服务器配置是运维工作的基石,无论是搭建个人博客、企业官网还是高并发应用,合理的配置直接决定了系统的稳定性、安全性和性能。很多开发者往往只关注业务代码,却忽略了服务器这一层,导致上线后频繁出现卡顿、宕机甚至被入侵。本文基于多年实战经验,总结了一套从基础到进阶的服务器配置最佳实践,涵盖安全加固、性能调优、监控告警等核心环节,希望能帮助你少走弯路。
安全加固:服务器配置的第一道防线
禁用root直接登录与SSH密钥认证
默认情况下,服务器允许root用户通过密码SSH登录,这是最大的安全隐患。第一步是创建一个具有sudo权限的普通用户,然后配置SSH密钥认证并禁用密码登录。
adduser deploy
usermod -aG sudo deploy
su - deploy
ssh-keygen -t ed25519 -C "your_email@example.com"
cat ~/.ssh/id_ed25519.pub >> ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys
chmod 700 ~/.ssh接着修改SSH配置文件/etc/ssh/sshd_config,确保以下关键配置生效:
PermitRootLogin no
PasswordAuthentication no
AllowUsers deploy修改后重启SSH服务:sudo systemctl restart sshd。务必先测试新用户能否正常登录,再断开当前连接,否则你可能把自己锁在门外。
防火墙与端口最小化原则
使用ufw或iptables只开放必要的端口。例如,一个Web服务器通常只需要开放22(SSH,建议修改为高位端口)、80(HTTP)和443(HTTPS)。不要开放任何未使用的端口,包括常见的3306(MySQL)、6379(Redis)等数据库或缓存端口,它们应该只监听在内网或通过SSH隧道访问。
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow 2222/tcp # 修改后的SSH端口
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw enable此外,建议安装fail2ban来防止暴力破解。它能监控日志文件,在多次失败登录后临时封禁IP地址。
性能调优:榨干服务器硬件潜力
内核参数优化
默认的Linux内核参数是为通用场景设计的,对于高并发Web服务器,需要调整网络和文件系统相关的参数。编辑/etc/sysctl.conf文件,添加以下配置:
fs.file-max = 1000000
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1 # 注意:NAT环境下慎用此参数
net.ipv4.tcp_fin_timeout = 30
net.core.somaxconn = 65535
net.ipv4.tcp_max_syn_backlog = 65535
net.ipv4.tcp_max_tw_buckets = 20000执行sudo sysctl -p使配置生效。注意:tcp_tw_recycle在NAT环境下可能导致问题,建议在云服务器上谨慎使用,或改用tcp_tw_reuse配合tcp_timestamps。
应用层配置:以Nginx为例
Nginx是当前最流行的Web服务器之一,其服务器配置直接决定静态资源分发和反向代理的性能。以下是一份经过压测验证的生产级配置示例:
user nginx;
worker_processes auto; # 自动匹配CPU核心数
worker_rlimit_nofile 65535;
events {
worker_connections 4096; # 每个worker的最大连接数
multi_accept on;
use epoll; # Linux高性能事件模型
}
http {
include mime.types;
default_type application/octet-stream;
sendfile on;
tcp_nopush on;
tcp_nodelay on;
# 连接超时设置
keepalive_timeout 65;
keepalive_requests 1000;
# 压缩配置
gzip on;
gzip_min_length 1k;
gzip_comp_level 6;
gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;
# 日志格式(包含响应时间,便于排查慢请求)
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for" '
'upstream_response_time $upstream_response_time request_time $request_time';
access_log /var/log/nginx/access.log main buffer=32k flush=5s;
}关键点:worker_processes设为auto,worker_connections根据内存大小调整(通常1GB内存可支撑约4000连接)。启用sendfile和tcp_nopush能大幅提升静态文件传输效率。
监控与日志:让服务器配置问题无所遁形
基础监控指标
没有监控的服务器配置就像蒙眼开车。至少需要监控以下指标:
- CPU使用率:
top或htop实时查看,mpstat统计每个核心。 - 内存使用:
free -h查看物理内存与Swap使用情况。 - 磁盘I/O:
iostat -x 1查看磁盘读写延迟和队列长度,如果await超过50ms说明磁盘可能是瓶颈。 - 网络流量:
nload或iftop查看实时带宽占用。 推荐使用netdata或prometheus+grafana搭建可视化监控。对于小型项目,netdata只需一行命令即可安装,开箱即用:bash <(curl -Ss https://my-netdata.io/kickstart.sh)日志轮转与集中管理
日志文件如果不加控制,会迅速占满磁盘。配置
logrotate自动压缩和清理旧日志:/var/log/nginx/*.log { daily missingok rotate 14 compress delaycompress notifempty create 0640 nginx adm sharedscripts postrotate [ -f /var/run/nginx.pid ] && kill -USR1 `cat /var/run/nginx.pid` endscript }对于多台服务器,建议使用
rsyslog或filebeat将日志统一发送到ELK或Loki平台。日志是排查服务器配置问题的第一手资料,尤其是/var/log/syslog和/var/log/auth.log,应养成定期查看的习惯。备份与灾难恢复:最后的保险
自动化备份策略
无论服务器配置多么完善,数据丢失的风险永远存在。建议采用3-2-1备份原则:3份数据副本,2种不同存储介质,1份异地存储。使用
rsync配合cron实现增量备份:#!/bin/bash BACKUP_DIR="/backup/mysql" DATE=$(date +%Y%m%d) if [ $(date +%u) -eq 7 ]; then mysqldump -u root -p'password' --all-databases > $BACKUP_DIR/full_$DATE.sql else mysqldump -u root -p'password' --all-databases --flush-logs --master-data=2 > $BACKUP_DIR/inc_$DATE.sql fi rsync -avz $BACKUP_DIR/ user@remote:/backup/重要:定期测试恢复流程,确保备份文件可用。很多事故发生在“以为有备份,实际恢复不了”的场景。
服务器配置的版本化管理
所有配置文件(Nginx、SSH、防火墙规则等)应该纳入Git仓库管理。这样当配置出错时,可以快速回滚到上一个稳定版本:
cd /etc git init echo "*.key" >> .gitignore echo "*.pem" >> .gitignore git add nginx/ ssh/ ufw/ sysctl.conf git commit -m "Initial server configuration backup"配合
etckeeper工具,可以自动在
评论框