Debian服务器配置最佳实践

一、系统基础优化

• 版本选择：优先使用Debian稳定版（Stable），其经过严格测试，适合长期运行的服务器环境，避免使用测试版或不稳定版带来的兼容性问题。
• 系统更新：定期执行sudo apt update && sudo apt upgrade -y更新所有软件包，安装最新安全补丁；启用自动安全更新（sudo apt install unattended-upgrades），通过dpkg-reconfigure unattended-upgrades配置自动安装关键更新，减少手动维护成本。
• 服务最小化：禁用不必要服务（如cups打印服务），使用systemctl stop <服务名>停止运行中的服务，systemctl disable <服务名>禁止开机启动，降低系统资源占用和安全风险。

二、安全加固措施

• SSH安全配置：修改/etc/ssh/sshd_config文件，设置Port 2222（非标准端口）、PermitRootLogin no（禁用root远程登录）、PasswordAuthentication no（禁用密码登录，启用密钥认证）；使用AllowUsers admin@192.168.1.*限制允许访问的IP地址，重启SSH服务（systemctl restart sshd）使配置生效。
• 防火墙配置：使用ufw（Uncomplicated Firewall）简化防火墙管理，执行sudo ufw default deny incoming拒绝所有入站连接，sudo ufw allow 2222/tcp（允许SSH）、sudo ufw allow 80/tcp（允许HTTP）、sudo ufw allow 443/tcp（允许HTTPS），最后sudo ufw enable开启防火墙；复杂场景可使用iptables进行精细化规则配置。
• 用户与权限管理：创建专用运维账户（useradd admin），将其加入sudo组（usermod -aG sudo admin），避免直接使用root账户；配置强密码策略（编辑/etc/login.defs，设置PASS_MAX_DAYS 90（密码有效期90天）、PASS_MIN_LEN 12（密码最小长度12位））；设置umask 027（默认文件权限640，目录750），限制文件访问权限。
• 文件系统安全：设置关键目录权限（chmod 700 /etc/cron* /etc/ssh/ssh_host_*_key）、文件权限（chmod 600 /etc/shadow）；使用find / -perm -4000 -type f -exec ls -ld {} \;查找异常SUID文件（具有root权限的可执行文件），及时处理；配置umask确保新建文件默认权限安全。

三、性能优化策略

• 硬件优化：优先使用SSD替代HDD（提升I/O性能），增加内存（解决内存瓶颈），升级CPU（应对高并发场景）；配置RAID 1（镜像，提高数据冗余）或RAID 10（镜像+条带化，平衡性能与冗余），提升数据可靠性。
• 内核参数调优：编辑/etc/sysctl.conf文件，优化网络参数（net.core.somaxconn = 65535（最大连接队列长度）、net.ipv4.tcp_max_syn_backlog = 65535（SYN队列长度）、net.ipv4.tcp_tw_reuse = 1（复用TIME-WAIT连接））、内存参数（vm.swappiness = 10（减少交换空间使用，提升性能））；执行sysctl -p使配置生效。
• 文件系统优化：选择ext4（通用）或XFS（高性能，适合大文件）文件系统，挂载时添加noatime,nodiratime选项（减少磁盘访问次数，提升读写性能）；调整交换空间（fallocate -l 2G /swapfile创建2G交换文件，chmod 600 /swapfile设置权限，mkswap /swapfile格式化，swapon /swapfile启用），避免交换空间过多影响性能。
• 服务与缓存优化：关闭不必要的服务（如cups），减少系统开销；使用缓存技术（如Redis或Memcached）缓存频繁访问的数据，减轻数据库压力；优化数据库（如MySQL）配置（innodb_buffer_pool_size = 1G（InnoDB缓冲池大小，建议为物理内存的50%-70%）、query_cache_size = 64M（查询缓存大小）），定期执行OPTIMIZE TABLE优化表结构；使用PHP-FPM（FastCGI Process Manager）管理PHP进程，提升Web应用性能。

四、监控与维护

• 系统监控：使用top（实时查看进程资源占用）、htop（增强版top，支持颜色和鼠标操作）、vmstat（查看系统整体性能，如CPU、内存、I/O）、iostat（查看磁盘I/O性能）等工具，定期监控系统资源使用情况，及时发现瓶颈。
• 日志管理：配置logrotate（日志轮转）避免日志文件过大（编辑/etc/logrotate.conf，设置rotate 7保留7天日志，size 100M当日志达到100M时轮转）；使用journalctl（查看系统日志）、tail -f /var/log/auth.log（实时查看SSH登录日志）监控系统活动，及时排查问题。
• 备份策略：制定每日增量备份（tar -g /var/backup/snapshot -czvf /var/backup/$(date +%F).tar.gz /etc）和每周全量备份策略，备份关键配置文件（/etc）、数据库（mysqldump -u root -p dbname > dbname.sql）和网站数据；使用rsync将备份同步到远程服务器（rsync -avz /var/backup/ backupuser@backupserver:/backups/），确保数据可恢复。
• 安全审计：定期使用Lynis（sudo apt install lynis）进行系统安全审计，检查配置漏洞；使用AIDE（sudo apt install aide）进行文件完整性检查（初始化aideinit -y，生成基准数据库，后续使用aide --check对比文件变化），及时发现未经授权的文件修改。