以下是PHP在Ubuntu上的安全配置要点：

1. 系统与软件更新
   定期更新系统和PHP包，修复安全漏洞：

   sudo apt update && sudo apt upgrade  
   

2. 配置php.ini关键参数

   • 禁用危险函数：如exec, system, passthru等。
   • 限制文件上传：设置upload_max_filesize和post_max_size，并限制上传目录权限。
   • 关闭信息泄露：设置expose_php=Off，隐藏PHP版本信息。
   • 错误处理：生产环境关闭display_errors，开启log_errors并记录到安全路径。

3. Web服务器配置

   • Apache/Nginx：确保仅允许必要的模块（如PHP模块），禁用不必要的HTTP方法。
   • HTTPS加密：使用Let’s Encrypt配置SSL/TLS，强制HTTPS访问。

4. PHP-FPM安全加固（若使用）

   • 非特权运行：以www-data用户/组运行，限制监听为Unix socket（非TCP）。
   • 进程限制：通过pm.max_children等参数控制进程数量，防止资源滥用。

5. 防火墙与访问控制

   • 使用UFW限制仅允许SSH、HTTP/HTTPS流量，禁止PHP-FPM端口（若为TCP）的直接访问。
   • 配置Fail2Ban防止暴力破解。

6. 文件与权限管理

   • Web根目录权限设为755，PHP文件设为644，敏感文件（如配置文件）限制为600。
   • 禁止上传目录执行PHP脚本，通过Nginx/Apache规则拦截。

7. 安全模块与工具

   • 启用ModSecurity（Web应用防火墙）拦截恶意请求。
   • 使用OPcache提升性能并减少代码暴露风险。

8. 监控与维护

   • 定期审计日志（如/var/log/php-fpm.log），监控异常请求。
   • 备份重要数据，定期测试恢复流程。

参考来源：