Linux VPS服务器必做检查清单:安全与性能10项要点
文章分类:行业新闻 /
创建时间:2025-08-26
使用Linux VPS服务器时,定期做全面检查就像给服务器做体检,能提前发现隐患,保障安全高效运行。以下从安全、性能、服务、网络四大维度整理10项必做要点,覆盖操作细节与风险提示,助你构建稳定的运维基础。
安全类检查:筑牢防护第一道墙
1. 优化SSH配置(远程连接协议)
默认的SSH端口22像"明码标注的大门",攻击者通过端口扫描工具可快速定位;允许root直接登录更如"把钥匙挂在门把手上",一旦密码泄露后果严重。
操作建议:
- 修改默认端口:编辑`/etc/ssh/sshd_config`,将`Port 22`改为2222等非常见端口(避免65535以内的高频端口)。
- 禁用root直登:将`PermitRootLogin yes`改为`no`,强制通过普通用户登录后用`sudo`提权(符合最小权限原则)。
- 启用密钥登录(进阶防护):生成SSH密钥对,将公钥写入`~/.ssh/authorized_keys`,关闭密码登录`PasswordAuthentication no`(《网络安全法》要求关键系统应采用多因素认证)。
修改后执行`systemctl restart sshd`生效。
2. 部署基础防火墙
未开防火墙的服务器如同"窗户全开的房子",所有服务端口直接暴露在公网。以常见的Web服务器为例,若未限制端口,攻击者可能通过未使用的3306(MySQL)、5432(PostgreSQL)端口渗透。
操作步骤:
- Debian/Ubuntu:`apt-get install ufw`;CentOS:`yum install ufw`(部分CentOS需先装EPEL源)。
- 按需开放端口:`ufw allow 80/tcp`(HTTP)、`ufw allow 443/tcp`(HTTPS),仅保留必要服务端口。
- 启用防火墙:`ufw enable`,执行`ufw status`确认规则生效。
3. 及时更新系统与软件
2023年CNVD(国家信息安全漏洞库)数据显示,超60%的服务器攻击利用的是未修复的已知漏洞。旧版内核、Nginx、PHP等组件可能存在缓冲区溢出、代码执行等高危漏洞。
更新命令:
- Debian/Ubuntu:`apt-get update && apt-get upgrade -y`(`-y`自动确认避免中断)。
- CentOS:`yum update -y`(建议凌晨低峰期执行,避免影响业务)。
更新后重启服务器(`reboot`)确保内核补丁生效。
性能类检查:避免"小问题拖垮大服务"
4. 监控磁盘空间
某电商客户曾因日志未清理,导致/var分区占满98%,数据库无法写入订单,损失超10万元。磁盘空间不足会触发服务崩溃、文件无法保存等问题。
检查方法:
- 全局查看:`df -h`(如`/dev/vda1 40G 35G 3.2G 92% /`提示根分区告急)。
- 定位大文件:进入目标目录执行`du -sh *`(如`du -sh /var/log/*`快速找到大日志文件)。
- 定期清理:设置日志轮转(`logrotate`)自动截断旧日志,或用`find /var/log -name "*.log" -mtime +30 -delete`删除30天前日志。
5. 管理内存使用
内存不足时,Linux会启用交换空间(Swap),但磁盘IO速度远低于内存,可能导致服务响应延迟从毫秒级飙升至秒级。
快速排查:
- 查看实时占用:`free -h`(关注`Mem`行的`used`和`available`列)。
- 定位高耗进程:`top`命令下按`M`键(按内存排序),找到`%MEM`高的进程(如未优化的PHP-FPM子进程)。
- 优化方案:关闭冗余服务(`systemctl disable --now unnecessary.service`),或通过`ulimit`限制进程内存上限。
6. 控制CPU负载
CPU负载超过服务器核心数2倍时(如4核服务器负载>8),新请求会进入队列等待,导致用户端"页面加载慢"。
诊断工具:
- 实时监控:`top`按`P`键(按CPU排序),观察`%CPU`高的进程(可能是死循环脚本或挖矿木马)。
- 历史分析:`htop`(需先安装)支持可视化查看各核心占用,或用`dstat`统计5分钟负载趋势。
- 应急处理:对异常进程执行`kill -9 PID`,长期需优化代码或拆分任务到后台(如用Redis队列异步处理)。
服务与网络类检查:保障业务连续性
7. 确认关键服务状态
Nginx、MySQL等核心服务若意外停止,会直接导致网站无法访问或数据丢失。
检查命令:`systemctl status nginx`(查看Nginx状态),输出中`Active: active (running)`为正常,`failed`需查看`journalctl -u nginx`定位错误日志。
自动恢复:通过`systemctl enable nginx`设置开机自启,结合`Restart=always`(编辑`/etc/systemd/system/nginx.service`)实现服务崩溃自动重启。
8. 配置定时任务(Cron Job)
手动执行备份、清理等任务易遗漏,定时任务能确保操作的规律性。例如某用户因未设置数据库备份,硬盘损坏后丢失3天订单数据。
设置方法:
- 编辑任务:`crontab -e`(进入Vim编辑器)。
- 示例配置:`0 2 * * * /usr/bin/mysqldump -u root -p密码 dbname > /backup/db_$(date +\%F).sql`(每天2点备份数据库)。
- 验证生效:`crontab -l`查看已设置任务,`tail -f /var/log/syslog`(Ubuntu)或`/var/log/cron`(CentOS)检查执行日志。
9. 排查网络连接问题
网络延迟、丢包会影响用户访问体验,甚至导致API调用失败。
诊断步骤:
- 基础连通性:`ping -c 5 www.baidu.com`(`-c 5`发送5个包,观察`loss%`是否为0)。
- 路径追踪:`traceroute www.baidu.com`(定位跳数异常节点,如某运营商节点延迟超200ms)。
- 端口监听:`netstat -tunlp | grep 80`(确认Nginx是否监听80端口,避免防火墙规则与服务配置冲突)。
10. 校准DNS配置
错误的DNS解析会导致用户无法通过域名访问网站,甚至跳转到钓鱼页面。
配置方法:
- 临时修改:编辑`/etc/resolv.conf`,添加`nameserver 114.114.114.114`(国内)或`8.8.8.8`(Google)。
- 持久化设置(Ubuntu):编辑`/etc/systemd/resolved.conf`,在`[Resolve]`下添加`DNS=114.114.114.114`,执行`systemctl restart systemd-resolved`。
- 验证生效:`nslookup example.com`(查看解析IP是否与服务器一致)。
定期对照这份清单检查Linux VPS服务器,既能通过安全配置降低被攻击风险,也能通过性能优化保障业务流畅运行。建议每周执行基础检查,每月做深度排查,让服务器始终保持"健康状态"。立即登录你的VPS,从修改SSH端口或更新系统开始,迈出运维优化的第一步吧!
工信部备案:苏ICP备2025168537号-1