centos中php配置要注意什么

CentOS 中 PHP 配置要点

在 CentOS 上部署 PHP 应用，一个扎实的配置是稳定与性能的基石。下面这份梳理，旨在帮你快速抓住核心，避开那些常见的“坑”。

一 基础准备与配置文件定位

动手之前，先把基础打牢。这就像盖房子前得先平整土地、备好材料。

• 保持系统与软件为最新：首先，运行 sudo yum update -y 来更新系统。如果某些扩展包不在默认仓库里，你可能需要先安装 EPEL 仓库，命令是 sudo yum install epel-release -y。
• 安装常用组件：根据你的应用需求，安装必要的 PHP 包。一套常见的组合拳包括：php、php-fpm、php-mysqlnd、php-gd、php-mbstring、php-xml、php-zip 以及性能利器 php-opcache。
• 明确配置文件路径：配置文件在哪？这取决于你的安装方式。常见的位置有 /etc/php.ini、/etc/php/8.x/fpm/php.ini 以及 PHP-FPM 的池配置 /etc/php-fpm.d/www.conf。如果一时找不到，用这个命令准能定位：php -i | grep ‘Loaded Configuration File’。
• 修改后依次重启服务：任何配置改动后，别忘了重启相关服务让它生效，比如 systemctl restart php-fpm，以及你的 Web 服务器（nginx 或 httpd）。最后，用 php -m 检查一下需要的扩展是否都成功加载了。

二 php.ini 关键参数

主配置文件 php.ini 是 PHP 行为的总开关，这几个板块值得你特别关注。

• 基础与错误：先把时区设对，date.timezone = Asia/Shanghai，避免日志时间错乱。对于生产环境，强烈建议关闭 display_errors，同时开启 log_errors，并指定一个专门的错误日志路径，例如 /var/log/php_errors.log。这样既安全，又便于排查问题。
• 资源与上传：根据业务负载调整资源上限。memory_limit（如 128M–512M）和 max_execution_time（如 30–300秒）是常客。如果有文件上传功能，务必设置好 upload_max_filesize 和 post_max_size（比如都设为 50M），并且记住一个铁律：post_max_size 必须大于等于 upload_max_filesize。
• 扩展启用：很多功能靠扩展实现。找到对应的行，取消注释或新增即可，例如 extension=mysqli.so、extension=pdo_mysql.so。至于能显著提升性能的 OPcache，我们下一节专门讲。

三 PHP-FPM 与 Web 服务器集成

如今，通过 PHP-FPM 与 Nginx/Apache 协作是主流方式。配置得当，效率倍增。

• 进程管理：在 /etc/php-fpm.d/www.conf 中，进程管理模式通常选 dynamic。接下来是关键：合理设置 pm.max_children、pm.start_servers、pm.min_spare_servers、pm.max_spare_servers 和 pm.max_requests。估算 max_children 有个简单公式：可用内存除以单个 PHP 进程平均内存占用。别设太高，小心把系统内存耗光（OOM）。
• 监听与权限：PHP-FPM 监听方式可以是 Unix Socket（如 /run/php-fpm/www.sock）或 TCP 端口（如 127.0.0.1:9000）。确保这里的 user 和 group 与你的 Web 服务器（比如 nginx 或 apache）运行用户一致，否则会出现权限问题。当然，Nginx 配置里 fastcgi_pass 指向的路径或端口，必须和这里完全对应上。
• Nginx 示例：

  location ~ \.php$ {
      include fastcgi_params;
      fastcgi_pass unix:/run/php-fpm/www.sock;
      fastcgi_index index.php;
      fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
  }

• Apache 示例：对于 Apache，需要启用 mod_proxy_fcgi 模块，然后使用类似 SetHandler “proxy:unix:/run/php-fpm/www.sock|fcgi://localhost” 的指令进行袋里。

四 安全加固

安全无小事，尤其是在公网环境。这几道防线建议你逐一检查。

• 信息泄露防护：再次强调，生产环境务必关闭 display_errors，打开 log_errors。同时，想办法隐藏 PHP 版本等敏感信息，无论是在 Web 服务器配置还是响应头里。
• 访问限制：使用 open_basedir 将 PHP 脚本可访问的目录锁定在必要范围内，例如 /var/www/html:/tmp，这能有效隔离风险。
• 函数禁用：在 php.ini 的 disable_functions 中，禁用那些高危函数，比如 exec、shell_exec、system、passthru 等，这是防止命令注入的关键一步。
• 文件与目录权限：遵循最小权限原则。Web 根目录（如 /var/www/html）权限设为 755，里面的 PHP 脚本文件设为 644。文件属主最好和 Web 服务运行用户保持一致，比如 nginx:nginx。
• 网络安全：在防火墙层面，只开放必要的端口（80/443）。命令示例：firewall-cmd --permanent --add-port={80,443}/tcp && firewall-cmd --reload。此外，启用 HTTPS 已经是现代网站的标配。

五 性能优化与运维监控

配置好了，还得让它反赌、跑得稳。这才是运维的终极目标。

• OPcache 必选：对于生产环境，启用 OPcache 几乎是必须的。在 php.ini 中设置几个核心参数：opcache.memory_consumption=128（分配内存）、opcache.max_accelerated_files=4000（缓存文件数）、opcache.revalidate_freq=60（检查周期）。注意，通常会在 CLI 模式下关闭它：opcache.enable_cli=0。
• FPM 调优：结合服务器内存和实际负载精细调整 pm.max_children 等参数。开启慢日志（request_slowlog_timeout，比如设为 5秒）并指定 slowlog 路径，能帮你精准定位性能瓶颈。必要时，开启 pm.status_path 可以实时观察 FPM 状态。
• 网络与压缩：在 Nginx 中开启 Gzip 压缩，能有效减少网络传输体积。对于静态资源和连接管理，可以根据实际情况做进一步优化。
• 日志与验证：建立统一的日志收集机制，囊括 PHP-FPM 的错误日志、慢日志以及 Nginx 的错误日志。上线前，用一个简单的 info.php 页面验证配置是否按预期生效。最后，定期审计配置和更新系统，是好习惯的体现。