1、LNMP服務(wù)器安全及優(yōu)化指南目錄 TOC o 1-5 h z HYPERLINK l bookmark4 o Current Document Linux權(quán)限配置2 HYPERLINK l bookmark12 o Current Document PHP安全配置3 HYPERLINK l bookmark19 o Current Document NginX安全配置4 HYPERLINK l bookmark27 o Current Document Mysql安全配置5 HYPERLINK l bookmark33 o Current Document 其它優(yōu)化建議6Linux權(quán)限配置合理

2、分配SSH管理及用戶間的權(quán)限，記錄登陸日志，如果可能，可以配 置防火墻，只開放某些IP進行管理合理分配FTP權(quán)限，如果可能，可以關(guān)閉FTP功能所有網(wǎng)站統(tǒng)一放置于某一 WEB目錄，設(shè)置適當(dāng)目錄權(quán)限（根據(jù)網(wǎng)站程 序，分配不同網(wǎng)站不同目錄的讀寫權(quán)限，除需要寫入文件的目錄授予777 權(quán)限以外，其它目錄均可以考慮只給555權(quán)限）定期掃描或者記錄網(wǎng)站目錄下，新建、修改過的PHP文件，認(rèn)真進行記 錄分析定期掃描或者記錄網(wǎng)站目錄下大小超過100KB或小于1KB的PHP文件，這類文件通常都是木馬PHP安全配置禁用高危函數(shù)disable_functions=exec,passthru,shell_exec,sys

3、tem,popen,proc_open,proc_close,curl _exec,curl_multi_exec,parse_ini_file,show_source,dl,passthru,escapeshellarg,escapeshellcmd禁用高位類庫disable_classes=com”Php.ini中，請將open_basedir限制為網(wǎng)站所在Web目錄，禁止跨目 錄請求PHP6 以下的版本，請設(shè)置 register_globals=OffNginX安全配置禁用Nginx文件類型錯誤解析漏洞參考： HYPERLINK /nginx-securit.html /nginx-securit.html啟用網(wǎng)站目錄隔離，不同網(wǎng)站配置不同對應(yīng)權(quán)限，防止跨站參考： HYPERLINK /blog/665.html /blog/665.htmlNginx配置虛擬主機的功能尚不完善，網(wǎng)站權(quán)限控制比較復(fù)雜，建議認(rèn) 真分配網(wǎng)站各目錄的讀、寫、執(zhí)行權(quán)限文件上傳所在的存放目錄，一定要禁止PHP程序運行記錄PHP運行日志和錯誤日志，認(rèn)真分析異常訪問請求Mysql安全配置關(guān)閉除跳轉(zhuǎn)服務(wù)器以外的其它遠程鏈接每個網(wǎng)站設(shè)置不同的數(shù)據(jù)庫管理賬號并分配最低權(quán)限禁用Mysql除Root賬戶以外其它用戶的以下權(quán)限:FILE、PROCESS. G