php-fpm在centos上如何安全设置

在CentOS上安全设置PHP-FPM的实践指南

为Web应用部署PHP环境时，安全性是首要考量。在CentOS系统上配置PHP-FPM，遵循一套严谨的步骤，能有效加固服务，降低潜在风险。下面就来详细拆解这个过程。

1. 安装PHP-FPM

第一步自然是安装。通过yum包管理器可以轻松完成。例如，如果需要安装PHP 7.4版本，可以依次执行以下命令：

sudo yum install epel-release
sudo yum install php74-php-fpm

2. 配置PHP-FPM

安装完成后，核心工作在于配置。主配置文件通常位于 /etc/php-fpm.d/www.conf。使用你熟悉的文本编辑器打开它，比如：

sudo vi /etc/php-fpm.d/www.conf

3. 更改监听模式

在 www.conf 文件中，找到 listen 指令。默认配置可能指向 127.0.0.1:9000。一个提升安全性的好习惯是将其改为Unix套接字模式，例如：

listen = /tmp/php-fpm.sock

这么做的好处是什么？相较于TCP/IP端口，Unix套接字将通信严格限制在本地进程之间，相当于给进程间通信加了一道“内部门禁”，减少了通过网络被外部探测或攻击的可能性。

4. 设置用户和组

永远不要让服务以root权限运行，这是安全的基本原则。在同一个配置文件中，找到 user 和 group 指令，将它们设置为一个非特权用户和组，例如Web服务器常用的 apache 或 nginx：

user = apache
group = apache

5. 限制访问权限

进一步收紧访问控制。找到 listen.allowed_clients 指令。如果它为空，意味着允许任何客户端连接，这显然不够安全。稳妥的做法是将其限制为仅允许本地服务器连接：

listen.allowed_clients = 127.0.0.1

6. 禁用危险函数

PHP的灵活性背后，一些内置函数可能成为安全隐患。我们需要在 php.ini 文件中将其禁用。编辑此文件：

sudo vi /etc/php.ini

找到 disable_functions 指令，添加那些通常与系统命令执行相关的危险函数，例如：

disable_functions = eval,exec,passthru,shell_exec,system

这相当于收回了PHP脚本直接操作系统的“高危权限”，能有效阻断很多通过Web应用发起的命令注入攻击。

7. 设置文件权限

合理的文件权限是最后一道基础防线。确保PHP脚本文件和相关目录的权限设置得当——通常，文件权限设为644，目录权限设为755是通用的安全起点。灵活运用 chmod 和 chown 命令来完成这项设置。

8. 配置防火墙

如果服务器启用了防火墙（如firewalld），务必确保只开放必要的服务端口。对于Web服务器，通常就是HTTP（80）和HTTPS（443）端口。可以这样配置：

sudo firewall-cmd --permanent --zone=public --add-service=http
sudo firewall-cmd --permanent --zone=public --add-service=https
sudo firewall-cmd --reload

这道屏障确保了只有合法的Web流量能够进入服务器。

9. 定期更新和监控

安全配置并非一劳永逸。建立定期更新PHP和PHP-FPM软件包的习惯，及时获取并应用最新的安全补丁。同时，养成监控服务器日志（如 /var/log/php-fpm/ 下的日志）的习惯，主动发现异常访问或错误，防患于未然。

说到底，服务器安全是一个系统工程。以上述步骤为基线，在CentOS上设置PHP-FPM，能为你的Web应用构建一个坚实且可靠的后端运行环境。