1. 更新系统与PHP版本

保持系统和PHP为最新版本是平安基础，可及时修复已知漏洞。施行以下命令更新系统及PHP：

sudo apt update && sudo apt upgrade -y
sudo apt install php php-cli php-fpm php-mysql php-curl php-gd php-mbstring php-xml php-zip -y

2. 优化PHP.ini核心平安配置

通过修改php.ini文件调整关键参数，降低平安风险。

• 凶险函数禁用

  disable_functions = eval,exec,passthru,shell_exec,system,curl_exec,parse_ini_file,show_source

• 文件上传限制

  upload_max_filesize = 2M
  post_max_size = 8M
  file_uploads = On

• 目录访问限制

  open_basedir = /var/www/html/:/tmp/

• 会话平安

  _secure = On
  Cookie_httponly = On
  Cookie_samesite = Strict
  _maxlifetime = 1440

3. 强化Web服务器配置

确保系统和所有软件包都是最新的，以防止已知的漏洞。

• 编辑Apache的配置文件/etc/apache2/mods-enabled/php7.4.conf， 确保以下配置被添加或确认：

  ServerTokens Prod
  ServerSignature Off

• 启用mod_security和mod_evasive：

  sudo a2enmod security2
  sudo a2enmod evasive2
  sudo systemctl restart apache2

4. 使用HTTPS加密传输

通过Let’s Encrypt获取免费SSL证书，启用HTTPS：

sudo apt install certbot python3-certbot-apache -y
sudo certbot --apache -d

5. 设置文件与目录权限

确保Web目录及文件权限合理，避免未授权访问：

sudo chown -R www-data:www-data /var/www/html
sudo chmod -R 755 /var/www/html
sudo find /var/www/html -type f -exec chmod 644 {} \;

6. 启用OPcache提升性能与平安性

OPcache可缓存编译后的PHP脚本，减少服务器负载，一边降低源代码泄露风险。在中启用：

zend_extension=opcache.so
opcache_consumption=128
opcache_strings_buffer=8
opcache_accelerated_files=4000
opcache_freq=60

7. 定期维护与监控

先说说你需要编辑PHP的配置文件php.ini。

• 使用工具扫描代码漏洞，监控访问日志与错误日志，及时发现异常行为。
• 确保系统和所有软件包都是最新的，以防止已知的漏洞。

8. 平安审计

使用工具扫描代码漏洞， 监控访问日志与错误日志，及时发现异常行为。

通过以上步骤， 你可以有效地设置Ubuntu下的PHP平安配置，提高网站的平安性。请定期检查和更新配置，以确保网站的平安。

---