Ubuntu下PHP安全配置方法
在Ubuntu上配置PHP安全需保持系统与PHP更新,修改php ini关闭错误显示、禁用危险函数、限制文件上传、设置目录访问范围、强化会话Cookie、隐藏版本信息并配置OPcache,加固Apache或Nginx服务器,严格文件权限,安装Fail2Ban与ModSecurity,强制HTTPS,并定期维护监控。
在 Ubuntu 系统上运行 PHP 时,安全配置必须做得扎实,这比想象中更加重要。服务器是用来承载生产环境的,而不是用来做实验的,因此以下几步值得认真执行。

1. 版本优先,更新打底
安全工作的基础,始终是确保系统与 PHP 保持最新版本。已知漏洞的修复补丁都藏在版本更新中。无需犹豫,直接执行以下命令:
sudo apt update && sudo apt upgrade -y
2. 核心参数,调整 php.ini
2.1 错误报告:关闭前台显示,写入日志
在生产环境中将详细错误信息直接显示在页面上,相当于把自家钥匙挂在门外,极易导致敏感信息泄露。正确做法是禁止错误显示,改为记录到日志文件。
display_errors = Off
log_errors = On
error_log = /var/log/php_errors.log
2.2 危险函数:能禁则禁
某些 PHP 函数(例如 eval、exec、system、shell_exec 等)一旦被利用,攻击者可直接获取服务器控制权。尽管并非所有场景都需要禁用,但绝大多数 Web 应用用不到这些函数。封禁它们,更加安心。
disable_functions = eval,exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec
2.3 文件上传:收紧限制
允许上传文件是一回事,允许上传多大文件是另一回事。应制定严格限制,防止恶意的大文件攻击。
file_uploads = On
upload_max_filesize = 2M # 单个文件上限2MB
post_max_size = 8M # POST数据上限8MB
2.4 目录访问:划定范围
open_basedir 参数可以限制 PHP 脚本能够访问的目录范围。合理配置后,即使某个脚本出现问题,攻击者也无法直接进入系统其他目录进行破坏。
open_basedir = /var/www/html:/tmp
2.5 会话安全:锁定 Cookie
会话劫持是常见问题,需要逐项防御:禁止 JavaScript 访问会话 Cookie、强制通过 HTTPS 传输、限制跨站请求携带 Cookie、设置合理的会话过期时间。
session.cookie_httponly = On
session.cookie_secure = On
session.cookie_samesite = Strict
session.gc_maxlifetime = 1440 # 24分钟
2.6 版本信息:隐藏起来
为什么要将 PHP 版本号写在响应头中,告诉攻击者该用什么版本的漏洞来攻击呢?关闭它。
expose_php = Off
2.7 性能与安全:兼顾 OPcache
OPcache 不仅能加速 PHP 运行,还能让源码保留在缓存中,一定程度上降低源码直接被读取的风险。配置合理的参数如下。
[opcache]
zend_extension=opcache.so
opcache.enable=1
opcache.memory_consumption=128
opcache.interned_strings_buffer=8
opcache.max_accelerated_files=4000
opcache.revalidate_freq=60
3. Web 服务器:配合加固
3.1 如果你使用 Apache
关闭服务器信息泄露,同时安装 ModSecurity——这是 Apache 上最著名的 Web 应用防火墙之一。
# 关闭版本信息
ServerTokens Prod
ServerSignature Off
# 启用ModSecurity
sudo apt install libapache2-mod-security2
sudo a2enmod security2
sudo systemctl restart apache2
3.2 如果你使用 Nginx
确保 PHP 请求通过 PHP-FPM 处理,配置示例如下:
location ~ \.php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/var/run/php/php8.1-fpm.sock;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
4. 文件与目录权限:严格设置
网站目录归属 www-data 用户,目录权限设为 755,文件权限设为 644,这是基本要求。
sudo chown -R www-data:www-data /var/www/html
sudo chmod -R 755 /var/www/html
5. 安全模块:安装即多一层防护
5.1 Fail2Ban
暴力破解是常见攻击方式,Fail2Ban 能自动识别并封禁频繁尝试的 IP 地址。
sudo apt install fail2ban
sudo systemctl enable --now fail2ban
5.2 ModSecurity(针对 Apache)
安装 ModSecurity 后,记得将规则引擎从“仅检测”切换到“开启”状态。
sudo cp /etc/modsecurity/modsecurity.conf-recommended /etc/modsecurity/modsecurity.conf
sudo sed -i 's/SecRuleEngine DetectionOnly/SecRuleEngine On/' /etc/modsecurity/modsecurity.conf
sudo systemctl restart apache2
6. HTTPS:没有商量余地
Let's Encrypt 提供免费 SSL 证书,不要再等待。强制 HTTPS 是整个安全配置中的必修课。
sudo apt install certbot python3-certbot-apache # 如果使用Nginx,将python3-certbot-apache改为python3-certbot-nginx
sudo certbot --apache -d yourdomain.com # 将yourdomain.com替换为你的实际域名
sudo certbot renew --dry-run # 测试自动续期
7. 维护与监控:不是一次性工作
安全配置从来不是做完就了事。每周执行一次系统更新;持续观察 tail -f /var/log/php_errors.log 中是否有异常;定期使用 PHPSA 等工具扫描代码,检查依赖包是否存在已知漏洞。
composer global require php-security/phpsa
phpsa check /path/to/your/code
将上述流程全部执行一遍,Ubuntu 环境下的 PHP 安全性将提升一个层次。当然,具体配置还需根据实际业务场景微调,例如上传文件大小、会话有效期等。安全没有终点,但起点至少需要站稳。
游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。
同类文章
Go微服务熔断后指数退避重试机制配置
熔断器打开后应进入半开状态,再对试探请求启用指数退避重试,避免无效重试。使用gobreaker控制请求准入,backoff控制试探间隔,并启用抖动防止脉冲流量。重试和熔断需分层,重试只针对临时错误,熔断统计重试后的最终结果。
Java多重上界通配符无法直接写入语法的根本原因
Java通配符仅支持单一上界,如?extendsA,无法直接使用多重上界。多重上界(如TextendsA&B)仅适用于泛型类型参数声明,这是Java泛型设计中的语法限制,旨在简化类型系统。若需多约束,需通过类型参数间接实现。
Golang微服务中集成Argo实现GitOps持续发布
Go微服务与ArgoCD边界清晰,Application路径指向manifests目录而非源码。镜像更新通过CI自动提交或argocd-image-updater实现,避免写死latest标签。readinessProbe需合理配置initialDelaySeconds与periodSeconds,确保同步顺畅。
Java中AbstractList的快速失败机制中并发修改检查方法的执行时机
在AbstractList迭代器中,每次调用next()、remove()、previous()、set()或add()时,都会先执行checkForComodification,通过比较modCount与expectedModCount检测并发修改,确保操作时视图一致性,防止状态错乱。
Python中statistics模块快速计算统计学中位数的方法与步骤
使用Python的statistics median()计算中位数需注意:不接受空列表,否则抛出StatisticsError异常;不自动过滤None或非数字值;传入大型生成器可能耗尽内存或导致性能下降。建议先过滤脏数据并转为列表,再计算,同时明确空数据时的处理策略。
- 热门数据榜
相关攻略
2026-07-14 06:59
2026-07-14 06:59
2026-07-14 06:59
2026-07-14 06:59
2026-07-14 06:59
2026-07-14 06:58
2026-07-14 06:58
2026-07-14 06:58
热门教程
- 游戏攻略
- 安卓教程
- 苹果教程
- 电脑教程

