对上传目录的location段添加对.php文件的返回403规则）。

三 服务器与网络层加固

PHP内部固若金汤，外部的城墙也得筑高。这一层关乎服务器整体的安全态势。

• 启用 HTTPS：如今没有HTTPS简直寸步难行。使用Let’s Encrypt获取免费证书非常方便。命令示例：sudo apt install certbot python3-certbot-apache；然后 sudo certbot --apache（如果用的是Nginx，则使用 certbot --nginx）。
• 防火墙：启用UFW（Uncomplicated Firewall），只开放必要的端口。示例：sudo ufw enable；sudo ufw allow ‘Apache Full’；sudo ufw allow ‘OpenSSH’。
• Web 应用防火墙与防护模块：为Apache装上“安全盔甲”。启用mod_security（WAF）和mod_evasive（防DDoS）模块：sudo a2enmod security2；sudo a2enmod evasive。
• 入侵防护：部署Fail2ban，让它自动监控Apache/Nginx/PHP-FPM的日志，一旦发现暴力破解等恶意行为，立即自动封禁来源IP。

四 验证与维护

安全不是配置完就一劳永逸，持续的验证和更新才是王道。

• 配置生效验证：创建一个临时的 /var/www/html/info.php 文件，内容就是 。通过浏览器访问它，仔细核对前面设置的关键项（如expose_php、disable_functions、open_basedir、session.cookie_secure等）是否都已生效。切记，验证完成后务必删除这个文件！
• 持续更新与依赖管理：建立定期更新习惯。系统层面：sudo apt update && sudo apt upgrade php*。应用层面：如果使用了Composer，定期执行 composer update 来获取依赖包的安全修复。
• 日志与监控：安全运维，日志就是你的眼睛。持续关注 /var/log/php_errors.log 以及Apache/Nginx的访问和错误日志。有条件的话，结合入侵检测系统（IDS）或其他监控工具，能更早地发现异常行为。

五 安全基线示例 php.ini 片段

为了方便参考，这里提供一个浓缩了上述关键配置的php.ini片段。你可以以此为基线，根据业务实际情况进行微调。

expose_php = Off
display_errors = Off
log_errors = On
error_reporting = E_ALL
error_log = /var/log/php_errors.log
allow_url_fopen = Off
allow_url_include = Off
disable_functions = eval,exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source
upload_max_filesize = 2M
post_max_size = 8M
file_uploads = On
max_execution_time = 30
max_input_time = 30
memory_limit = 128M
open_basedir = /var/www:/tmp
session.cookie_secure = On
session.cookie_httponly = On
session.cookie_samesite = Strict
session.gc_maxlifetime = 1440

[opcache]
opcache.enable=1
opcache.memory_consumption=128
opcache.interned_strings_buffer=8
opcache.max_accelerated_files=4000
opcache.revalidate_freq=60

最后提醒一句：所有路径、需要保留的函数白名单以及资源限制阈值，都必须紧密结合你的实际业务需求来调整。任何一次配置变更后，都别忘了重启对应的服务，让新规则真正发挥作用。