1. 系统及PHP版本更新
保持CentOS系统和PHP为最新版本是安全基础,及时修复已知漏洞。使用sudo yum update命令更新系统;若需安装最新版PHP,可启用Remi或EPEL仓库(如sudo yum install epel-release、sudo yum install https://rpms.remirepo.net/enterprise/remi-release-7.rpm),再通过sudo yum-config-manager --enable remi-phpXX(XX为版本号,如74、80)启用对应仓库,最后执行sudo yum update php*更新PHP。
2. 防火墙配置
使用Firewalld限制服务器网络访问,仅开放必要端口(HTTP 80、HTTPS 443)。执行以下命令:sudo yum install firewalld && sudo systemctl start firewalld && sudo systemctl enable firewalld,然后添加端口规则:sudo firewall-cmd --zone=public --add-port=80/tcp --permanent && sudo firewall-cmd --zone=public --add-port=443/tcp --permanent,最后重载防火墙:sudo firewall-cmd --reload。
3. PHP核心安全配置
编辑/etc/php.ini文件,调整以下关键参数:
display_errors = Off(避免敏感信息泄露),log_errors = On(将错误记录到/var/log/php_errors.log),并设置error_log = /var/log/php_errors.log;disable_functions = eval,exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source(防止命令执行、文件操作等恶意行为);file_uploads = On(允许上传),upload_max_filesize = 2M(单文件最大2MB),post_max_size = 8M(POST数据最大8MB);session.cookie_httponly = On(防止XSS窃取Cookie)、session.cookie_secure = On(仅HTTPS传输Cookie)、session.cookie_samesite = Strict(限制跨站请求)、session.use_strict_mode = On(防止会话固定);allow_url_fopen = Off(禁止远程文件包含)、allow_url_include = Off(禁止远程文件引入)、magic_quotes_gpc = Off(关闭自动转义,避免干扰数据处理)。4. PHP-FPM安全配置(若使用)
编辑/etc/php-fpm.d/www.conf文件,调整以下参数:
user = apache(或www-data,根据实际用户)、group = apache(或www-data),listen.owner = apache、listen.group = apache(监听文件权限归属),listen.mode = 0660(限制监听文件访问权限);security.limit_extensions = .php .php3 .php4 .php5 .php7(仅允许指定扩展名的脚本执行)。5. Web服务器安全配置
/etc/httpd/conf/httpd.conf或站点配置文件,添加<Directory "/var/www/html">Options -Indexes +FollowSymLinks AllowOverride All Require all granted</Directory>(禁止目录列表,允许符号链接跟随,限制访问权限);/etc/nginx/nginx.conf或站点配置文件,在location ~ \.php$块中添加fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; include fastcgi_params;(确保PHP脚本路径正确),并设置client_max_body_size 8M;(限制上传文件大小)。6. 启用HTTPS加密
使用Certbot获取免费SSL证书并配置HTTPS。执行sudo yum install certbot python2-certbot-nginx(Nginx)或sudo yum install certbot python2-certbot-apache(Apache),然后运行sudo certbot --nginx -d yourdomain.com(替换为实际域名),按提示完成证书安装。证书到期前会自动提醒续期。
7. 安全模块安装
安装ModSecurity(Web应用防火墙)增强防护。执行sudo yum install mod_security,启动服务sudo systemctl enable mod_security && sudo systemctl start mod_security,并通过/etc/modsecurity/modsecurity.conf调整规则(如开启SecRuleEngine On)。
8. 定期备份与监控
rsync备份网页文件:rsync -avz --delete /var/www/html/ /backup/website_backup/,使用mysqldump备份数据库:mysqldump -u[用户名] -p[密码] [数据库名] | gzip > /backup/db_backup.sql.gz;fail2ban防止暴力破解(如sudo yum install fail2ban,配置/etc/fail2ban/jail.local启用SSH、Apache防护),定期检查/var/log/php_errors.log、Web服务器日志(如/var/log/httpd/access_log),及时发现异常访问。
