Linux Web服务器搭建配置优化全攻略
在CDN和網路安全這行打滾十幾年,從幫客戶架站到抵禦大規模DDoS攻擊,Linux伺服器就像我的老戰友。記得剛入行時,用Ubuntu搭Apache,結果被流量沖垮,痛定思痛後才懂:伺服器不是裝好就完事,得從地基一路優化到屋頂。今天來聊聊實戰心得,避開那些教科書的廢話,直接上乾貨。
搭建伺服器,第一步選發行版。別跟風用最新版,穩定性才是王道。像我偏好CentOS或Debian,它們社群支援久,漏洞修補快。安裝時,跳過圖形介面,純文字模式更輕量。裝好系統後,立馬更新套件庫,跑個「sudo apt update && sudo apt upgrade -y」,這習慣救過我無數次,避免零時差漏洞攻擊。接著裝Web伺服器,Nginx比Apache更吃香,尤其在高併發場景,設定檔簡潔,效能提升三成以上。記得開箱後先關閉預設站點,減少攻擊面。
配置環節是重頭戲,安全沒做好,一切白搭。先鎖SSH:改預設端口22,用金鑰認證取代密碼,再加個fail2ban防暴力破解。防火牆用iptables或firewalld,只開必要端口,比如80和443。我有次客戶站點被塞滿惡意流量,就因忘了封閉閒置端口。HTTPS強制上線,Let\’s Encrypt免費憑證加自動續期,搭配HSTS標頭,防中間人竊聽。權限設定也得細膩,Web目錄給www-data群組讀寫限縮,避免提權漏洞。這些年看過太多配置失誤引發的災難,像是記憶體洩漏或緩衝區溢出,魔鬼都在細節裡。
優化才是真正拉開差距的戰場。調內核參數,在/etc/sysctl.conf加幾行:net.core.somaxconn調到1024提升連線佇列,vm.swappiness降到10減少硬碟交換,實測延遲降兩成。Nginx設定檔微調,worker_processes設成CPU核心數,gzip壓縮啟用,靜態資源設緩存頭,省頻寬又提速。整合CDN是神助攻,我用Cloudflare或Akamai,邊緣節點扛流量,原始伺服器壓力減半,順便擋掉七層DDoS。曾有個電商大促,每秒十萬請求,靠CDN快取和WAF規則過濾惡意bot,伺服器穩如泰山。最後,監控不能少,Prometheus加Grafana看即時指標,一有異常就告警。
走過這些坑,才明白伺服器不是工具,是活體生態。每次優化都在平衡安全與效能,沒有銀彈,只有持續迭代。親手試一遍,你會懂那種掌控感。
評論: