在CentOS上提高PHP应用的安全性需要采取多方面的措施。以下是一些关键的步骤:
系统及软件包更新
- 保持系统和所有软件包的最新版本,及时安装安全补丁。
sudo yum update
防火墙配置
- 使用Firewalld精细控制服务器的网络访问,仅开放必要的端口,例如HTTP (80) 和HTTPS (443)。
sudo yum install firewalld
sudo systemctl start firewalld
sudo systemctl enable firewalld
sudo firewall-cmd --zone=public --add-port=80/tcp --permanent
sudo firewall-cmd --zone=public --add-port=443/tcp --permanent
sudo firewall-cmd --reload
PHP安全设置
- 修改php.ini文件,强化PHP配置。
- 关闭错误显示,启用
open_basedir限制文件访问路径,并设置合理的文件上传大小限制。
sudo vi /etc/php.ini
# display_errors = Off
# open_basedir = "/var/www/html:/tmp" (根据实际路径调整)
# upload_max_filesize = 2M
# post_max_size = 8M
安装必要的PHP扩展
- 安装一些关键的PHP扩展,例如
php-mcrypt、php-gd、php-mbstring和php-bcmath,增强安全性及功能。
sudo yum install php-mcrypt php-gd php-mbstring php-bcmath
启用HTTPS
- 使用HTTPS协议加密网站流量,安装并配置SSL证书。
sudo yum install mod_ssl
sudo systemctl restart httpd
# 配置 /etc/httpd/conf.d/ssl.conf (将SSL证书和密钥文件配置到此文件中)
用户及账户安全
- 删除不必要的系统账户,更改SSH默认端口,并强制使用强密码策略,禁用root直接登录。
userdel adm userdel lp userdel sync userdel shutdown userdel halt userdel news userdel uucp userdel operator userdel games userdel gopher userdel ftps
sudo passwd -dl user1 user2 ... (替换user1, user2为需要修改密码的用户)
sudo sed -i 's/PermitRootLogin prohibit-password/PermitRootLogin no/' /etc/ssh/sshd_config
数据备份
- 定期备份网站数据和数据库,以防数据丢失或损坏。
mkdir -p /backup
rsync -avz --delete /var/www/html/ /backup/website_backup/
mysqldump -u[数据库用户名] -p[数据库密码][数据库名] | gzip > /backup/website_backup.sql.gz
安全模式及禁用危险函数
- 在php.ini中启用
safe_mode(已在较新PHP版本中移除,不推荐使用) 或禁用一些潜在危险的PHP函数,例如exec()、shell_exec()等。
# safe_mode = On (不推荐)
disable_functions = exec,shell_exec,system,passthru,popen,proc_open (根据实际情况选择禁用函数)
SELinux (可选)
- 启用SELinux可以提供更严格的安全防护,但需要仔细配置以避免与应用程序冲突。
通过以上措施,可以显著提高CentOS服务器上PHP应用的安全性。