Linux LAMP系统安全加固指南

作为IT工程师，保障LAMP(Linux, Apache, MySQL, PHP)系统的安全需要多层次的安全措施。以下是一套全面的安全加固方案：

一、操作系统(Linux)安全

1. 系统更新与补丁管理

   • 定期执行 yum update 或 apt-get update && apt-get upgrade
   • 启用自动安全更新：unattended-upgrades (Debian/Ubuntu)或 yum-cron (RHEL/CentOS)

2. 用户与权限管理

   • 禁用root远程登录：修改/etc/ssh/sshd_config中PermitRootLogin no
   • 使用sudo代替直接root操作
   • 创建专用用户运行服务(如www-data)

3. 防火墙配置

   • 启用并配置iptables/nftables或firewalld
   • 只开放必要端口(如80,443,22)

   sudo ufw allow 22/tcp
   sudo ufw allow 80/tcp
   sudo ufw allow 443/tcp
   sudo ufw enable
   

4. SSH安全加固

   • 修改默认SSH端口
   • 禁用密码认证，使用密钥登录
   • 设置登录失败尝试限制

二、Apache安全配置

1. 基本安全设置

   • 禁用目录浏览：Options -Indexes
   • 关闭服务器签名：ServerTokens Prod，ServerSignature Off
   • 限制HTTP方法：<LimitExcept GET POST> deny from all </LimitExcept>

2. 模块管理

   • 禁用不必要模块：a2dismod (如info, status, autoindex)
   • 启用安全模块：mod_security, mod_evasive

3. 虚拟主机安全

   • 为每个站点使用专用用户
   • 限制文件权限：chown -R www-data:www-data /var/www/ && chmod -R 750 /var/www/

三、MySQL安全加固

1. 基本安全措施

   • 运行安全脚本：mysql_secure_installation
   • 删除匿名用户和测试数据库
   • 为每个应用创建专用数据库用户

2. 配置优化

   • 禁用远程root访问
   • 启用查询日志用于审计
   • 限制用户权限(遵循最小权限原则)

3. 数据保护

   • 定期备份数据库
   • 考虑启用透明数据加密(TDE)

四、PHP安全配置

1. php.ini安全设置

   • expose_php = Off
   • disable_functions = exec,passthru,shell_exec,system,proc_open,popen
   • allow_url_fopen = Off (如可能)
   • display_errors = Off，log_errors = On

2. 应用安全

   • 使用最新稳定版PHP
   • 考虑使用PHP-FPM替代mod_php
   • 为每个虚拟主机配置独立的php.ini

五、其他安全措施

1. 文件系统安全

   • 使用文件完整性监控工具(如AIDE)
   • 设置适当的文件权限和所有权
   • 考虑使用SELinux或AppArmor

2. 日志与监控

   • 集中日志管理(如ELK Stack)
   • 设置日志轮转
   • 实施入侵检测系统(如OSSEC)

3. Web应用防火墙

   • 部署ModSecurity与OWASP核心规则集
   • 配置适当的规则集

4. 定期安全审计

   • 使用工具如Lynis进行系统扫描
   • 定期进行漏洞扫描

六、备份与恢复计划

1. 实施3-2-1备份策略(3份备份，2种介质，1份异地)
2. 定期测试恢复流程
3. 考虑自动化备份解决方案

通过实施以上措施，可以显著提高LAMP系统的安全性。但请记住，安全是一个持续的过程，需要定期审查和更新安全策略。