總說服務(wù)器部署難，究竟難在哪？數(shù)據(jù)不會(huì)說謊：

• 49%的人卡在復(fù)雜的安裝配置

• 34%的系統(tǒng)因安全漏洞被迫下線

• 60%的服務(wù)器資源根本沒用到位

面對(duì)滿屏看不懂的專業(yè)命令、請(qǐng)不起的運(yùn)維團(tuán)隊(duì)、防不住的網(wǎng)絡(luò)攻擊，很多項(xiàng)目還沒開始就被技術(shù)門檻勸退。其實(shí)用對(duì)工具很簡(jiǎn)單：寶塔面板把服務(wù)器設(shè)置變成選擇題，從選配置、裝環(huán)境到防入侵，像組裝電腦一樣點(diǎn)點(diǎn)鼠標(biāo)就能完成。跟著這份實(shí)操指南，零基礎(chǔ)3小時(shí)搞定專業(yè)級(jí)部署，不用花大錢也能管好你的服務(wù)器。

Web服務(wù)器 → 1:2 (如2核配4GB)  數(shù)據(jù)庫服務(wù)器 → 1:4 (如4核配16GB)    緩存服務(wù)器 → 1:1 (內(nèi)存密集型)

if 隨機(jī)讀寫>70% → NVMe SSD（如MySQL）  elif 順序讀寫>50% → SATA SSD（如日志存儲(chǔ)）  else → HDD機(jī)械盤（備份/歸檔）

帶寬選配：帶寬(Mbps) = (頁面大小(KB) × PV × 冗余系數(shù)) / (86400 × 壓縮率)

假設(shè)2MB頁面/日10萬PV → (2048×100000×1.5)/(86400×0.7) ≈ 51Mbps → 建議10M帶寬+CDN加速

當(dāng)我們購買一臺(tái)Linux服務(wù)器后，我們至少會(huì)知道以下幾項(xiàng)信息：

• 服務(wù)器公網(wǎng)IP：通常在服務(wù)器列表或詳情頁面
  

• 用戶名：Linux一般為root
  

• 密碼：如果你沒有設(shè)置，一般會(huì)通過郵件發(fā)送給你，或通過廠商控制臺(tái)進(jìn)行重置

知道上述信息以后，我們就可以通過SSH工具（如堡塔多機(jī)管理）安裝寶塔面板，安裝完成后，我們即可開始進(jìn)行基礎(chǔ)的安全配置。

1??修改SSH默認(rèn)端口

SSH 默認(rèn)端口 22 是公開信息，攻擊者會(huì)通過自動(dòng)化工具（如僵尸網(wǎng)絡(luò)）大規(guī)模掃描互聯(lián)網(wǎng)上的 22 端口，嘗試暴力破解弱密碼或利用已知漏洞獲取服務(wù)器控制權(quán)，雖然對(duì)于掃描器而言沒辦法完全阻止暴力破解，但可以過濾掉絕大部分掃描和定向暴破，在寶塔面板中，我們可以通過安全-SSH管理-基礎(chǔ)設(shè)置來修改SSH端口，例如修改為35467這樣的高位端口。（PS：修改后記得在云廠商安全組或防火墻放通對(duì)應(yīng)的ssh端口）

2??SSH密鑰登錄

大部分主機(jī)失陷都是因?yàn)镾SH弱密碼遭到爆破導(dǎo)致，比如admin@123,woaini520,woshishui等等，在kali系統(tǒng)的/usr/share/wordlists/目錄下存放著一個(gè)字典，里面大概包含了1400萬個(gè)弱口令密碼，所以，使用密碼顯然不是一個(gè)安全的方式，而密鑰登錄通過非對(duì)稱加密實(shí)現(xiàn)，安全性遠(yuǎn)高于密碼，能有效防御暴力破解和中間人攻擊。因此，服務(wù)器運(yùn)維、生產(chǎn)環(huán)境通常推薦密鑰登錄，在寶塔面板中，我們可以通過安全-SSH管理-基礎(chǔ)設(shè)置，關(guān)閉密碼登錄，啟用密鑰登錄

啟用密鑰登錄需要下載密鑰留作登錄使用，登錄時(shí)驗(yàn)證方式選擇密鑰，并選擇對(duì)應(yīng)的密鑰文件即可。

3??Fail2ban防爆破

Fail2ban 防御暴力破解（防爆破）是服務(wù)器安全中的一種有效補(bǔ)充措施，它可以通過動(dòng)態(tài)封禁惡意 IP 地址來阻止攻擊者的持續(xù)嘗試，能有效避免因暴力破解導(dǎo)致的主機(jī)或服務(wù)失陷的問題，我們可以直接在SSH管理頁面開啟。

4??面板安全設(shè)置

在完成SSH服務(wù)的加固之后，面板的安全設(shè)置也是同樣重要的，寶塔面板默認(rèn)通過安全入口、面板SSL、以及隨機(jī)端口和密碼等來確保安全性，除默認(rèn)安全措施外，還建議您通過開啟basicAuth、動(dòng)態(tài)口令等二次認(rèn)證方式進(jìn)行加固

如您具備相應(yīng)條件，您還可以通過IP白名單、地區(qū)訪問限制等方式限制訪問

5??防火墻或安全組

多數(shù)廠商提供的服務(wù)器都支持配置安全組或防火墻，建議您通過安全組或防火墻封禁不必要的端口，甚至可以在業(yè)務(wù)穩(wěn)定運(yùn)行后封禁SSH及面板端口，以確保較高的安全性。

以企業(yè)官網(wǎng)為例，通常僅需要放行80/443端口提供給用戶訪問即可，其他不必要的端口如3306/888/6379等通常無需對(duì)外暴露，避免徒增暴露面導(dǎo)致主機(jī)服務(wù)失陷。

如您的服務(wù)器廠商沒有提供類似于安全組或防火墻的功能，您也可通過寶塔面板安全頁面管理防火墻，刪除不必要的端口規(guī)則。

1??環(huán)境快速部署

如項(xiàng)目沒有特殊需要，通常推薦大家選擇LNMP套件安裝，生產(chǎn)環(huán)境建議大家使用編譯安裝，如無特殊必要，請(qǐng)不要安裝FTP插件。（PS：編譯安裝MySQL對(duì)配置要求較高，如配置不足建議后期到軟件商店單獨(dú)安裝MySQL）

寶塔面板支持多MySQL版本和PHP版本共存，如有需要，您可以到軟件商店中進(jìn)行安裝，以WordPress和Laravel框架為例：

# 為不同站點(diǎn)分配PHP版本（以WordPress和Laravel為例）1. 在"軟件商店"安裝PHP7.4/8.1/8.22. 網(wǎng)站A（WordPress）→ PHP7.4（兼容傳統(tǒng)插件）3. 網(wǎng)站B（Laravel）→ PHP8.2（獲取最新性能優(yōu)化）

2??計(jì)劃任務(wù)

通過計(jì)劃任務(wù)我們可以定時(shí)執(zhí)行一些重復(fù)性的工作來釋放我們的雙手，下面給大家介紹一下設(shè)置計(jì)劃任務(wù)的實(shí)踐。

在介紹具體的操作之前，先代大家簡(jiǎn)單了解一下計(jì)劃任務(wù)設(shè)置的邏輯和坑：

• 邏輯：根據(jù)業(yè)務(wù)時(shí)段特征分配任務(wù)

• 黃金時(shí)段（8:00-22:00）：僅執(zhí)行監(jiān)控類任務(wù)（CPU占用<5%）

• 閑時(shí)窗口（23:00-6:00）：集中處理高負(fù)載任務(wù)（備份/分析）

上述時(shí)間段需要根據(jù)業(yè)務(wù)情況進(jìn)行調(diào)整，盡可能避免在業(yè)務(wù)高峰期執(zhí)行負(fù)載較高的計(jì)劃任務(wù)，以免影響正常的業(yè)務(wù)訪問，除此之外，如果有多條計(jì)劃任務(wù)，還需要注意計(jì)劃任務(wù)是否會(huì)發(fā)生互斥，導(dǎo)致計(jì)劃任務(wù)異常甚至服務(wù)中斷，例如：

• 任務(wù)A：MySQL全量備份（耗時(shí)45分鐘）
• 任務(wù)B：客戶交易數(shù)據(jù)清洗（大量UPDATE/DELETE操作）

• 備份文件中出現(xiàn)「幽靈數(shù)據(jù)」——已清洗的記錄仍存在于備份
• 清洗任務(wù)執(zhí)行時(shí)間從20分鐘延長(zhǎng)至2小時(shí)

• 任務(wù)A：Nginx日志切割（重命名+重建日志文件）
• 任務(wù)B：邊緣節(jié)點(diǎn)文件同步（rsync傳輸）

• 同步到邊緣節(jié)點(diǎn)的日志文件出現(xiàn)50%截?cái)?/span>
• 服務(wù)器磁盤空間每小時(shí)異常波動(dòng)

• 任務(wù)A：集群SSL證書輪換（更新10臺(tái)服務(wù)器）
• 任務(wù)B：負(fù)載均衡器節(jié)點(diǎn)健康檢查（每5分鐘一次）

• 用戶訪問出現(xiàn)「證書不匹配」警告
• 部分節(jié)點(diǎn)被錯(cuò)誤標(biāo)記為宕機(jī)下線

「我為什么在這個(gè)時(shí)間執(zhí)行？」「失敗時(shí)如何最小化影響？」「下次如何做得更好？」

介紹完計(jì)劃任務(wù)的邏輯，我們?cè)賮碇v一下常見的計(jì)劃任務(wù)配置，對(duì)于大多數(shù)業(yè)務(wù)來說，日志切割、內(nèi)存釋放、定時(shí)備份都是比較常見的幾個(gè)常見，接下來我們將逐一介紹：

場(chǎng)景一：日志切割

當(dāng)日志文件超過10GB時(shí)，可能導(dǎo)致：

• 磁盤空間不足觸發(fā)服務(wù)崩潰
• 日志查詢效率下降90%

• 安全事件溯源困難

• 進(jìn)入「計(jì)劃任務(wù)」→「添加任務(wù)」

• 任務(wù)類型選擇「網(wǎng)站日志切割」

• 設(shè)置保留份數(shù)

場(chǎng)景二：內(nèi)存釋放

• 運(yùn)行PHP等內(nèi)存泄漏風(fēng)險(xiǎn)高的應(yīng)用
• 物理服務(wù)器無自動(dòng)swap清理機(jī)制

• 突發(fā)流量后需要快速恢復(fù)服務(wù)能力

寶塔可視化操作：

• 進(jìn)入「計(jì)劃任務(wù)」→「添加任務(wù)」

• 任務(wù)類型選擇「網(wǎng)站日志切割」

• 設(shè)置保留份數(shù)

3??異地備份

• 物理層風(fēng)險(xiǎn)：硬盤損壞率，整機(jī)宕機(jī)可能導(dǎo)致備份與生產(chǎn)數(shù)據(jù)同歸于盡

• 安全層危機(jī)：勒索病毒會(huì)優(yōu)先加密備份文件

• 運(yùn)維層盲區(qū)：大多數(shù)企業(yè)從未驗(yàn)證備份可恢復(fù)性，當(dāng)真正需要時(shí)，備份文件已損壞

因此結(jié)合異地備份、云存儲(chǔ)以及分布式架構(gòu)等方式，將數(shù)據(jù)分散保存在不同的物理位置和環(huán)境中。這樣即使某一節(jié)點(diǎn)發(fā)生問題，其他位置的備份仍然能夠保障數(shù)據(jù)的安全性和可用性，寶塔面板支持將數(shù)據(jù)備份到不同云廠商的對(duì)象存儲(chǔ)中，可以前往應(yīng)用商店中安裝對(duì)應(yīng)的插件：

安裝配置完成后在計(jì)劃任務(wù)創(chuàng)建備份任務(wù)時(shí)選擇備份到云廠商存儲(chǔ)即可。

1??SSL證書部署

當(dāng)您的網(wǎng)站仍在使用HTTP協(xié)議時(shí)，所有數(shù)據(jù)如同在「互聯(lián)網(wǎng)高速公路」上裸奔：

• 支付劫持：黑客可在0.8秒內(nèi)截獲信用卡信息（Akamai 2023研究報(bào)告）

• 會(huì)話竊取：通過中間人攻擊（MITM）輕松盜取用戶登錄憑證

• 內(nèi)容篡改：惡意注入廣告或釣魚鏈接的成功率高達(dá)74%

在證書部署到站點(diǎn)后，如業(yè)務(wù)允許，建議開啟強(qiáng)制HTTPS

SSL進(jìn)階配置：?

ssl_ecdh_curve X25519:prime256v1:secp384r1;

如您啟用了TLS 1.3可在站點(diǎn)配置文件中追加上述配置，針對(duì)新型加密算法進(jìn)行優(yōu)化。

2??網(wǎng)站防火墻

網(wǎng)站被掛馬、篡改相信有很多小伙伴們都經(jīng)歷過或者看到別人經(jīng)歷過，這種網(wǎng)絡(luò)安全事故不僅會(huì)造成數(shù)據(jù)泄露、流量劫持等直接損失，更可能引發(fā)用戶信任危機(jī)和法律風(fēng)險(xiǎn)，但很多中小型公司沒有專業(yè)的安全工程師來去處理這個(gè)問題，這時(shí)可以嘗試使用寶塔面板的Nginx防火墻來去處理這個(gè)問題

（PS：安裝完防火墻記得開啟站點(diǎn)防護(hù)！安裝完防火墻記得開啟站點(diǎn)防護(hù)！安裝完防火墻記得開啟站點(diǎn)防護(hù)！）

爬蟲相信也會(huì)是大家經(jīng)常遇到的問題之一，各種采集工具數(shù)不勝數(shù)，辛辛苦苦的寫的文章、內(nèi)容、資料被人拿去使用，常在互聯(lián)網(wǎng)看到一個(gè)笑話，你這個(gè)正版網(wǎng)站的體驗(yàn)還不如盜版做的好，如何有效的避免這個(gè)問題成了很多中小網(wǎng)站的一個(gè)難題，這時(shí)可以嘗試使用一下Nginx防火墻的爬蟲防護(hù)功能（PS：當(dāng)前為實(shí)驗(yàn)性功能，如果沒有遭到爬蟲困擾請(qǐng)勿開啟）

在業(yè)務(wù)的高峰期，如果讓大量的訪問一擁而入將可能會(huì)導(dǎo)致業(yè)務(wù)癱瘓，這時(shí)候就需要一個(gè)削峰的機(jī)制來確保業(yè)務(wù)系統(tǒng)正常的運(yùn)營(yíng)，相當(dāng)于就餐時(shí)讓用戶取號(hào)等候，等前面的人吃完了再讓用戶進(jìn)去，常見的典型場(chǎng)景如下：

Nginx防火墻目前集成了等候室功能，可以根據(jù)業(yè)務(wù)容量配置相應(yīng)的規(guī)則后開啟等候室功能，當(dāng)達(dá)到閾值時(shí)等候室將會(huì)被自動(dòng)觸發(fā)：

3??文件防篡改

如果，我是說如果，你的服務(wù)器不幸被入侵了又或者某個(gè)同事失誤執(zhí)行了一條命令，導(dǎo)致文件被篡改刪除，那后果不堪設(shè)想，這時(shí)可以通過防篡改做一下預(yù)置的防護(hù)：

很多小伙伴可能會(huì)發(fā)現(xiàn)一個(gè)問題，我的防篡改開啟了為什么我還是能在面板修改我的文件？答案就在進(jìn)程白名單中

如果你開啟后暫時(shí)不需要修改你的文件，建議關(guān)閉寶塔面板的進(jìn)程白名單。

3??PHP安全防護(hù)

如果程序本身存在漏洞，單純的依靠文件防篡改是沒有任何意義的，因?yàn)榉来鄹牟豢赡茏屇愠绦虮旧硪矝]法修改你的文件，這時(shí)候可能就需要通過一些安全防護(hù)的工具加固程序本身，比如常見的PHP程序，我們可以使用PHP網(wǎng)站安全告警去攔截PHP木馬

（補(bǔ)充個(gè)題外話：很多小伙伴買了不安裝，安裝了不開啟，這跟沒防護(hù)好像沒什么區(qū)別，要不，咱們還是注意下）

1??資源監(jiān)控

在監(jiān)控頁面，我們可以通過監(jiān)控功能開啟面板資源的監(jiān)控，開啟后，監(jiān)控頁面會(huì)展示服務(wù)器關(guān)鍵資源的實(shí)時(shí)動(dòng)態(tài)及歷史趨勢(shì)，主要包括以下模塊：

• CPU使用率：顯示當(dāng)前CPU負(fù)載百分比及核心數(shù)占用情況，幫助識(shí)別高負(fù)載進(jìn)程。
• 內(nèi)存占用：動(dòng)態(tài)展示物理內(nèi)存和Swap交換分區(qū)的使用情況，避免內(nèi)存溢出導(dǎo)致服務(wù)崩潰。
• 磁盤IO與：實(shí)時(shí)監(jiān)控磁盤讀寫速度
• 網(wǎng)絡(luò)流量：展示內(nèi)網(wǎng)和外網(wǎng)的實(shí)時(shí)上傳/下載速率，定位異常流量來源。

• 支持查看 過去24小時(shí) 或 最近7天 的資源使用趨勢(shì)，通過折線圖分析服務(wù)器性能瓶頸。
• 可針對(duì)CPU、內(nèi)存、磁盤、網(wǎng)絡(luò)單獨(dú)篩選，方便排查周期性故障。

2??監(jiān)控告警

監(jiān)控告警功能可以在資源使用異常、服務(wù)異常、面板遭遇攻擊、SSL證書過期、站點(diǎn)異常等場(chǎng)景下發(fā)送告警通知，具體設(shè)置方法可以參照下方視頻：

3??面板日?qǐng)?bào)

• 日常巡檢：運(yùn)維人員無需登錄服務(wù)器，直接通過郵件日?qǐng)?bào)快速確認(rèn)服務(wù)器健康狀態(tài)。

• 故障回溯：結(jié)合日?qǐng)?bào)中的異常時(shí)間點(diǎn)，關(guān)聯(lián)分析監(jiān)控圖表，定位故障根源。

• 資源規(guī)劃：根據(jù)連續(xù)多日的資源峰值數(shù)據(jù)，決定是否需升級(jí)服務(wù)器配置。