centos lamp如何保障安全

CentOS LAMP 安全加固清单

一 系统与基础防护

• 保持系统与组件持续更新：执行yum/dnf update并重启相关服务，及时获取安全补丁；变更前做好配置与数据备份，变更后在测试环境验证后再上线。对于仍在CentOS 7上的业务，需关注其已于2024-12-30停服带来的安全维护风险，建议规划迁移至受支持的发行版。
• 强化SSH：禁用root远程登录、改用SSH 密钥认证，必要时更改默认端口，仅允许受控来源 IP 访问管理口。
• 启用并正确配置firewalld：仅开放必要端口（如80/443），数据库端口3306默认仅内网开放；可按需配置IP 白名单与端口转发规则。
• 保持SELinux为enforcing并按需设置策略，避免直接关闭；它是限制服务越权访问的重要防线。

二 Apache 安全配置

• 隐藏版本与标识：设置ServerTokens Prod、ServerSignature Off，减少攻击者信息搜集面。
• 禁止目录遍历：在目录配置中使用Options -Indexes，避免暴露目录结构。
• 限制敏感目录与来源：对管理后台、配置文件目录使用Order/Deny/Allow或Require ip限制仅可信网段访问。
• 禁用不必要的执行能力：对上传目录等使用Options -ExecCGI -Includes，降低被上传 Webshell 执行的风险。
• 运行在虚拟主机中，避免以root或默认目录直接对外服务；按需禁用不需要的模块，减少攻击面。

三 MariaDB MySQL 安全

• 运行mysql_secure_installation：设置强root密码、移除匿名用户、禁止root 远程登录、删除test库。
• 最小权限原则：应用数据库用户遵循最小权限与最小可见库表；避免使用root连接应用。
• 网络访问控制：数据库默认仅127.0.0.1监听；如确需远程管理，仅在内网开放3306并结合防火墙/IP 白名单与TLS加密通道。
• 定期备份与恢复演练：使用mysqldump定期备份，验证恢复流程可用。

四 PHP 与 Web 应用安全

• 降低信息泄露：设置expose_php = Off，关闭display_errors，生产环境开启log_errors写入安全日志。
• 限制远程包含与代码执行：关闭allow_url_fopen与allow_url_include，防止远程文件包含与代码执行。
• 禁用危险函数：通过disable_functions禁用如exec、shell_exec、passthru、system等高风险函数（结合应用需求保留必要函数）。
• 运行模式优化：高并发场景建议使用PHP-FPM + OPcache，与 Apache 通过mod_proxy_fcgi协作，提升性能并降低资源争用。
• 严格文件与上传安全：限制上传目录执行权限（如php_flag engine off），校验MIME/后缀/大小，重命名上传文件，隔离执行与存储路径。

五 运维监控与备份恢复

• 持续更新与补丁：定期执行yum/dnf update，并重启httpd/mariadb/php-fpm使更新生效；更新前备份关键数据与配置。
• 日志与审计：启用并集中监控**/var/log/httpd/error_log、access_log与MariaDB**错误日志，关注异常请求、爆破与提权迹象。
• 备份策略：定期使用mysqldump备份数据库，使用tar/rsync备份网站文件与配置；异地/离线保存并定期校验与演练恢复。
• 变更管控：修改配置后先执行apachectl configtest校验语法，再平滑重启服务，确保业务连续性。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！