Linux LAMP服务器安全加固指南

一、系统层面安全

1. 系统更新与补丁管理

   • 定期执行 yum update 或 apt-get update && apt-get upgrade
   • 启用自动安全更新：unattended-upgrades (Debian/Ubuntu)

2. 用户与权限管理

   • 禁用root远程登录：修改/etc/ssh/sshd_config中PermitRootLogin no
   • 使用sudo替代直接root操作
   • 创建专用用户运行服务：useradd -r -s /sbin/nologin apacheuser

3. 防火墙配置

   • 启用并配置firewalld或ufw：

   # 使用ufw示例
   ufw allow 22/tcp    # SSH
   ufw allow 80/tcp    # HTTP
   ufw allow 443/tcp   # HTTPS
   ufw enable
   

4. SSH安全加固

   • 修改默认SSH端口
   • 启用密钥认证，禁用密码认证
   • 使用Fail2Ban防止暴力破解

二、Apache安全配置

1. 基本安全设置

   • 禁用目录浏览：Options -Indexes
   • 隐藏Apache版本信息：

   ServerTokens Prod
   ServerSignature Off
   

2. 模块管理

   • 禁用不必要模块：

   a2dismod autoindex status cgi
   

3. 权限控制

   • 确保web目录权限正确：

   chown -R apacheuser:apacheuser /var/www/html
   chmod -R 750 /var/www/html
   

三、MySQL/MariaDB安全

1. 基础安全措施

   • 运行安全安装脚本：mysql_secure_installation
   • 删除测试数据库和匿名用户

2. 权限管理

   • 为每个应用创建独立数据库用户
   • 遵循最小权限原则

3. 配置优化

   • 禁用远程root访问
   • 启用查询日志用于审计

四、PHP安全配置

1. php.ini安全设置

   expose_php = Off
   disable_functions = exec,passthru,shell_exec,system
   allow_url_fopen = Off
   allow_url_include = Off
   

2. 使用最新稳定版本

   • 定期更新PHP到最新稳定版

3. 安装安全扩展

   • 考虑安装Suhosin等安全扩展

五、应用层安全

1. Web应用安全

   • 保持CMS/框架更新
   • 使用安全插件如ModSecurity
   • 配置适当的.htaccess规则

2. 文件上传保护

   • 限制可上传文件类型
   • 将上传目录设置为不可执行

六、监控与日志

1. 日志配置

   • 确保所有服务日志启用
   • 集中日志管理(考虑ELK Stack)

2. 入侵检测

   • 安装AIDE或类似工具进行文件完整性检查
   • 定期检查日志异常

七、备份策略

1. 实施3-2-1备份规则
2. 定期测试备份恢复
3. 考虑异地备份

八、定期安全审计

1. 使用OpenVAS或Nessus进行漏洞扫描
2. 定期进行渗透测试
3. 检查服务器配置是否符合CIS基准

通过以上措施的综合实施，可以显著提高LAMP服务器的安全性。安全是一个持续的过程，需要定期审查和更新安全策略。