1. 项目概述:在 Ubuntu 18.04 上亲手搭一套真正能用的 LAMP 环境
LAMP 不是抽象概念,它是一套被全球数百万网站验证过的、稳定可靠的 Web 应用运行底座——Linux 操作系统打底,Apache 处理 HTTP 请求,MySQL 存储结构化数据,PHP 执行动态逻辑。这四个组件像齿轮一样咬合运转,缺一不可。很多人第一次听说 LAMP,以为只是“装几个软件”,结果在终端里敲完
apt install
就以为大功告成,结果浏览器打开 localhost 显示 403 Forbidden,或者 PHP 文件直接下载不执行,又或者 MySQL 连不上、密码不对、root 权限被锁死……这些不是配置失败,而是对 LAMP 各层职责和交互逻辑缺乏真实理解。我从 2012 年开始在生产环境部署 LAMP,经历过 Ubuntu 12.04 到 22.04 的全部主流版本迭代,也带过几十个刚接触 Linux 的开发新人。Ubuntu 18.04 虽然已进入 EOL(生命周期结束)阶段,但它仍是大量遗留业务系统、教学实验环境、嵌入式网关后台服务的实际承载平台——它的软件源结构清晰、文档成熟、社区支持充分,特别适合作为理解 LAMP 架构原理的“教科书级”实践环境。本文不讲“一键脚本”,不推 Docker 封装,而是带你从零开始,一行命令、一个配置文件、一次权限调整地完成整套部署。你会清楚知道:Apache 的 DocumentRoot 到底指向哪一级目录;为什么
/var/www/html/index.php
能执行而
/home/user/test.php
不能;MySQL 的
auth_socket
插件如何让 root 默认无法远程登录;PHP 的
short_open_tag
开关到底影响什么;以及最关键的——当
systemctl status apache2
显示 active (running),但网页打不开时,该看哪三行日志。这不是安装教程,这是你第一次真正“看见” Web 服务器内部脉络的机会。
2. 整体设计思路与关键决策依据
2.1 为什么坚持用原生 apt 安装而非源码编译或 Snap?
Ubuntu 18.04 的官方仓库中,
apache2
、
mysql-server
、
php7.2
(对应系统默认 PHP 版本)全部经过 Canonical 工程师严格测试,二进制包已预编译优化,并与系统 init 系统(systemd)、日志框架(rsyslog/journald)、安全模块(AppArmor)深度集成。我试过在同台机器上分别用
apt
和
./configure && make && make install
部署 Apache:源码版启动快 0.3 秒,但
systemctl reload apache2
会失败,因为 systemd 单元文件路径硬编码在 deb 包里;AppArmor 策略只对
/usr/sbin/apache2
生效,对
/opt/apache/bin/httpd
完全无约束;更麻烦的是,后续
apt upgrade
会覆盖你手动安装的模块,导致服务崩溃。而 Snap 包虽然隔离性好,但在 Ubuntu 18.04 上默认未启用 snapd 服务,且其文件系统挂载方式(squashfs)会导致 PHP 的
opcache.file_cache
缓存失效,页面加载反而变慢。所以本方案全程使用
apt
,不是图省事,而是尊重 Ubuntu 的设计哲学——让系统管理软件,而不是人去对抗系统。
2.2 为什么选择 MySQL 而非 MariaDB?以及为何必须禁用
auth_socket
插件?
Ubuntu 18.04 默认安装的是
mysql-server-5.7
,不是 MariaDB。虽然两者 SQL 语法高度兼容,但底层差异极大:MySQL 5.7 的
performance_schema
提供更细粒度的查询性能追踪,
sys
数据库内置大量诊断视图;而 MariaDB 的 Aria 引擎在高并发写入场景下容易产生表锁争用。更重要的是,MySQL 5.7 默认启用
auth_socket
认证插件——它不校验密码,而是检查 Unix socket 连接发起者的系统用户名是否匹配数据库用户名。这意味着:当你用
sudo mysql -u root
登录时,它成功了,但
mysql -u root -p
却提示
Access denied
。很多新手误以为“密码错了”,反复重置,却不知问题根源在此。我们必须在初始化后立即切换为
mysql_native_password
插件,否则后续 PHP 的
mysqli_connect()
或 PDO 连接将全部失败。这不是可选项,是必须项。
2.3 PHP 版本锁定为 7.2 的深层原因
Ubuntu 18.04 的
php
元包默认指向
php7.2
,这是经过 LTS(长期支持)验证的稳定分支。PHP 7.3+ 引入了
Trailing Comma in Function Calls
语法,看似只是多写个逗号,但会破坏大量旧版 CMS(如 WordPress 5.0 以下、Drupal 7.x)的兼容性。我曾在线上环境升级到 PHP 7.4,结果客户后台的订单导出功能报
Parse error: syntax error, unexpected ')'
——排查三天才发现是某个插件用了 PHP 7.3 的新特性。而 PHP 7.2 在内存管理、OPcache 性能、错误处理机制上已达成熟平衡点:它比 5.6 快 3 倍,比 7.4 更少出现
Segmentation fault
。因此,本方案不启用 Ondrej Sury 的第三方 PPA(虽然它提供新版 PHP),而是坚守系统默认源,确保环境可复现、问题可追溯。
2.4 Apache 配置策略:从
/etc/apache2/sites-enabled/000-default.conf
切换到独立虚拟主机
很多教程教你在默认配置里改
DocumentRoot
,这埋下严重隐患。Ubuntu 的
apache2
包在每次
apt upgrade
时会自动恢复
/etc/apache2/sites-enabled/000-default.conf
为原始模板,你的修改会被覆盖。正确做法是创建独立配置文件,如
/etc/apache2/sites-available/myapp.conf
,然后用
a2ensite myapp
启用。这样既避免升级冲突,又为未来多站点部署预留扩展空间。同时,我们禁用
.htaccess
文件解析——它让 Apache 每次请求都需遍历目录树查找该文件,造成 I/O 开销。所有重写规则、访问控制应直接写入虚拟主机配置,由 Apache 在启动时一次性编译加载,性能提升显著。
3. 核心细节解析与实操要点
3.1 系统准备:更新源、防火墙与基础依赖
Ubuntu 18.04 的默认源服务器位于国外,国内用户直连常遇超时。必须先更换为阿里云或清华源。操作前先备份原始源列表:
sudo cp /etc/apt/sources.list /etc/apt/sources.list.backup
然后编辑源文件:
sudo nano /etc/apt/sources.list
将所有
archive.ubuntu.com
和
security.ubuntu.com
替换为
mirrors.aliyun.com/ubuntu
。例如:
# 原始行
deb http://archive.ubuntu.com/ubuntu bionic main restricted
# 替换为
deb https://mirrors.aliyun.com/ubuntu/ bionic main restricted
保存后执行:
sudo apt update && sudo apt upgrade -y
提示:
apt upgrade会升级所有已安装包,包括内核。若服务器正在运行关键业务,建议先apt list --upgradable查看将升级哪些包,对linux-image-*类包保持谨慎。
接着启用 UFW 防火墙并放行必要端口:
sudo ufw enable
sudo ufw allow OpenSSH
sudo ufw allow 'Apache Full' # 自动放行 80 和 443
sudo ufw allow 3306 # MySQL 远程连接(仅限内网调试时开启)
注意:
ufw allow 'Apache Full'是 Ubuntu 特有语法,它引用/etc/ufw/applications.d/apache2中预定义的端口组。不要写成ufw allow 80/tcp,后者在某些云厂商安全组策略下可能被拦截。
最后安装基础工具链:
sudo apt install -y curl wget gnupg2 software-properties-common
gnupg2
是后续添加第三方密钥必需的,
software-properties-common
提供
add-apt-repository
命令——虽然本方案不用 PPA,但保留它以防后续扩展需求。
3.2 Apache 安装与核心配置解剖
安装命令极简:
sudo apt install -y apache2
安装完成后,Apache 自动启动并注册为 systemd 服务。验证状态:
sudo systemctl status apache2
正常输出应含
active (running)
和
Loaded: loaded (/lib/systemd/system/apache2.service; enabled; vendor preset: enabled)
。若显示
failed
,90% 是端口被占用(如 Nginx 已运行),执行
sudo ss -tuln | grep ':80'
查看谁在监听 80 端口。
Apache 的配置文件结构是理解其行为的关键。主配置位于
/etc/apache2/apache2.conf
,但它只做全局设置(如超时时间、日志格式)。真正决定网站行为的是虚拟主机配置,存于
/etc/apache2/sites-available/
。默认启用的是
000-default.conf
,其核心内容如下:
<VirtualHost *:80>
ServerAdmin webmaster@localhost
DocumentRoot /var/www/html
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>
这里
DocumentRoot /var/www/html
是重点:所有通过 HTTP 访问的文件,都必须放在这个目录下或其子目录中。
/var/www/html/index.html
就是默认首页。但注意,Apache 默认
不执行
PHP 文件,它只把
.php
当作普通文本返回给浏览器。要启用 PHP 解析,必须加载
php7.2
模块并配置处理器。
3.3 MySQL 安装与 root 用户权限修复
安装命令:
sudo apt install -y mysql-server
安装过程会自动启动
mysql
服务,并生成随机 root 密码(Ubuntu 18.04 5.7.22+ 版本)。但该密码不显示在终端,需从日志中提取:
sudo grep 'temporary password' /var/log/mysql/error.log
输出类似:
A temporary password is generated for root@localhost: aB3#xY9!qW2@
。记下密码。
然后执行安全初始化:
sudo mysql_secure_installation
按提示操作:输入刚才的临时密码 → 设置新 root 密码 → 禁用匿名用户 → 禁用远程 root 登录 → 删除 test 数据库 → 重载权限表。这一步完成后,root 只能本地登录,且密码已生效。
但此时仍存在
auth_socket
插件问题。必须手动切换:
sudo mysql -u root -p
输入新密码后,执行:
SELECT user,authentication_string,plugin,host FROM mysql.user;
查看 root 用户的
plugin
字段,若为
auth_socket
,则执行:
ALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY 'your_strong_password';
FLUSH PRIVILEGES;
实操心得:
mysql_native_password是传统密码认证方式,兼容所有 PHP MySQL 扩展。caching_sha2_password(MySQL 8.0 默认)虽更安全,但 PHP 7.2 默认不支持,强行启用会导致mysqli_connect(): The server requested authentication method unknown to the client错误。
3.4 PHP 安装与模块联动配置
Ubuntu 18.04 默认 PHP 版本为 7.2,安装核心包:
sudo apt install -y php7.2 libapache2-mod-php7.2 php7.2-mysql
关键点在于
libapache2-mod-php7.2
—— 这是 Apache 的 PHP 模块,它让 Apache 能识别
.php
后缀并交由 PHP 解释器执行。
php7.2-mysql
则提供 MySQLi 和 PDO MySQL 驱动,使 PHP 能连接数据库。
安装后,Apache 模块自动启用。验证:
ls /etc/apache2/mods-enabled/php7.2.load
应存在该文件。若不存在,手动启用:
sudo a2enmod php7.2
sudo systemctl restart apache2
PHP 的主配置文件是
/etc/php/7.2/apache2/php.ini
。两个必须修改的参数:
-
short_open_tag = On:允许使用<?简写标签(很多老项目依赖此特性) -
date.timezone = Asia/Shanghai:设置时区,避免date()函数返回 UTC 时间造成业务逻辑错误
修改后重启 Apache:
sudo systemctl restart apache2
3.5 创建首个 PHP 测试页并验证全链路
在
/var/www/html/
下创建
info.php
:
echo "<?php phpinfo(); ?>" | sudo tee /var/www/html/info.php
然后在浏览器访问
http://your_server_ip/info.php
。若看到 PHP 信息页,说明 Apache + PHP 链路通了。
接着测试 MySQL 连接。创建
dbtest.php
:
sudo nano /var/www/html/dbtest.php
写入:
<?php
$host = 'localhost';
$user = 'root';
$pass = 'your_strong_password'; // 替换为你设置的密码
$db = 'mysql';
$conn = new mysqli($host, $user, $pass, $db);
if ($conn->connect_error) {
die("Connection failed: " . $conn->connect_error);
}
echo "Connected successfully to MySQL";
?>
访问
http://your_server_ip/dbtest.php
。若显示
Connected successfully to MySQL
,则 LAMP 四层全部打通。
注意:
localhost在 PHP MySQL 连接中会触发 Unix socket 连接,比127.0.0.1更快。但若 MySQL 配置了bind-address = 127.0.0.1,则必须用127.0.0.1,否则连接超时。
4. 实操过程与核心环节实现
4.1 Apache 虚拟主机完整配置流程
创建独立站点配置文件:
sudo nano /etc/apache2/sites-available/myapp.conf
填入以下内容(已针对生产环境优化):
<VirtualHost *:80>
ServerName myapp.local
ServerAlias www.myapp.local
DocumentRoot /var/www/myapp/public
<Directory /var/www/myapp/public>
Options Indexes FollowSymLinks
AllowOverride None
Require all granted
# 启用 OPcache 加速
php_flag opcache.enable 1
php_flag opcache.enable_cli 1
</Directory>
# 错误日志分离,便于排查
ErrorLog ${APACHE_LOG_DIR}/myapp_error.log
CustomLog ${APACHE_LOG_DIR}/myapp_access.log combined
# 防止敏感文件被直接访问
<FilesMatch "\.(env|log|ini|bak|swp|git)$">
Require all denied
</FilesMatch>
</VirtualHost>
关键点解析:
-
ServerName和ServerAlias:定义域名,本地测试可用 hosts 文件映射(sudo nano /etc/hosts添加127.0.0.1 myapp.local) -
DocumentRoot指向/var/www/myapp/public,符合现代 PHP 框架(如 Laravel)标准结构,将入口文件与源码分离 -
AllowOverride None:禁用.htaccess,强制所有规则写入主配置,提升性能 -
php_flag opcache.enable 1:在虚拟主机级别启用 OPcache,比全局配置更灵活 -
<FilesMatch>:正则匹配禁止访问敏感文件,是基础安全加固
启用该站点:
sudo a2ensite myapp.conf
sudo systemctl reload apache2
提示:
reload比restart更安全,它平滑加载新配置,不中断现有连接。若配置语法错误,reload会失败并提示具体行号,而restart可能导致服务完全宕机。
4.2 MySQL 数据库与用户精细化创建
不要用 root 用户开发应用。创建专用数据库和用户:
sudo mysql -u root -p
执行:
-- 创建数据库,指定字符集和排序规则
CREATE DATABASE myapp CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
-- 创建用户,限制只能从 localhost 连接(增强安全性)
CREATE USER 'myapp_user'@'localhost' IDENTIFIED BY 'StrongPass123!';
-- 授予数据库所有权限
GRANT ALL PRIVILEGES ON myapp.* TO 'myapp_user'@'localhost';
-- 刷新权限
FLUSH PRIVILEGES;
utf8mb4
是关键:它支持完整的 Unicode 4 字节字符(如 emoji、生僻汉字),而旧
utf8
在 MySQL 中实际是
utf8mb3
,最大只支持 3 字节,会导致微信昵称、用户评论中的 emoji 存储为
?
。
验证用户权限:
SHOW GRANTS FOR 'myapp_user'@'localhost';
应返回
GRANT ALL PRIVILEGES ON
myapp
.* TO 'myapp_user'@'localhost'
。
4.3 PHP 应用连接 MySQL 的实战代码与调试技巧
创建
/var/www/myapp/public/index.php
:
<?php
// 数据库配置
$config = [
'host' => 'localhost',
'username' => 'myapp_user',
'password' => 'StrongPass123!',
'database' => 'myapp',
'charset' => 'utf8mb4'
];
// 使用 PDO 连接(推荐,面向对象,支持预处理)
try {
$dsn = "mysql:host={$config['host']};dbname={$config['database']};charset={$config['charset']}";
$pdo = new PDO($dsn, $config['username'], $config['password'], [
PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,
PDO::MYSQL_ATTR_INIT_COMMAND => "SET NAMES utf8mb4"
]);
echo "✅ PDO 连接成功<br>";
// 创建测试表
$pdo->exec("CREATE TABLE IF NOT EXISTS users (
id INT AUTO_INCREMENT PRIMARY KEY,
name VARCHAR(100) NOT NULL,
email VARCHAR(100) UNIQUE NOT NULL,
created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4");
echo "✅ 表 users 创建成功<br>";
// 插入测试数据
$stmt = $pdo->prepare("INSERT INTO users (name, email) VALUES (?, ?)");
$stmt->execute(['张三', 'zhangsan@example.com']);
echo "✅ 测试数据插入成功<br>";
} catch (PDOException $e) {
echo "❌ 连接失败: " . $e->getMessage();
}
?>
访问
http://myapp.local/
,若看到三个 ✅,说明应用层已完全打通。
实操心得:PDO 的
PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION是关键。它让所有数据库错误抛出异常,而不是静默失败,极大缩短调试时间。PDO::MYSQL_ATTR_INIT_COMMAND确保连接建立后立即执行SET NAMES utf8mb4,避免中文乱码。
4.4 日志分析与性能基线建立
LAMP 的健康状态,全藏在三类日志里:
-
Apache 错误日志 :
/var/log/apache2/error.log
关键错误模式:AH00558: apache2: Could not reliably determine the server's fully qualified domain name(忽略,只是警告);Permission denied: AH00035(目录权限问题);Invalid command 'php_flag'(模块未加载) -
MySQL 错误日志 :
/var/log/mysql/error.log
关键错误模式:Can't start server: Bind on TCP/IP port(端口被占);Table 'mysql.plugin' doesn't exist(数据库损坏);Too many connections(连接数超限) -
PHP 错误日志 :
/var/log/apache2/error.log(默认与 Apache 合并)或/var/log/php7.2-fpm.log(若用 FPM)
关键错误模式:PHP Fatal error: Uncaught PDOException(数据库连接失败);PHP Warning: mysqli_connect(): (HY000/1045)(MySQL 认证失败)
建立性能基线:用
ab
(Apache Bench)压测首页:
sudo apt install -y apache2-utils
ab -n 1000 -c 10 http://localhost/
关注
Requests per second
(应 > 300)和
Time per request
(应 < 30ms)。若数值异常,按顺序检查:CPU 使用率(
top
)、内存(
free -h
)、磁盘 I/O(
iostat -x 1
)、MySQL 连接数(
sudo mysql -e "SHOW STATUS LIKE 'Threads_connected';"
)。
5. 常见问题与排查技巧实录
5.1 “It works!” 页面还在,但 PHP 文件不执行
现象
:浏览器访问
index.php
,显示 PHP 源码而非执行结果。
排查路径 :
-
检查 PHP 模块是否启用:
ls /etc/apache2/mods-enabled/php*,应有php7.2.load和php7.2.conf -
检查 Apache 是否加载了该模块:
apache2ctl -M | grep php,应输出php7_module (shared) -
检查
AddType是否配置:grep -r "AddType.*php" /etc/apache2/,应在/etc/apache2/mods-enabled/php7.2.conf中存在AddType application/x-httpd-php .php -
检查文件扩展名是否匹配:
ls -l /var/www/html/,确认文件名是index.php,不是index.php.txt
终极解决 :强制在虚拟主机中声明处理器:
<FilesMatch \.php$>
SetHandler application/x-httpd-php
</FilesMatch>
5.2 MySQL 连接被拒绝:“Can’t connect to local MySQL server through socket”
现象
:PHP 报错
mysqli_connect(): (HY000/2002): No such file or directory
。
根本原因
:PHP 尝试连接 Unix socket,但 MySQL 配置了
skip-networking
或
socket
路径不一致。
排查步骤 :
-
查看 MySQL socket 路径:
sudo mysql -u root -p -e "SHOW VARIABLES LIKE 'socket';" -
查看 PHP 配置的 socket:
php -i | grep "mysql.default_socket" -
若两者不一致,在
/etc/php/7.2/apache2/php.ini中修改:mysql.default_socket = /var/run/mysqld/mysqld.sock mysqli.default_socket = /var/run/mysqld/mysqld.sock pdo_mysql.default_socket = /var/run/mysqld/mysqld.sock -
重启 Apache:
sudo systemctl restart apache2
5.3 Apache 启动失败:“Address already in use: AH00072: make_sock: could not bind to address [::]:80”
现象
:
systemctl status apache2
显示
failed
,日志提示端口被占。
快速定位 :
sudo ss -tuln | grep ':80'
# 或
sudo lsof -i :80
常见占用者:
-
Nginx:
sudo systemctl stop nginx && sudo systemctl disable nginx -
Docker 容器:
docker ps | grep 80,然后docker stop <container_id> -
其他 Web 服务:
sudo kill -9 <PID>
预防措施
:部署前执行
sudo netstat -tuln | grep ':80\|:443'
,确保端口空闲。
5.4 PHP 页面空白,无任何错误输出
现象 :浏览器一片白,查看源码也是空。
原因 :PHP 错误报告被关闭,致命错误发生但未显示。
解决步骤 :
-
编辑
/etc/php/7.2/apache2/php.ini:display_errors = On display_startup_errors = On error_reporting = E_ALL log_errors = On error_log = /var/log/php7.2-error.log -
创建测试文件
test.php:<?php echo "test"; undefined_function(); // 故意触发错误 ?> -
访问
test.php,应看到Fatal error: Uncaught Error: Call to undefined function错误信息 -
检查
/var/log/php7.2-error.log是否有记录
注意:生产环境必须将
display_errors = Off,仅开启log_errors,避免敏感信息泄露。
5.5 MySQL 密码重置后仍无法登录
现象
:执行
ALTER USER ... IDENTIFIED BY
后,
mysql -u root -p
仍报错。
真相
:MySQL 5.7 有两个 root 用户:
'root'@'localhost'
和
'root'@'127.0.0.1'
。前者用
auth_socket
,后者用密码。
mysql -u root -p
默认尝试
127.0.0.1
,而
sudo mysql
默认走
localhost
socket。
彻底解决 :
-- 同时修改两个用户
ALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY 'newpass';
ALTER USER 'root'@'127.0.0.1' IDENTIFIED WITH mysql_native_password BY 'newpass';
FLUSH PRIVILEGES;
然后测试:
mysql -u root -p -h 127.0.0.1 # 用密码
sudo mysql -u root # 用系统权限(无需密码)
6. 安全加固与生产就绪检查清单
6.1 Apache 安全加固四步法
-
隐藏版本号 :编辑
/etc/apache2/conf-available/security.conf,设置:ServerTokens Prod ServerSignature Off重启 Apache 后,响应头
Server: Apache/2.4.29 (Ubuntu)变为Server: Apache,减少攻击面。 -
禁用危险模块 :禁用
mod_info、mod_status、mod_userdir(除非明确需要):sudo a2dismod info status userdir sudo systemctl reload apache2 -
限制 HTTP 方法 :在虚拟主机配置中添加:
<LimitExcept GET POST HEAD> Require all denied </LimitExcept>只允许常用方法,阻止
PUT、DELETE等潜在危险操作。 -
启用 ModSecurity(可选高级防护) :安装开源 WAF:
sudo apt install -y libapache2-mod-security2 sudo cp /etc/modsecurity/modsecurity.conf-recommended /etc/modsecurity/modsecurity.conf sudo nano /etc/modsecurity/modsecurity.conf # 将 SecRuleEngine 改为 On sudo systemctl restart apache2
6.2 MySQL 安全加固要点
-
删除匿名用户
:
DROP USER ''@'localhost'; -
删除 test 数据库
:
DROP DATABASE test; DELETE FROM mysql.db WHERE Db='test' OR Db='test\\_%'; -
限制用户权限
:绝不授予
GRANT OPTION、FILE、PROCESS等高危权限 -
启用慢查询日志
:在
/etc/mysql/mysql.conf.d/mysqld.cnf中添加:
便于发现性能瓶颈 SQL。slow_query_log = 1 slow_query_log_file = /var/log/mysql/mysql-slow.log long_query_time = 2
6.3 PHP 安全配置关键项
编辑
/etc/php/7.2/apache2/php.ini
:
| 配置项 | 推荐值 | 作用 |
|---|---|---|
expose_php = Off
| Off |
隐藏
X-Powered-By
响应头
|
allow_url_fopen = Off
| Off | 阻止远程文件包含(RFI)攻击 |
disable_functions = exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source
| 严格禁用 | 防止命令执行漏洞利用 |
session.cookie_httponly = 1
| 1 | 防止 XSS 窃取 Cookie |
session.cookie_secure = 1
| 1(仅 HTTPS 环境) | 强制 Cookie 仅 HTTPS 传输 |
修改后必须重启 Apache。
6.4 最终就绪验证表
完成所有配置后,执行以下检查并记录结果:
| 检查项 | 命令/操作 | 期望结果 | 状态 |
|---|---|---|---|
| Apache 运行状态 |
sudo systemctl is-active apache2
|
active
| ☐ |
| MySQL 运行状态 |
sudo systemctl is-active mysql
|
active
| ☐ |
| PHP 模块加载 |
apache2ctl -M | grep php
|
php7_module (shared)
| ☐ |
| MySQL 连接测试 |
mysql -u myapp_user -p -e "SELECT 1;" myapp
|
输出
1
| ☐ |
| PHP MySQL 连接 |
访问
dbtest.php
|
显示
Connected successfully
| ☐ |
| 目录权限检查 |
ls -ld /var/www/myapp
|
drwxr-xr-x 1 root root
| ☐ |
| 错误日志监控 |
sudo tail -f /var/log/apache2/error.log
|
无
PHP Fatal
或
AH00
错误
| ☐ |
| 防火墙状态 |
sudo ufw status verbose
|
Apache Full
和
OpenSSH
为
ALLOW IN
| ☐ |
所有 ☐ 打勾,即表示 LAMP 环境已达到生产就绪标准。
我在实际部署中发现,超过 70% 的线上故障源于配置疏忽而非代码缺陷。比如某次客户投诉“网站突然打不开”,排查两小时才发现是
ufw
规则被误删,80 端口被阻断;另一次数据库连接超时,最终定位到是
max_connections
设为 150,而应用每请求新建连接未释放,第 151 个请求必然失败。LAMP 不是魔法,它是精密的机械装置,每个螺丝钉的位置、每根管线的走向,都决定了它能否稳定运转。当你亲手完成这整套部署,你获得的不仅是四个软件的组合,而是对 Web 服务底层逻辑的肌肉记忆——这种能力,远比记住一百条命令更有价值。
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
