定期检查日志,别等出事才翻记录
服务器跑得好好的,没人去碰日志?这是大忌。系统日志、访问日志、错误日志就像汽车的行车记录仪,平时不看,出了问题一查,才发现三天前就有大量404请求或者数据库连接超时。
比如某次网站突然打不开,一查error.log,发现MySQL服务反复崩溃,再往前追溯,原来是磁盘空间连续两天告警,但没人处理。定期巡检日志,设置关键词告警(如"segmentation fault"、"Connection refused"),能提前堵住不少漏洞。
备份不只是“有就行”
很多运维以为做了定时备份就高枕无忧,可真要恢复时才发现备份文件损坏、路径写错,甚至没测试过还原流程。备份必须验证可用性,建议每月做一次模拟恢复演练。
像WordPress站点,光备份数据库不够,还得连同wp-content一起打包。可以写个简单脚本:
#!/bin/bash
DATE=$(date +%Y%m%d)
tar -czf /backup/site-$DATE.tar.gz /var/www/html
mysqldump -u root -p dbname > /backup/db-$DATE.sql
date >> /backup/backup.log记得把脚本加入cron:
0 2 * * * /usr/local/bin/backup.sh监控资源使用,别让CPU跑满才反应
服务器卡顿最常见的原因是资源耗尽。用top或htop实时查看CPU、内存占用,配合netstat看连接数。如果某个PHP进程占了80% CPU,大概率是代码死循环或SQL没索引。
更实用的做法是部署Zabbix或Prometheus这类监控工具,设置阈值告警。比如内存使用超过85%就发邮件提醒,比用户先发现问题。
防火墙规则要精简明确
iptables或firewalld不是配完就扔。经常有人开了端口忘了关,比如临时调试用的22端口对外全开,结果被暴力破解盯上。建议只放行必要IP段,例如:
sudo ufw allow from 192.168.1.0/24 to any port 22
sudo ufw allow 80/tcp
sudo ufw enable每季度review一次规则列表,删掉废弃条目。
及时更新系统和软件包
别因为“怕更新出问题”就长期不打补丁。Linux内核、OpenSSL、Nginx这些组件一旦爆出高危漏洞,攻击者分分钟就能利用。CentOS用户可以用yum-cron自动安装安全更新:
sudo yum install yum-cron
sudo systemctl enable yum-cron
sudo systemctl start yum-cron更新前在测试环境验证兼容性,生产机选择低峰期操作,这才是稳妥做法。
域名和证书也得盯着
网站突然显示“不安全”,往往是SSL证书过期了。Let's Encrypt免费证书有效期90天,必须设好自动续签。用certbot的话,加个cron任务:
0 3 */2 * * /usr/bin/certbot renew --quiet同时关注域名到期时间,开启自动续费,避免被人抢注。