Linux LNMP安全防护措施有哪些

Linux LNMP安全防护措施清单

一 系统与账户安全

• 保持系统与组件持续更新：及时为Linux内核、Nginx、MySQL/MariaDB、PHP打补丁，修复已知漏洞。
• 最小权限与强认证：创建普通用户并加入sudo，日常运维避免使用root；为SSH启用密钥登录、禁用密码登录；可更改默认SSH端口降低暴力扫描命中率。
• 账户与登录安全：设置强密码策略，清理无用账户；必要时启用SELinux或AppArmor进行强制访问控制。
• 物理与启动安全：启用BIOS/UEFI与GRUB密码，限制物理与单用户模式篡改。

二 网络与防火墙

• 仅开放必要端口：通过UFW/iptables/firewalld放行80/443（必要时放通22），其余默认拒绝；对外网3306（MySQL）应默认关闭，仅内网或跳板机可访问。
• 示例（firewalld）：firewall-cmd --permanent --add-service=http；firewall-cmd --permanent --add-service=https；firewall-cmd --reload。
• 示例（UFW）：ufw allow ‘Nginx Full’；ufw enable。
• 示例（iptables）：仅放行80/443/22，默认DROP其他入站流量，并保存规则。
• 边界与主机加固：对外最小化暴露面，数据库与后台管理接口限制来源IP；必要时在边界或主机部署WAF/IPS（如基于ngx_lua_waf的规则集）。

三 Nginx与PHP安全配置

• Nginx
  • 禁用目录遍历与版本暴露：关闭目录列表，隐藏Server版本；对敏感路径返回403。
  • 安全响应头：启用X-Content-Type-Options、X-Frame-Options、Content-Security-Policy等，降低XSS/点击劫持/嗅探风险。
  • 精细访问控制：对管理后台、备份目录、.git 等路径限制访问来源或鉴权。
• PHP
  • 禁用危险函数：如eval、exec、system、passthru、shell_exec、proc_open等。
  • 限制文件访问：使用open_basedir仅允许访问站点目录与临时目录。
  • 运行与暴露：关闭display_errors与expose_php，避免泄露路径与错误细节；使用php-fpm以非root身份运行，并与Nginx通过Unix Socket通信。

四 数据库与数据安全

• 基础加固：执行mysql_secure_installation，设置强root密码、删除匿名用户、禁止root远程登录、移除测试库。
• 最小权限与网络：为每个应用创建最小权限数据库用户；仅允许来自应用服务器的连接；生产环境建议强制TLS加密传输。
• 输入安全：应用侧使用预处理语句（PDO/MySQLi）防止SQL注入；避免拼接SQL。
• 审计与备份：开启通用查询日志/错误日志用于审计；定期备份数据库与网站文件，并定期演练恢复流程。

五 日志监控与备份恢复

• 日志与告警：集中收集并分析Nginx访问/错误日志、PHP-FPM日志、MySQL错误日志；使用Fail2ban自动封禁暴力破解；结合Logwatch/ELK做可视化与告警。
• 运行监控：监控CPU、内存、连接数、慢查询、5xx错误率等指标，推荐使用Prometheus + Grafana搭建可观测性平台。
• 备份策略：制定每日/每周全量与增量备份策略，异地/多副本保存；定期恢复演练验证可用性与完整性。
• 审计与测试：定期进行安全审计与渗透测试，及时修补发现的问题。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！