选择硬件:核心组件选型策略
服务器硬件选择直接影响服务稳定性。处理器至少配置8核CPU以满足并发需求,高频处理器更适合计算密集型任务。内存推荐32GB起步,采用ECC校验内存避免数据损坏。存储系统建议SSD阵列+Raid10配置,兼顾速度与冗余。功率超过600W的双电源模块可确保电力冗余,1Gbps以上网卡带宽保证网络吞吐。
操作系统安装:分区方案与基础配置
启动服务器安装介质后,分区方案需科学规划:/boot分配500MB,/swap设为物理内存2倍,/var独立分区避免日志爆满根目录。CentOS Stream或Ubuntu LTS版本提供长期支持。安装时启用自动安全更新,创建非root管理员账户并设置强密码策略。
网络部署:IP设置与端口管理
配置静态IP地址避免DHCP变动导致服务中断,子网掩码与网关需与机房网络匹配。修改/etc/hostname设置服务器域名,配置DNS解析服务器地址。默认关闭非必要端口,仅开放SSH(22)、HTTP(80)、HTTPS(443)等业务所需端口。检查路由表确保网络连通性。
安全加固:防火墙与访问控制
启用防火墙(如firewalld)配置严格规则,拒绝所有入站流量后按需放行指定端口。安装Fail2ban自动封锁异常登录尝试。禁用root远程登录,使用sudo权限管理。定期执行漏洞扫描,配置入侵检测系统(如OSSEC)。设置定时任务自动安装安全补丁。
软件环境:运行组件安装与调试
部署软件仓库镜像加速更新速度。编译安装Nginx/Apache时启用TLS1.3支持,PHP配置OPcache加速脚本。数据库安装完成立即修改默认端口,创建专用账户限制访问权限。验证服务启动状态:systemctl status nginx mysql
。配置防火墙放行应用端口。
远程管理:SSH密钥配置方案
在本地生成RSA密钥对:ssh-keygen -t rsa -b 4096
,公钥上传至服务器~/.ssh/authorized_keys。修改/etc/ssh/sshd_config:禁用密码登录,限制端口为50000以上非常用端口,允许密钥登录用户名单。测试密钥连接成功后重启SSH服务。
性能优化:内核参数调整方案
针对Web服务器优化:增加文件描述符限制fs.file-max=200000
,提升TCP连接数限制。内存分配策略:vm.swappiness=10
降低交换分区使用。调整磁盘调度算法为deadline,启用BBR拥塞控制算法加速网络传输。使用sysctl加载新参数。
维护监控:日志系统与资源报警
配置日志轮转规则控制/var/log增长,部署Logwatch分析安全事件。安装监控代理采集CPU/内存/磁盘数据,Prometheus+Grafana组合实现可视化监控。设置邮件报警规则:当硬盘使用超80%或内存耗尽时自动触发告警通知管理员处理。