Linux LAMP服务器安全性怎样保障

Linux LAMP服务器安全性保障清单

一 系统层加固

• 保持系统与组件持续更新：启用自动安全更新（如 Debian/Ubuntu 的 unattended-upgrades，RHEL/CentOS 的 yum-cron），及时修补内核与 Apache/MySQL/PHP 漏洞。
• 账户与权限最小化：禁止 root 远程登录，创建具备 sudo 的普通用户；清理无用/默认账户；为关键文件设置不可变属性（如 chattr +i /etc/passwd /etc/shadow）；Web 目录按最小权限设置（如目录 755、文件 644，属主 www-data:www-data）。
• 服务与端口最小化：关闭 telnet、rsh、rpcbind、vsftpd 等不必要服务；仅开放 80/443/22（或更严格的 IP 白名单）等必要端口。
• 引导与控制台安全：设置 BIOS/UEFI 与 GRUB 启动口令，限制单用户模式直接获取 root。
• 内核与网络防护：启用 SYN Flood 防护、禁止 ICMP 重定向、限制核心转储；必要时对管理口与数据库端口实施 IP 白名单。
• 完整性校验与审计：部署 AIDE/OSSEC 做文件完整性监控；启用 auditd 记录关键系统调用；日志集中化与长期留存。

二 网络与远程访问

• 防火墙精细化：使用 iptables/firewalld/ufw 仅放行 HTTP/HTTPS，对 SSH 采用来源 IP 白名单；示例（iptables）：仅允许 80/443 与受信 IP 的 22 端口。
• SSH 安全：禁用 root 登录与密码认证，启用 SSH 密钥；可更改默认端口并限制可登录用户；结合 fail2ban 自动封禁暴力破解（如 maxretry=3, bantime=1h）。
• 传输加密：为站点启用 HTTPS/TLS，妥善管理证书与私钥，避免明文传输敏感数据。
• 边界与纵深防御：在条件允许时叠加 WAF/CDN（如 Cloudflare），过滤恶意流量与常见 Web 攻击。

三 Apache MySQL PHP 组件安全

• Apache：禁用目录列表与不必要的 CGI/模块；隐藏服务器版本信息；为不同站点使用独立 VirtualHost 与日志；以专用用户/组运行；必要时采用 chroot 或容器隔离。
• MySQL：运行 mysql_secure_installation；删除匿名/空口令账户，禁止 root 远程登录；按“最小权限”授予数据库与账户权限；限制连接来源；开启/审计错误与查询日志。
• PHP：在 php.ini 中关闭信息泄露与危险特性（如 expose_php=Off、display_errors=Off、log_errors=On、allow_url_fopen=Off、allow_url_include=Off）；设置 open_basedir 限制脚本访问路径；禁用危险函数（如 eval、exec、shell_exec 等）；开启 OPcache 并合理配置；使用 Composer 安全顾问（如 roave/security-advisories）管理依赖漏洞。

四 应用与数据安全

• 纵深防御与 OWASP Top 10：在应用层落实输入校验、参数化/预编译查询、输出编码、CSRF/Headers 安全（如 X-Frame-Options、X-XSS-Protection、Content-Security-Policy）、会话管理加固（如 HttpOnly、Secure 标记）。
• 文件上传安全：校验 MIME 类型与大小，重命名与隔离上传目录，禁止脚本执行，限制可写目录。
• 备份与恢复：制定覆盖代码、配置与数据库的定期全量/增量备份策略，异地/离线保存，定期演练恢复流程，确保 RPO/RTO 达标。
• 监控与响应：集中收集与分析 /var/log/（如 secure、auth.log、apache2/error.log）与 MySQL 慢查询/错误日志；对异常登录、暴力尝试、未知进程、关键文件变更设置告警与处置流程。

五 30分钟快速加固清单与验证

• 加固动作（示例命令与配置）
  • 系统更新与自动安全更新：
    • Debian/Ubuntu：sudo apt update & & sudo apt upgrade -y & & sudo dpkg-reconfigure -plow unattended-upgrades
    • RHEL/CentOS：sudo yum update -y & & sudo systemctl enable --now yum-cron
  • SSH 加固（/etc/ssh/sshd_config）：
    • PermitRootLogin no、PasswordAuthentication no、AllowUsers your_username；重启 sudo systemctl restart sshd
  • 防火墙放行：
    • UFW：sudo ufw allow 80,443/tcp & & sudo ufw allow from < TRUSTED_IP> to any port 22 & & sudo ufw enable
    • iptables：仅放行 80/443 与受信 IP 的 22 端口
  • Fail2ban：启用 [sshd] 监狱（如 maxretry=3, bantime=1h）
  • Web 目录权限：sudo chown -R www-data:www-data /var/www/html & & sudo find /var/www/html -type d -exec chmod 755 { } \; & & sudo find /var/www/html -type f -exec chmod 644 { } \;
  • PHP 基础安全（php.ini）：expose_php=Off、display_errors=Off、log_errors=On、allow_url_fopen=Off、allow_url_include=Off、session.cookie_httponly=1、session.cookie_secure=1
  • MySQL 初始化：mysql_secure_installation，删除匿名/空口令账户，禁止 root 远程
  • 完整性监控与审计：sudo apt install aide & & sudo aideinit & & sudo aide --check；sudo systemctl enable --now auditd
• 验证要点
  • 仅 80/443 对外开放，22 仅对受信 IP 可达
  • ssh root@< IP> 被拒绝，密钥登录正常
  • 访问不存在目录返回 403 而非目录列表
  • 错误页面不泄露 PHP/Apache/MySQL 版本
  • fail2ban 能在多次失败登录后自动封禁
  • 备份任务存在且可成功恢复演练

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！