it运维干货！服务器运维极简指南

运维转型网安极简指南

最新推荐文章于 2025-10-09 09:30:45 发布

原创最新推荐文章于 2025-10-09 09:30:45 发布 · 920 阅读

28 ·

CC 4.0 BY-SA版权

文章标签：

#运维 #服务器

程序员同时被 3 个专栏收录

1668 篇文章

订阅专栏

计算机

1655 篇文章

订阅专栏

互联网

1347 篇文章

订阅专栏

总说服务器部署难，究竟难在哪？数据不会说谎：

- 49%的人卡在复杂的安装配置
- 34%的系统因安全漏洞被迫下线
- 60%的服务器资源根本没用到位

面对满屏看不懂的专业命令、请不起的运维团队、防不住的网络攻击，很多项目还没开始就被技术门槛劝退。其实用对工具很简单：宝塔面板把服务器设置变成选择题，从选配置、装环境到防入侵，像组装电脑一样点点鼠标就能完成。跟着这份实操指南，零基础3小时搞定专业级部署，不用花大钱也能管好你的服务器。

服务器选购指南

业务类型	典型配置参考	核心关注点
企业官网	2核4G/40G SSD/5M带宽	稳定性、SEO优化
电商平台	4核8G/100G SSD/10M带宽+CDN	高并发、支付安全
小程序后端	2核4G/80G SSD/弹性带宽	API响应速度

对于大多数中小型公司来说，各大云厂商推出的轻量应用服务器已经能够满足大多数使用场景需求，如果业务量较大，也可以按照下面的方式去做一个简单的参考，根据业务需求自定义选购云服务器（下述部分仅作参考，可以跳过）：

CPU/内存动态配比表：

Web服务器 → 1:2 (如2核配4GB)  数据库服务器 → 1:4 (如4核配16GB)    缓存服务器 → 1:1 (内存密集型)

存储选型：

if 随机读写>70% → NVMe SSD（如MySQL）  elif 顺序读写>50% → SATA SSD（如日志存储）  else → HDD机械盘（备份/归档）

就目前来讲现阶段，云厂商的硬盘种类较多（下图以腾讯云为例），实际使用过程中建议根据厂商文档和业务需求进行选择配置即可

带宽选配：带宽(Mbps) = (页面大小(KB) × PV × 冗余系数) / (86400 × 压缩率)

假设2MB页面/日10万PV → (2048×100000×1.5)/(86400×0.7) ≈ 51Mbps → 建议10M带宽+CDN加速

Linux初始化安全配置

当我们购买一台Linux服务器后，我们至少会知道以下几项信息：

服务器公网IP：通常在服务器列表或详情页面
用户名：Linux一般为root
密码：如果你没有设置，一般会通过邮件发送给你，或通过厂商控制台进行重置

知道上述信息以后，我们就可以通过SSH工具（如堡塔多机管理）安装宝塔面板，安装完成后，我们即可开始进行基础的安全配置。

1️⃣修改SSH默认端口

SSH 默认端口 22 是公开信息，攻击者会通过自动化工具（如僵尸网络）大规模扫描互联网上的 22 端口，尝试暴力破解弱密码或利用已知漏洞获取服务器控制权，虽然对于扫描器而言没办法完全阻止暴力破解，但可以过滤掉绝大部分扫描和定向暴破，在宝塔面板中，我们可以通过安全-SSH管理-基础设置来修改SSH端口，例如修改为35467这样的高位端口。（PS：修改后记得在云厂商安全组或防火墙放通对应的ssh端口）

2️⃣SSH密钥登录

大部分主机失陷都是因为SSH弱密码遭到爆破导致，比如admin@123,woaini520,woshishui等等，在kali系统的/usr/share/wordlists/目录下存放着一个字典，里面大概包含了1400万个弱口令密码，所以，使用密码显然不是一个安全的方式，而密钥登录通过非对称加密实现，安全性远高于密码，能有效防御暴力破解和中间人攻击。因此，服务器运维、生产环境通常推荐密钥登录，在宝塔面板中，我们可以通过安全-SSH管理-基础设置，关闭密码登录，启用密钥登录

启用密钥登录需要下载密钥留作登录使用，登录时验证方式选择密钥，并选择对应的密钥文件即可。

3️⃣Fail2ban防爆破

Fail2ban 防御暴力破解（防爆破）是服务器安全中的一种有效补充措施，它可以通过动态封禁恶意 IP 地址来阻止攻击者的持续尝试，能有效避免因暴力破解导致的主机或服务失陷的问题，我们可以直接在SSH管理页面开启。

4️⃣面板安全设置

在完成SSH服务的加固之后，面板的安全设置也是同样重要的，宝塔面板默认通过安全入口、面板SSL、以及随机端口和密码等来确保安全性，除默认安全措施外，还建议您通过开启basicAuth、动态口令等二次认证方式进行加固

如您具备相应条件，您还可以通过IP白名单、地区访问限制等方式限制访问

5️⃣防火墙或安全组

多数厂商提供的服务器都支持配置安全组或防火墙，建议您通过安全组或防火墙封禁不必要的端口，甚至可以在业务稳定运行后封禁SSH及面板端口，以确保较高的安全性。

以企业官网为例，通常仅需要放行80/443端口提供给用户访问即可，其他不必要的端口如3306/888/6379等通常无需对外暴露，避免徒增暴露面导致主机服务失陷。

如您的服务器厂商没有提供类似于安全组或防火墙的功能，您也可通过宝塔面板安全页面管理防火墙，删除不必要的端口规则。

宝塔面板的深度应用

1️⃣环境快速部署

如项目没有特殊需要，通常推荐大家选择LNMP套件安装，生产环境建议大家使用编译安装，如无特殊必要，请不要安装FTP插件。（PS：编译安装MySQL对配置要求较高，如配置不足建议后期到软件商店单独安装MySQL）

宝塔面板支持多MySQL版本和PHP版本共存，如有需要，您可以到软件商店中进行安装，以WordPress和Laravel框架为例：

# 为不同站点分配PHP版本（以WordPress和Laravel为例）1. 在"软件商店"安装PHP7.4/8.1/8.22. 网站A（WordPress）→ PHP7.4（兼容传统插件）3. 网站B（Laravel）→ PHP8.2（获取最新性能优化）

2️⃣计划任务

通过计划任务我们可以定时执行一些重复性的工作来释放我们的双手，下面给大家介绍一下设置计划任务的实践。

在介绍具体的操作之前，先代大家简单了解一下计划任务设置的逻辑和坑：

逻辑：根据业务时段特征分配任务
- 黄金时段（8:00-22:00）：仅执行监控类任务（CPU占用<5%）
- 闲时窗口（23:00-6:00）：集中处理高负载任务（备份/分析）

上述时间段需要根据业务情况进行调整，尽可能避免在业务高峰期执行负载较高的计划任务，以免影响正常的业务访问，除此之外，如果有多条计划任务，还需要注意计划任务是否会发生互斥，导致计划任务异常甚至服务中断，例如：

案例一：数据库热备遭遇数据清洗

场景复现：某金融公司每日凌晨1点同时触发：

任务A：MySQL全量备份（耗时45分钟）
任务B：客户交易数据清洗（大量UPDATE/DELETE操作）

事故现象：

备份文件中出现「幽灵数据」——已清洗的记录仍存在于备份
清洗任务执行时间从20分钟延长至2小时

案例二：日志切割大战文件同步

场景复现：某视频平台每小时整点执行：

任务A：Nginx日志切割（重命名+重建日志文件）
任务B：边缘节点文件同步（rsync传输）

事故现象：

同步到边缘节点的日志文件出现50%截断
服务器磁盘空间每小时异常波动

案例三：证书更新与负载均衡的死亡之舞

场景复现：某SaaS平台每月1日执行：

任务A：集群SSL证书轮换（更新10台服务器）
任务B：负载均衡器节点健康检查（每5分钟一次）

事故现象：

用户访问出现「证书不匹配」警告
部分节点被错误标记为宕机下线

从上面的案例中我们其实可以得到，设置计划任务的核心思考点在于：

「我为什么在这个时间执行？」「失败时如何最小化影响？」「下次如何做得更好？」

介绍完计划任务的逻辑，我们再来讲一下常见的计划任务配置，对于大多数业务来说，日志切割、内存释放、定时备份都是比较常见的几个常见，接下来我们将逐一介绍：

场景一：日志切割

当日志文件超过10GB时，可能导致：

磁盘空间不足触发服务崩溃
日志查询效率下降90%
安全事件溯源困难

宝塔可视化操作：

进入「计划任务」→「添加任务」
任务类型选择「网站日志切割」
设置保留份数

场景二：内存释放

适用场景：

运行PHP等内存泄漏风险高的应用
物理服务器无自动swap清理机制
突发流量后需要快速恢复服务能力

宝塔可视化操作：

进入「计划任务」→「添加任务」
任务类型选择「网站日志切割」
设置保留份数

场景三：定时备份

备份的场景和必要性无需多说，不要等到「不小心把数据覆盖了，有办法恢复吗」「不小心删除了某某个文件，怎么恢复」才想起来备份的重要性。

3️⃣异地备份

在计划任务中，已经给大家初步介绍了通过定时任务创建备份，但从容灾的角度来讲，单纯的备份到服务器本地无法实现容灾的目的，当你将备份文件存放在生产服务器的/backup目录时，实则可能正在上演一场危险的「鸡蛋篮子」游戏：

物理层风险：硬盘损坏率，整机宕机可能导致备份与生产数据同归于尽
安全层危机：勒索病毒会优先加密备份文件
运维层盲区：大多数企业从未验证备份可恢复性，当真正需要时，备份文件已损坏

因此结合异地备份、云存储以及分布式架构等方式，将数据分散保存在不同的物理位置和环境中。这样即使某一节点发生问题，其他位置的备份仍然能够保障数据的安全性和可用性，宝塔面板支持将数据备份到不同云厂商的对象存储中，可以前往应用商店中安装对应的插件：

安装配置完成后在计划任务创建备份任务时选择备份到云厂商存储即可。

网站安全实践

1️⃣SSL证书部署

当您的网站仍在使用HTTP协议时，所有数据如同在「互联网高速公路」上裸奔：

支付劫持：黑客可在0.8秒内截获信用卡信息（Akamai 2023研究报告）
会话窃取：通过中间人攻击（MITM）轻松盗取用户登录凭证
内容篡改：恶意注入广告或钓鱼链接的成功率高达74%

宝塔面板提供了便捷的证书部署方案，集成了申请-部署-续期等，极大的提高了证书的部署效率：

在证书部署到站点后，如业务允许，建议开启强制HTTPS

SSL进阶配置：‍

ssl_ecdh_curve X25519:prime256v1:secp384r1;

如您启用了TLS 1.3可在站点配置文件中追加上述配置，针对新型加密算法进行优化。

2️⃣网站防火墙

网站被挂马、篡改相信有很多小伙伴们都经历过或者看到别人经历过，这种网络安全事故不仅会造成数据泄露、流量劫持等直接损失，更可能引发用户信任危机和法律风险，但很多中小型公司没有专业的安全工程师来去处理这个问题，这时可以尝试使用宝塔面板的Nginx防火墙来去处理这个问题

（PS：安装完防火墙记得开启站点防护！安装完防火墙记得开启站点防护！安装完防火墙记得开启站点防护！）

爬虫相信也会是大家经常遇到的问题之一，各种采集工具数不胜数，辛辛苦苦的写的文章、内容、资料被人拿去使用，常在互联网看到一个笑话，你这个正版网站的体验还不如盗版做的好，如何有效的避免这个问题成了很多中小网站的一个难题，这时可以尝试使用一下Nginx防火墙的爬虫防护功能（PS：当前为实验性功能，如果没有遭到爬虫困扰请勿开启）

在业务的高峰期，如果让大量的访问一拥而入将可能会导致业务瘫痪，这时候就需要一个削峰的机制来确保业务系统正常的运营，相当于就餐时让用户取号等候，等前面的人吃完了再让用户进去，常见的典型场景如下：

场景	技术方案
电商限时抢购	结合库存系统动态计算准入人数
选课系统	开放选课后限制同时选课人数，避免教务系统服务故障

Nginx防火墙目前集成了等候室功能，可以根据业务容量配置相应的规则后开启等候室功能，当达到阈值时等候室将会被自动触发：

3️⃣文件防篡改

如果，我是说如果，你的服务器不幸被入侵了又或者某个同事失误执行了一条命令，导致文件被篡改删除，那后果不堪设想，这时可以通过防篡改做一下预置的防护：

很多小伙伴可能会发现一个问题，我的防篡改开启了为什么我还是能在面板修改我的文件？答案就在进程白名单中

如果你开启后暂时不需要修改你的文件，建议关闭宝塔面板的进程白名单。

3️⃣PHP安全防护

如果程序本身存在漏洞，单纯的依靠文件防篡改是没有任何意义的，因为防篡改不可能让你程序本身也没法修改你的文件，这时候可能就需要通过一些安全防护的工具加固程序本身，比如常见的PHP程序，我们可以使用PHP网站安全告警去拦截PHP木马

（补充个题外话：很多小伙伴买了不安装，安装了不开启

，这跟没防护好像没什么区别，要不，咱们还是注意下

）

监控告警体系

1️⃣资源监控

在监控页面，我们可以通过监控功能开启面板资源的监控，开启后，监控页面会展示服务器关键资源的实时动态及历史趋势，主要包括以下模块：

1. 实时资源概览（在面板首页即可查看）

CPU使用率：显示当前CPU负载百分比及核心数占用情况，帮助识别高负载进程。
内存占用：动态展示物理内存和Swap交换分区的使用情况，避免内存溢出导致服务崩溃。
磁盘IO与：实时监控磁盘读写速度
网络流量：展示内网和外网的实时上传/下载速率，定位异常流量来源。

2. 历史数据图表（需要在面板监控页面查看）

支持查看过去24小时或最近7天的资源使用趋势，通过折线图分析服务器性能瓶颈。
可针对CPU、内存、磁盘、网络单独筛选，方便排查周期性故障。

2️⃣监控告警

监控告警功能可以在资源使用异常、服务异常、面板遭遇攻击、SSL证书过期、站点异常等场景下发送告警通知，具体设置方法可以参照下方视频：

宝塔面板

，赞2

3️⃣面板日报

在监控页面开启面板日报后，日报会记录每天的异常信息，并形成日报，方便运维人员快速概览服务器及服务的运行情况：

日常巡检：运维人员无需登录服务器，直接通过邮件日报快速确认服务器健康状态。
故障回溯：结合日报中的异常时间点，关联分析监控图表，定位故障根源。
资源规划：根据连续多日的资源峰值数据，决定是否需升级服务器配置。

这两年，IT行业面临经济周期波动与AI产业结构调整的双重压力，确实有很多运维与网络工程师因企业缩编或技术迭代而暂时失业。

很多人都在提运维网工失业后就只能去跑滴滴送外卖了，但我想分享的是，对于运维人员来说，即便失业以后仍然有很多副业可以尝试。

运维副业方向

运维，千万不要再错过这些副业机会！

第一个是知识付费类副业：输出经验打造个人IP

在线教育平台讲师

操作路径：在慕课网、极客时间等平台开设《CCNA实战》《Linux运维从入门到精通》等课程，或与培训机构合作录制专题课。
收益模式：课程销售分成、企业内训。

技术博客与公众号运营

操作路径：撰写网络协议解析、故障排查案例、设备评测等深度文章，通过公众号广告、付费专栏及企业合作变现。
收益关键：每周更新2-3篇原创，结合SEO优化与社群运营。

第二个是技术类副业：深耕专业领域变现

企业网络设备配置与优化服务

操作路径：为中小型企业提供路由器、交换机、防火墙等设备的配置调试、性能优化及故障排查服务。可通过本地IT服务公司合作或自建线上接单平台获客。
收益模式：按项目收费或签订年度维护合同。

远程IT基础设施代维

操作路径：通过承接服务器监控、日志分析、备份恢复等远程代维任务。适合熟悉Zabbix、ELK等技术栈的工程师。
收益模式：按工时计费或包月服务。

网络安全顾问与渗透测试

操作路径：利用OWASP Top 10漏洞分析、Nmap/BurpSuite等工具，为企业提供漏洞扫描、渗透测试及安全加固方案。需考取CISP等认证提升资质。
收益模式：单次渗透测试报告收费；长期安全顾问年费。

比如不久前跟我一起聊天的一个粉丝，他自己之前是大四实习的时候做的运维，发现运维7*24小时待命受不了，就准备转网安，学了差不多2个月，然后开始挖漏洞，光是补天的漏洞奖励也有个四五千，他说自己每个月的房租和饭钱就够了。

为什么我会推荐你网安是运维人员的绝佳副业&转型方向?

1.你的经验是巨大优势: 你比任何人都懂系统、网络和架构。漏洞挖掘、内网渗透、应急响应，这些核心安全能力本质上是“攻击视角下的运维”。你的运维背景不是从零开始，而是降维打击。

2.越老越吃香，规避年龄危机: 安全行业极度依赖经验。你的排查思路、风险意识和对复杂系统的理解能力，会随着项目积累而愈发珍贵，真正做到“姜还是老的辣”。

3.职业选择极其灵活: 你可以加入企业成为安全专家，可以兼职“挖洞“获取丰厚奖金，甚至可以成为自由顾问。这种多样性为你提供了前所未有的抗风险能力。

4.市场需求爆发，前景广阔: 在国家级政策的推动下，从一线城市到二三线地区，安全人才缺口正在急剧扩大。现在布局，正是抢占未来先机的黄金时刻。

运维转行学习路线

在这里插入图片描述

（一）第一阶段：网络安全筑基

1. 阶段目标

你已经有运维经验了，所以操作系统、网络协议这些你不是零基础。但要学安全，得重新过一遍——只不过这次我们是带着“安全视角”去学。

2. 学习内容

**操作系统强化：**你需要重点学习 Windows、Linux 操作系统安全配置，对比运维工作中常规配置与安全配置的差异，深化系统安全认知（比如说日志审计配置，为应急响应日志分析打基础）。

**网络协议深化：**结合过往网络协议应用经验，聚焦 TCP/IP 协议簇中的安全漏洞及防护机制，如 ARP 欺骗、TCP 三次握手漏洞等（为 SRC 漏扫中协议层漏洞识别铺垫）。

**Web 与数据库基础：**补充 Web 架构、HTTP 协议及 MySQL、SQL Server 等数据库安全相关知识，了解 Web 应用与数据库在网安中的作用。

**编程语言入门：**学习 Python 基础语法，掌握简单脚本编写，为后续 SRC 漏扫自动化脚本开发及应急响应工具使用打基础。

**工具实战：**集中训练抓包工具（Wireshark）、渗透测试工具（Nmap）、漏洞扫描工具（Nessus 基础版）的使用，结合模拟场景练习工具应用（掌握基础扫描逻辑，为 SRC 漏扫工具进阶做准备）。

（二）第二阶段：漏洞挖掘与 SRC 漏扫实战

1. 阶段目标

这阶段是真正开始“动手”了。信息收集、漏洞分析、工具联动，一样不能少。

熟练运用漏洞挖掘及 SRC 漏扫工具，具备独立挖掘常见漏洞及 SRC 平台漏扫实战能力，尝试通过 SRC 挖洞搞钱，不管是低危漏洞还是高危漏洞，先挖到一个。

2. 学习内容

信息收集实战：结合运维中对网络拓扑、设备信息的了解，强化基本信息收集、网络空间搜索引擎（Shodan、ZoomEye）、域名及端口信息收集技巧，针对企业级网络场景开展信息收集练习（为 SRC 漏扫目标筛选提供支撑）。

漏洞原理与分析：深入学习 SQL 注入、CSRF、文件上传等常见漏洞的原理、危害及利用方法，结合运维工作中遇到的类似问题进行关联分析（明确 SRC 漏扫重点漏洞类型）。

工具进阶与 SRC 漏扫应用：

系统学习 SQLMap、BurpSuite、AWVS 等工具的高级功能，开展工具联用实战训练；
专项学习 SRC 漏扫流程：包括 SRC 平台规则解读（如漏洞提交规范、奖励机制）、漏扫目标范围界定、漏扫策略制定（全量扫描 vs 定向扫描）、漏扫结果验证与复现；
实战训练：使用 AWVS+BurpSuite 组合开展 SRC 平台目标漏扫，练习 “扫描 - 验证 - 漏洞报告撰写 - 平台提交” 全流程。
SRC 实战演练：选择合适的 SRC 平台（如补天、CNVD）进行漏洞挖掘与漏扫实战，积累实战经验，尝试获取挖洞收益。

恭喜你，如果学到这里，你基本可以下班搞搞副业创收了，并且具备渗透测试工程师必备的「渗透技巧」、「溯源能力」，让你在黑客盛行的年代别背锅，工作实现升职加薪的同时也能开创副业创收！

如果你想要入坑黑客&网络安全，笔者给大家准备了一份：全网最全的网络安全资料包需要保存下方图片，微信扫码即可前往获取!

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

（三）第三阶段：渗透测试技能学习

1. 阶段目标

全面掌握渗透测试理论与实战技能，能够独立完成渗透测试项目，编写规范的渗透测试报告，具备渗透测试工程师岗位能力，为护网红蓝对抗及应急响应提供技术支撑。

2. 学习内容

渗透测试核心理论：系统学习渗透测试流程、方法论及法律法规知识，明确渗透测试边界与规范（与红蓝对抗攻击边界要求一致）。

实战技能训练：开展漏洞扫描、漏洞利用、电商系统渗透测试、内网渗透、权限提升（Windows、Linux）、代码审计等实战训练，结合运维中熟悉的系统环境设计测试场景（强化红蓝对抗攻击端技术能力）。

工具开发实践：基于 Python 编程基础，学习渗透测试工具开发技巧，开发简单的自动化测试脚本（可拓展用于 SRC 漏扫自动化及应急响应辅助工具）。

报告编写指导：学习渗透测试报告的结构与编写规范，完成多个不同场景的渗透测试报告撰写练习（与 SRC 漏洞报告、应急响应报告撰写逻辑互通）。

（四）第四阶段：企业级安全攻防（含红蓝对抗）、应急响应

1. 阶段目标

掌握企业级安全攻防、护网红蓝对抗及应急响应核心技能，考取网安行业相关证书。

2. 学习内容

护网红蓝对抗专项：

红蓝对抗基础：学习护网行动背景、红蓝对抗规则（攻击范围、禁止行为）、红蓝双方角色职责（红队：模拟攻击；蓝队：防御检测与应急处置）；
红队实战技能：强化内网渗透、横向移动、权限维持、免杀攻击等高级技巧，模拟护网中常见攻击场景；
蓝队实战技能：学习安全设备（防火墙、IDS/IPS、WAF）联动防御配置、安全监控平台（SOC）使用、攻击行为研判与溯源方法；
模拟护网演练：参与团队式红蓝对抗演练，完整体验 “攻击 - 检测 - 防御 - 处置” 全流程。
应急响应专项：
应急响应流程：学习应急响应 6 步流程（准备 - 检测 - 遏制 - 根除 - 恢复 - 总结），掌握各环节核心任务；
实战技能：开展操作系统入侵响应（如病毒木马清除、异常进程终止）、数据泄露应急处置、漏洞应急修补等实战训练；
工具应用：学习应急响应工具（如 Autoruns、Process Monitor、病毒分析工具）的使用，提升处置效率；
案例复盘：分析真实网络安全事件应急响应案例（如勒索病毒事件），总结处置经验。
其他企业级攻防技能：学习社工与钓鱼、CTF 夺旗赛解析等内容，结合运维中企业安全防护需求深化理解。