CentOS 上加固 PHP 的实用清单

在CentOS上部署PHP应用,安全是绕不开的一环。下面这份清单,从系统底层到应用边界,梳理了关键的加固步骤,帮你把安全基线拉起来。
一 系统与基础防护
安全这事儿,地基得先打牢。系统层面的防护,是后续所有工作的前提。
- 保持系统与软件包为最新:这是最基础也最有效的一招。及时安装安全补丁,命令很简单:
sudo yum update -y。养成定期更新的习惯,很多已知漏洞其实就这么堵上了。 - 仅开放必要端口:别把大门敞开着。使用 firewalld 精准控制,只放行业务必需的端口(比如80/443)。具体操作如下:
sudo yum install -y firewalld sudo systemctl start firewalld && sudo systemctl enable firewalld sudo firewall-cmd --permanent --add-service=http sudo firewall-cmd --permanent --add-service=https sudo firewall-cmd --reload - 启用 SELinux(推荐):它确实是道“麻烦”的墙,但也是强有力的安全模块。建议先启用(
sudo setenforce 1)。如果和业务有冲突,正确的做法是根据日志去调整策略,而不是图省事直接关闭。 - 全站启用 HTTPS:现在这已经是标配了。安装 mod_ssl 并配置好证书,确保数据在传输过程中是加密的,避免敏感信息裸奔。
二 PHP 运行时安全配置
PHP本身的配置是防御的核心阵地。编辑 /etc/php.ini 或 /etc/php.d/*.ini 文件,下面这些项值得你重点关注(具体路径和值请务必结合自身业务验证)。
| 配置项 | 建议值 | 说明 |
|---|---|---|
| display_errors | Off | 生产环境切记关闭,别在浏览器里给攻击者暴露错误细节和路径。 |
| log_errors | On | 错误要记下来,但得记到日志里,方便后续审计排查。 |
| error_log | /var/log/php_errors.log | 给PHP错误日志指定个专属路径,别跟系统日志混在一起。 |
| expose_php | Off | 隐藏那个会透露版本的 X-Powered-By: PHP/… 头,减少信息泄露。 |
| allow_url_fopen | Off | 除非业务必需,否则关掉它,能有效防范远程URL文件包含或读取的风险。 |
| allow_url_include | Off | 这个更要紧,直接禁止远程文件包含执行,堵死一条常见的攻击路径。 |
| open_basedir | /var/www/html:/tmp | 给PHP脚本的活动范围划个圈,限制其可访问的目录。如果是多站点,记得分别设置。 |
| disable_functions | system,exec,shell_exec,passthru,proc_open,popen,eval,assert,show_source | 这份高危函数禁用清单请收好。实际操作时,可以根据应用兼容性做适当精简。 |
| file_uploads | On/Off | 如果网站压根不需要上传功能,直接关了最省心。 |
| upload_max_filesize | 2M(示例) | 结合业务实际需求来设定,在满足功能的前提下,尽量调低。 |
| post_max_size | 8M(示例) | 这个值要设置得比上面的上传文件上限大一些。 |
| session.cookie_httponly | 1 | 启用后,Cookie无法通过客户端脚本(如Ja vaScript)访问,能防XSS窃取会话。 |
| session.cookie_secure | 1 | 在HTTPS环境下启用,确保会话Cookie只在加密连接中传输。 |
| session.cookie_samesite | Strict/Lax | 设置SameSite属性,能有效缓解CSRF(跨站请求伪造)攻击。 |
| opcache.enable | 1 | 建议开启。这不仅是性能翻跟斗,通过缓存编译后的操作码,还能在一定程度上减少攻击面(当然,要配合好其他安全配置)。 |
特别注意:老生常谈的 safe_mode 在较新版本的PHP中已经移除了,别再依赖它。如果需要类似的隔离效果,请转向 open_basedir、容器/沙箱技术或者前面提到的SELinux。
三 PHP-FPM 与进程隔离
让PHP进程在一个受控的“沙盒”里跑,能有效限制漏洞的影响范围。
- 运行身份最小化:编辑
/etc/php-fpm.d/www.conf,把运行用户和组从 root 改成非特权用户(比如 apache 或者专门创建的 php-fpm 用户)。同时,确保这个用户只对网站目录拥有必要的最小权限。 - 进程与超时控制:合理配置
pm.max_children、pm.start_servers等进程管理参数。别忘了设置request_terminate_timeout,给单个请求的执行时间上个“闹钟”,防止慢速攻击和资源被耗尽。 - 监听方式:优先使用 Unix 套接字(例如
/run/php-fpm/www.sock)进行通信,而不是监听网络端口。这样可以减少不必要的网络暴露面。 - 修改后重启:配置调整完毕,记得用
sudo systemctl restart php-fpm让新设置生效。
四 Web 服务器与边界防护
Web服务器是流量的入口,这里的配置是最后一道应用层防线。
- Apache 用户看这里:
- 隐藏信息:设置
ServerTokens Prod和ServerSignature Off,别轻易暴露版本和签名信息。同时,把TraceEnable设为 Off,禁用TRACE方法。 - 目录与执行控制:在
配置段中,使用Options -Indexes +FollowSymLinks来禁止目录列表、允许符号链接。根据需求设置AllowOverride和访问权限。此外,检查并禁用那些用不着的模块,比如 mod_cgi、mod_include、mod_userdir、mod_status、mod_info 等,减少潜在风险。
- 隐藏信息:设置
- Nginx 用户看这里:
- 在 location 块中,确保只解析合法的
.php文件,并通过fastcgi_pass unix:/run/php-fpm/www.sock;这样的指令正确转发给PHP-FPM。关键一点,要确保SCRIPT_FILENAME参数正确指向磁盘上的实际文件路径,避免因配置不当导致任意文件被当作PHP执行。
- 在 location 块中,确保只解析合法的
- 边界与WAF:前面提到的 firewalld 已经做了端口限制。如果条件允许,可以考虑部署像 ModSecurity 这样的 Web 应用防火墙(WAF)组件,利用其规则集来增强对恶意请求的识别和拦截能力。
五 运维与持续安全
安全不是一次性的配置,而是一个持续的过程。
- 持续更新与备份:定期执行
yum update保持系统更新。制定并严格执行网站文件与数据库的备份策略(例如每日增量、每周全量),并且要定期演练恢复流程,确保备份真的可用。 - 最小权限与目录加固:网站目录权限避免图省事设置为 777。对于用户上传目录,务必在Nginx或PHP-FPM配置中限制其脚本执行权限(例如,让该目录下的
.php文件无法被解析执行)。同时,严格控制日志文件的权限和属主,防止日志被篡改或读取。 - 安全审计与监控:将 PHP 错误日志和 Web 访问日志集中收集起来进行分析。对日志中的异常请求模式、可疑的上传行为、高危函数调用失败等情况设置告警,以便能第一时间发现潜在的攻击迹象。
