九八云安全开始**
sudo ufw allow 2222/tcp # 自定义SSH端口
sudo ufw enable
用户与权限管理
- 禁用root远程登录,创建普通用户并赋予
sudo权限。 - 使用SSH密钥替代密码登录,提升安全性。
系统更新与补丁
sudo apt update && sudo apt upgrade -y # Debian/Ubuntu
sudo yum update -y # CentOS/RHEL
unattended-upgrades(Ubuntu)或yum-cron(CentOS)。 SSL证书部署
使用Let’s Encrypt免费证书,通过Certbot工具自动化配置HTTPS。
日常维护与监控
-
日志管理
- 集中监控
/var/log目录下的关键日志(如auth.log、syslog)。 - 使用
logrotate自动压缩和清理旧日志,防止磁盘占满。
- 集中监控
-
资源监控工具
- 基础命令:
top/htop:实时查看CPU、内存占用。df -h:检查磁盘空间。
- 专业工具:
- Prometheus + Grafana:可视化监控服务器性能。
- Nagios:设置阈值告警(如CPU>90%触发通知)。
- 基础命令:
-
定期备份策略
- 全量备份:每周一次,使用
rsync或tar打包关键数据。 - 增量备份:每日差异备份,推荐工具
Bacula或Duplicity。 - 离线存储:将备份文件上传至云端(如AWS S3)或异地服务器。
- 全量备份:每周一次,使用
故障排查与恢复
-
常见问题处理
- 服务崩溃:通过
systemctl status service_name查看状态,重启服务并检查日志。 - 网络不通:用
ping、traceroute测试连通性,排查防火墙或路由问题。 - 磁盘故障:使用
smartctl检测硬盘健康状态,及时替换损坏硬盘。
- 服务崩溃:通过
-
灾难恢复计划
- 准备应急启动盘(如SystemRescueCD)。
- 定期测试备份文件可恢复性,确保灾难时能快速还原。
进阶优化建议
-
性能调优
- 内核参数优化:调整
/etc/sysctl.conf中的网络缓冲区(如net.core.somaxconn)。 - Web服务器配置:根据负载优化Nginx/Apache的Worker进程数和连接超时。
- 内核参数优化:调整
-
安全加固
- 安装入侵检测系统(如Fail2Ban),自动封禁暴力破解IP。
- 使用SELinux或AppArmor限制进程权限。
参考文献
- NIST《服务器安全配置指南》(SP 800-123)
- Let’s Encrypt官方文档:https://letsencrypt.org/docs/
- Ubuntu系统维护手册:https://ubuntu.com/server/docs
