在服务器端,Linux+Apache+MySQL/MariaDB+PHP(LAMP)栈是最常见的组合之一。为了防止攻击,需要把防护覆盖到系统层、网络层、应用层以及数据层。本文围绕 Linux LAMP 如何防止攻击?从系统加固到应用防护的实战要点,整理出可落地的要点与示例。
1. 系统加固
1.1 形成最小化的系统基线
最小化安装意味着仅保留运行所需的组件,减少攻击面。对新系统,采取“最小化安装+禁用默认服务”的策略,确保非必要的守护进程不启动。通过基线基准可以快速复用并对比不同主机的差异。
在基线阶段,自动化补丁策略是关键。启用安全更新、定期评估漏洞,并将未打补丁的主机标记为高风险资源。精简的内核以及定制化的系统镜像有助于降低未知漏洞带来的暴露风险。
# Debian/Ubuntu 示例:最小化安装后升级与自动更新
sudo apt-get update
sudo apt-get upgrade -y
sudo apt-get install unattended-upgrades# 启用并配置自动安全升级
sudo dpkg-reconfigure --priority=low unattended-upgrades
1.2 服务最小化与端口管理
只暴露必要端口是网络层防护的第一道线。对 LAMP 堆栈,通常只开放 22、80、443(或自定义 SSH 端口),并对外暴露的端口进行严格管控。
通过防火墙实现默认拒绝入站、放行必要端口,并结合日志监控分析异常流量。对 Web 服务所在服务器,确保没有暴露的管理端口。持续维护防火墙规则以抵御端口扫描与暴力破解。
# 使用 UFW(Ubuntu/Debian)示例
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow 22/tcp # SSH,若使用自定义端口请替换
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw enable
1.3 SSH 访问与远程运维安全
采用密钥登录、禁用密码登录,并将默认的 SSH 端口改为非标准端口可降低暴力破解的风险。
对远程运维,最小权限原则与基于角色的访问控制应贯穿整个运维流程。对 SSH 的日志进行持久化,便于事后审计与异常溯源。
# 修改端口与禁用密码登录(示例端口为2222)
sudo sed -i 's/^#Port 22/Port 2222/' /etc/ssh/sshd_config
sudo sed -i 's/^#PasswordAuthentication yes/PasswordAuthentication no/' /etc/ssh/sshd_config
sudo systemctl reload sshd
2. 应用防护
2.1 Web 服务器与应用的加固
启用弱点防护机制与最小化攻击面,如禁用目录遍历、禁用默认虚拟主机的未使用站点、限制文件上传大小、避免暴露调试信息等。将配置设定为“默认拒绝、仅开放必要功能”的原则。
对于 Apache/Nginx,严格的访问控制与日志记录能帮助快速发现异常请求。结合 TLS/HTTPS,确保传输层的机密性与完整性。
# Apache 示例配置片段(禁用目录索引、限制访问)
Options -IndexesAllowOverride NoneRequire all granted
2.2 ModSecurity 与 OWASP CRS
ModSecurity 是常用的 Web 应用防火墙,可在 Apache 上安装并加载 OWASP Core Rule Set(CRS)来拦截常见攻击模式,如 SQL 注入、跨站脚本等。
通过对规则的调整与日志分析,可以将恶意请求在到达应用前就进行拦截,降低后端处理成本。结合自定义规则,可以对特定应用的行为进行微调。
# 安装与启用 ModSecurity(Debian/Ubuntu 示例)
sudo apt-get install libapache2-mod-security2
sudo cp /etc/modsecurity/modsecurity.conf-recommended /etc/modsecurity/modsecurity.conf
sudo sed -i 's/SecRuleEngine DetectionOnly/SecRuleEngine On/' /etc/modsecurity/modsecurity.conf
sudo systemctl restart apache2
2.3 PHP 配置与代码层安全
对 PHP 的配置要点包括关闭危险函数、禁止显示错误、隐藏版本信息、限定打开的目录等,以减少信息泄露与利用路径。
同时,推荐使用最新的稳定版本、开启 OPCache、限制资源消耗,确保应用在高并发下的稳定性。
# 典型 php.ini 设置(摘选)
display_errors = Off
expose_php = Off
open_basedir = /var/www/html
memory_limit = 256M
max_execution_time = 30
PDO::ERRMODE_EXCEPTION
]);
$stmt = $pdo->prepare('SELECT * FROM users WHERE email = :email');
$stmt->execute(['email' => $email]);
2.4 数据库层防护
对数据库的访问要最小化权限、强制使用参数化查询、定期审计用户权限。默认账户应仅具备应用所需的最小权限,远离管理员权限。
对数据库进行安全强化与账户管理,包括禁用匿名用户、删除测试数据库、强制密码策略与定期轮换口令。
# MySQL 安全强化(示例)
sudo mysql_secure_installation
# 或手动执行:删除匿名用户、禁止远端 root、移除测试数据库等
PDO::ERRMODE_EXCEPTION
]);
$stmt = $pdo->prepare('SELECT id, name FROM products WHERE category = :cat');
$stmt->execute(['cat' => $category]);
2.5 应用程序代码级防护
代码层面的防护同样重要,包括输入校验、输出编码、避免拼接 SQL、使用 ORM/数据库抽象层、以及对异常信息的统一处理。
在开发阶段,应引入静态代码分析与渗透测试,及时发现潜在漏洞并修复。对敏感数据进行脱敏处理,确保日志中不包含明文密码与密钥。
prepare('SELECT * FROM users WHERE email = :email');
$stmt->execute(['email' => $email]);
echo htmlspecialchars($user['name'], ENT_QUOTES, 'UTF-8');
2.6 日志、安全事件监控与响应
集中化日志与告警是快速发现攻击的关键。结合 Fail2ban、Logrotate、SIEM 等工具,可以实现对异常登录、暴力行为、异常请求的自动化检测与告警。
通过定期的日志轮转与留存策略,确保事后可追溯,且监控系统具备快速告警能力。
# Fail2ban 安装与基本配置(SSH 为例)
sudo apt-get install fail2ban
sudo systemctl enable fail2ban
sudo systemctl start fail2ban# 编辑 /etc/fail2ban/jail.local 增加 SSHD 条目
[sshd]
enabled = true
port = 2222
logpath = /var/log/auth.log
maxretry = 5
3. 数据保护与备份
3.1 数据备份策略
定期备份是抵御可用性风险的核心。建立全量与增量备份体系,确保在数据损坏、勒索软件或硬件故障后能够快速恢复。
备份应具备版本控制与加密存储能力,确保在传输与静态存储过程中数据的机密性与完整性。
# MySQL 数据库备份(全量备份示例)
mysqldump -u root -p --all-databases > /backup/db_all.sql
3.2 备份加密与访问控制
对备份文件进行加密与访问控制,避免未授权的人员获取敏感数据。采用对称或公钥加密,并将密钥与备份分离存放。
进一步的做法是实现备份的分级存储,将冷备份与热备份分离,以降低风险。
# 使用 GPG 进行备份加密示例
gpg --symmetric --cipher-algo AES256 /backup/db_all.sql
3.3 恢复演练与演练文档
定期进行恢复演练,确保在真实事件发生时能够快速恢复服务。演练结果应形成文档,指导后续改进与容量规划。
演练内容包括数据库恢复、应用服务器配置恢复、以及网络策略的再验证。
# 简单恢复示例(解密后导入)
gpg --decrypt /backup/db_all.sql.gz.gpg | gunzip -c | mysql -u root -p
4. 运行与监控的安全性
4.1 日志策略与合规性
统一日志格式与保留策略有助于审计、问题定位与合规性验证。将应用日志、系统日志、数据库日志集中到一个可检索的日志系统中。
通过标签化日志、时间栈对齐,可以快速重现攻击路径并评估影响范围。
# 基于 rsyslog/ELK 的简单日志聚合示意
# 服务器将日志发送到集中日志服务器
logger -t LAMP-SEC "SSH login attempt from 1.2.3.4"
4.2 入侵检测、演练与响应
结合入侵检测系统(IDS)与自动化响应,能够在异常事件发生时自动阻断、告警并触发事后处置流程。
对应用层攻击的检测要与 WAF、数据库审计结合,形成一个多层防护体系,提升发现与处置的速度。
# 简单的 IDS 配置示例(Suricata/ Snort 常见用法摘要)
# 监听网络流量,匹配已知攻击模式
suricata -c /etc/suricata/suricata.yaml -i eth0
