个人向 Linux 服务器开荒

Linux服务器基础环境搭建

安装最新稳定版Ubuntu Server或CentOS作为操作系统。Ubuntu适合新手，CentOS更适合企业环境。系统安装时需选择最小化安装，仅勾选SSH服务。

配置静态IP地址避免DHCP分配变动导致连接问题。编辑/etc/netplan/00-installer-config.yaml文件设置IP、网关和DNS。应用配置使用sudo netplan apply命令。

更新系统软件包到最新版本。执行sudo apt update && sudo apt upgrade -y或yum update -y确保所有安全补丁已安装。设置自动安全更新可增强系统安全性。

用户与权限管理

创建专用管理员账户替代root登录。使用adduser username创建用户，usermod -aG sudo username添加sudo权限。禁止root远程登录需修改/etc/ssh/sshd_config中PermitRootLogin值为no。

配置SSH密钥认证提升安全性。本地生成密钥对后，将公钥上传至服务器~/.ssh/authorized_keys文件。修改SSH端口并启用防火墙限制访问来源IP。

设置严格的文件权限。敏感配置文件应设置为600权限，目录设置为750。定期审查用户权限可使用sudo -lU username查看各用户sudo权限。

基础服务部署

安装Nginx或Apache作为Web服务器。Nginx配置路径通常在/etc/nginx/sites-available/，需设置正确的文件权限和SSL证书。Let's Encrypt证书可通过certbot工具自动获取。

部署数据库服务如MySQL或PostgreSQL。安装后立即运行安全脚本mysql_secure_installation设置root密码。创建专用数据库用户并限制访问IP范围。

配置防火墙规则。UFW或firewalld工具可管理端口开放策略，仅暴露必要端口。定期检查开放端口使用ss -tulnp命令。

监控与维护

安装系统监控工具如Prometheus+Grafana组合。Node Exporter采集系统指标，配置警报规则可及时发现问题。日志集中管理可使用ELK栈或Graylog。

设置自动化备份策略。rsync配合cron可实现增量备份，重要数据应进行异地存储。测试备份恢复流程确保有效性，备份加密可保护敏感数据。

配置日志轮转防止磁盘写满。logrotate工具可管理日志文件大小和保留周期。关键日志如auth.log需长期存档用于安全审计。

安全加固措施

启用SELinux或AppArmor提供强制访问控制。虽然会增加配置复杂度，但能有效限制服务权限范围。定期审计安全策略是否合理。

安装fail2ban防止暴力破解。配置合理的封禁时间和查找规则，监控认证日志中的异常登录尝试。结合防火墙规则可提升防护效果。

定期进行漏洞扫描和渗透测试。OpenVAS等工具可检测系统漏洞，及时修复高危漏洞。安全更新应建立测试流程避免影响生产环境。

开发环境配置

安装版本控制工具Git并配置全局信息。设置SSH密钥用于代码仓库认证，配置.gitignore文件避免提交敏感信息。

部署容器运行环境Docker。安装后需将用户加入docker组，配置镜像加速器提升拉取速度。使用docker-compose管理多容器应用。

配置持续集成工具如Jenkins。建立自动化构建流水线，集成单元测试和代码扫描。设置构建触发条件和通知机制。

性能调优技巧

调整内核参数优化网络性能。修改/etc/sysctl.conf中TCP相关参数，如增大连接数限制和缓冲区大小。应用更改使用sysctl -p命令。

优化磁盘I/O性能。SSD设备可启用TRIM功能，机械硬盘需调整电梯算法。文件系统挂载选项如noatime可减少写入操作。

配置交换空间策略。物理内存充足时可降低swappiness值，避免频繁交换。使用zram或zswap压缩交换数据提升性能。

故障排查方法

分析系统日志定位问题。dmesg查看内核日志，journalctl查询systemd服务日志。关键错误信息通常包含错误代码和时间戳。

使用性能分析工具。top/htop监控实时资源占用，iotop检查磁盘I/O，nethogs分析网络流量。长期监控可使用sar工具收集历史数据。

网络问题诊断流程。traceroute检查路由路径，nslookup测试DNS解析，tcpdump抓包分析协议交互。防火墙规则需逐条验证。