一、系统基础更新维护
sudo apt update同步软件包列表,sudo apt upgrade -y安装所有已安装软件包的安全补丁与功能改进,sudo apt full-upgrade处理依赖关系变化(如升级到新版本的内核),确保系统底层稳定。升级前建议通过sudo apt autoremove清理无用依赖,sudo apt clean清除缓存释放磁盘空间。unattended-upgrades工具(sudo apt install unattended-upgrades),通过sudo dpkg-reconfigure --priority=low unattended-upgrades开启自动安装安全更新,减少人工干预延迟,及时修补高危漏洞。二、LNMP组件单独更新策略
sudo add-apt-repository ppa:nginx/stable),更新源列表后执行sudo apt install nginx -y升级到最新稳定版本。升级后重启服务(sudo systemctl restart nginx)使配置生效,并通过nginx -v验证版本。sudo apt install mysql-server -y;对于MariaDB,执行sudo apt install mariadb-server -y。升级前务必备份数据库(如使用mysqldump导出),升级后运行安全脚本(sudo mysql_secure_installation或sudo mariadb_secure_installation)设置root密码、移除匿名用户、禁止root远程登录,提升数据库安全性。sudo add-apt-repository ppa:ondrej/php -y),更新源后安装所需PHP版本及扩展(如sudo apt install php-fpm php-mysql php-cli php-curl php-gd php-mbstring php-xml php-zip -y)。升级后重启PHP-FPM(sudo systemctl restart php-fpm)和Nginx服务,确保PHP与Web服务器协同工作。三、安全加固措施
ufw(简单易用)或iptables(功能强大)限制访问。例如,通过sudo ufw allow 'Nginx Full'允许HTTP/HTTPS流量,sudo ufw allow ssh允许SSH远程管理,然后启用防火墙(sudo ufw enable),仅开放必要端口,降低被扫描或攻击的风险。sudo apt install certbot python3-certbot-nginx,sudo certbot --nginx -d yourdomain.com),强制HTTP流量跳转至HTTPS,保护数据传输安全(如用户登录信息、支付数据)。755,上传目录设为750),避免敏感文件被未授权访问。四、监控与日志管理
htop(实时查看CPU/内存使用率)、nmon(监控系统性能)、glances(综合监控)等工具监控系统资源;通过systemctl status nginx、systemctl status mysql、systemctl status php-fpm检查服务状态,确保服务正常运行。设置邮件告警(如通过cron定时任务),当服务宕机时及时通知管理员。/var/log/nginx/access.log)、错误日志(/var/log/nginx/error.log),MySQL错误日志(/var/log/mysql/error.log),PHP错误日志(/var/log/php-fpm.log),使用tail -f实时跟踪日志,或通过ELK Stack(Elasticsearch+Logstash+Kibana)、Graylog等工具集中分析日志,及时发现异常访问(如大量404请求、SQL注入尝试)。五、备份与恢复策略
mysqldump定期备份MySQL/MariaDB数据库(如mysqldump -u root -p yourdatabase > /backups/yourdatabase_$(date +%F).sql),建议每日增量备份+每周全量备份,备份文件存储在异地(如云存储)或离线介质(如移动硬盘),防止数据丢失。rsync(rsync -avz /var/www/html /backups/html)或tar(tar -czvf /backups/html_$(date +%F).tar.gz /var/www/html)备份网站文件,备份频率根据网站更新频率调整(如电商网站每日备份,静态网站每周备份)。