LNMP安全防护有哪些策略

LNMP安全防护策略清单

一 系统与基础安全

• 保持持续更新：及时为Linux、Nginx、MySQL、PHP及依赖打补丁，修复已知漏洞。
• 最小权限与账户治理：避免直接使用root，创建具备sudo的普通用户；必要时禁用root远程登录。
• 强化访问控制：仅开放必要端口（如80/443），对管理口或数据库端口实施IP白名单。
• 防火墙策略：使用iptables/firewalld/ufw设置默认拒绝，按需放行；变更前保留当前规则备份。
• 入侵防护：部署Fail2ban对SSH、Nginx等进行暴力破解与异常访问封禁。
• 完整性校验与审计：使用Tripwire做文件完整性监控，配合Logwatch进行日志汇总与告警。
• 可选强制访问控制：启用SELinux或等价机制，细化进程与文件访问边界。

二 网络与防火墙配置

• 原则：默认拒绝入站，仅放行80/443（对外服务），管理端口（如22）限制来源IP；数据库端口（如3306）优先仅本地或内网访问。
• firewalld示例（CentOS 7+）：
  • 放行HTTP/HTTPS：firewall-cmd --permanent --zone=public --add-service=http 与 --add-service=https
  • 重新加载：firewall-cmd --reload
• iptables示例（谨慎操作，避免锁死SSH）：
  • 设置默认策略：iptables -P INPUT DROP; iptables -P FORWARD DROP; iptables -P OUTPUT ACCEPT
  • 放行必要端口：iptables -A INPUT -p tcp --dport 80 -j ACCEPT 与 --dport 443 -j ACCEPT
  • 保存与启用：按发行版执行保存与开机自启命令。

三 Nginx 加固要点

• 隐藏版本信息：在配置中关闭server_tokens，减少信息泄露。
• 全站HTTPS：部署TLS证书（如Let’s Encrypt），配置HTTP→HTTPS强制跳转与强加密套件。
• 安全响应头：启用并合理配置X-Content-Type-Options、X-Frame-Options、Content-Security-Policy等。
• 目录与信息泄露防护：关闭autoindex，禁止目录浏览。
• 请求与连接限制：限制请求体大小、速率与并发连接，缓解DoS与滥用。
• 访问控制：基于IP或网络对管理后台、敏感路径实施访问控制策略。

四 PHP 与 MySQL 加固

• PHP（php.ini 与运行时）：
  • 关闭暴露：expose_php = Off；生产环境关闭display_errors，开启log_errors并记录到专用日志。
  • 禁用危险函数：disable_functions = exec,passthru,shell_exec,system,proc_open,popen,...
  • 路径隔离：open_basedir限制脚本读写目录（如仅允许网站根目录与临时目录）。
  • 会话安全：session.cookie_httponly=1、session.cookie_secure=1、session.use_strict_mode=1。
  • 上传安全：严格校验MIME类型与大小，上传目录与Web根目录分离，避免执行权限。
• MySQL：
  • 账户与权限：为所有用户设置强密码，遵循最小权限与最小可见库表原则。
  • 加密与访问控制：优先使用TLS连接数据库，限制来源IP，禁止公网直连。
  • 安全初始化与日志：完成安全初始化，启用与安全相关的日志与审计。

五 监控审计 备份与应急响应

• 日志与监控：集中收集并定期审计Nginx、MySQL、PHP错误日志；使用Prometheus + Grafana或Netdata做性能与安全态势监控并设置告警。
• 备份与恢复：定期备份配置、代码、数据库，进行异地/多副本存储，定期恢复演练验证可用性。
• 主动防护与测试：在边界或主机侧部署WAF（如Cloudflare或ngx_lua_waf），并定期进行安全审计与渗透测试，及时修补发现的问题。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！