PHP在Linux上如何配置安全

Linux上PHP安全配置清单

一 基础与最小化原则

安全配置的起点，往往在于回归基础与恪守最小化原则。这并非什么高深理论，而是无数安全事件后总结出的铁律。

首先，保持系统和PHP版本处于最新状态，及时修补已知漏洞，这是堵住已知风险最直接有效的一环。同时，仅安装业务真正必需的PHP扩展，每多一个扩展，就意味着潜在的攻击面多了一分。

权限控制是另一道关键防线。Web服务与PHP-FPM进程务必使用专用的非root用户（例如常见的www-data）来运行，并严格遵循最小权限原则来配置目录和文件的访问权限。这能有效限制攻击者即便突破应用层，也无法在系统层面为所欲为。

说到应用层，对用户输入保持“零信任”是必须的。所有输入数据都应经过严格校验与过滤，输出到页面时，务必使用htmlspecialchars等函数进行转义。此外，启用CSP（内容安全策略）能极大地降低跨站脚本攻击的风险，为你的网站再加一把锁。

数据库交互是安全重灾区。请务必使用PDO或MySQLi的预处理语句来防止SQL注入，这是经过验证的最佳实践。最后，切记在生产环境中关闭调试信息输出，避免将系统内部细节暴露给潜在的攻击者。

二 php.ini关键安全指令

php.ini是PHP行为的“总开关”，其中的安全配置直接影响着整个应用的安全水平。第一步是找到它：通常可以在Web环境下创建一个phpinfo.php文件，查看“Loaded Configuration File”路径。需要注意的是，不同的SAPI运行模式（如Apache模块、Nginx+PHP-FPM、CLI命令行）可能会加载不同的配置文件副本，修改后需要重启对应的服务才能生效。

对于生产环境，以下几个关键指令区需要重点关注（可根据实际业务需求微调）：

• 错误与日志
  • display_errors = Off – 禁止向用户显示错误信息。
  • log_errors = On – 将错误记录到日志。
  • error_log = /var/log/php_errors.log – 指定独立的错误日志文件。
  • error_reporting = E_ALL & ~E_NOTICE & ~E_STRICT & ~E_DEPRECATED – 报告所有错误，但忽略通知、严格标准和弃用警告。
• 信息泄露与攻击面
  • expose_php = Off – 隐藏PHP版本信息。
  • allow_url_fopen = Off – 禁止通过URL打开文件。
  • allow_url_include = Off – 禁止通过URL包含文件。
• 危险函数与代码执行
  • disable_functions = exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source – 禁用可能导致命令执行或信息泄露的高危函数。
• 文件系统访问
  • open_basedir = /var/www/html:/tmp – 将PHP可访问的文件限制在指定目录树内。
• 会话与Cookie
  • session.cookie_httponly = 1 – 防止Cookie通过Ja vaScript被访问，缓解XSS攻击。
  • session.cookie_secure = 1 – 仅通过HTTPS传输Cookie（全站启用HTTPS时开启）。
• 资源与性能（与安全相关）
  • memory_limit = 128M – 限制单脚本内存消耗。
  • max_execution_time = 30 – 限制脚本最大执行时间。
  • opcache.enable=1 – 开启OPcache以提升性能，生产环境建议开启。

需要特别说明的是，如果应用确实需要远程包含或URL fopen功能，更安全的做法是使用经过严格审计的特定库（如cURL）并在调用端实施严格的输入校验和URL白名单机制，而不是简单地全局放开这两个高危选项。

三 Web服务器与PHP-FPM安全

PHP的安全离不开Web服务器这一层的紧密配合。以目前主流的Nginx + PHP-FPM组合为例，配置上有很多细节值得打磨。

首先是PHP-FPM池的配置（通常在/etc/php/7.x/fpm/pool.d/www.conf）：确保进程以非root用户运行，设置listen.owner和listen.group为如www-data；同时，将监听套接字的权限设置为最小化，例如listen.mode = 0660。

在Nginx配置中，安全要点在于“精准”和“拦截”：

• 精准解析PHP：确保只对合法的.php文件进行解析，并正确设置脚本路径。

  location ~ \.php$ {
      include snippets/fastcgi-php.conf;
      fastcgi_pass unix:/var/run/php/php7.x-fpm.sock;
      fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
      include fastcgi_params;
  }

• 拦截敏感文件访问：直接拒绝访问版本控制文件（如.git、.svn）和.htaccess等配置文件。

  location ~ /\.(ht|git|svn) {
      deny all;
  }

• 启用全站HTTPS与HSTS：强制使用加密连接，并告知浏览器长期使用HTTPS访问。

  listen 443 ssl;
  ssl_certificate /path/to/cert.crt;
  ssl_certificate_key /path/to/key.key;
  add_header Strict-Transport-Security “max-age=63072000” always;

对于Apache用户，核心建议包括：使用Options -Indexes禁用目录列表，限制对.ht*文件的访问，并在有更高安全需求时，考虑启用mod_security模块来提供Web应用防火墙能力。

四 文件权限与隔离

文件系统是攻击者横向移动和持久化驻留的主要战场，因此权限与隔离策略至关重要。

在所有权方面，Web根目录及上传目录的所有者应设置为Web服务运行用户（如www-data），目录权限建议设置为755。尤其对于上传目录，必须禁止其中任何文件的执行权限，例如在Nginx中可以通过location ~* \.php$ { deny all; }来阻止上传目录中的PHP文件被解析。

配置文件、加密密钥、数据库备份等敏感文件，必须移出Web根目录，或者通过严格的访问控制列表确保其无法通过Web被直接访问。

除了基础的权限设置，还可以通过open_basedir指令（在php.ini中）将PHP脚本可访问的文件范围严格限制在项目根目录和必要的临时目录（如/tmp）内，形成一道逻辑隔离墙。

对于安全性要求极高的环境，启用SELinux或AppArmor等强制访问控制框架是更高级的选择。它们能为PHP-FPM或Apache进程定义严格的行为策略，极大地增加攻击者提权或进行横向移动的难度。

五 运行监控与维护

安全配置并非一劳永逸，持续的监控与维护才是长治久安之道。

日志与告警是安全运维的眼睛。务必开启PHP错误日志和Web服务器访问日志，并进行集中采集和定期审计。可以设置告警规则，对异常状态码（如大量5xx错误）、可疑User-Agent、频繁的404或403访问尝试进行监控，以便及时发现攻击迹象。

更新与备份是安全的后盾。建立定期执行系统与软件包更新的流程，同时，为应用程序和数据库建立可靠的定期备份机制，并定期进行恢复演练，确保在遭遇安全事件时能快速恢复业务。

最后，主动的安全测试与加固不可或缺。定期使用OWASP ZAP、Burp Suite等工具对应用进行安全扫描。根据业务风险，可以考虑引入WAF或入侵防御系统。对于应用中不可避免需要执行外部命令的场景，必须采用白名单机制并对参数进行最严格的校验。