服务器小白求教一台 Ubuntu 网站服务器完整的部署流程是怎样的?

服务器小白来求教了…
因为一直使用的是虚拟主机,或者类似 SAE 那样的 PaaS 平台,没有接触过自己搭建服务器的流程,对这方面完全不懂…

现在由于阿里云、腾讯云之类的 VPS 服务价格慢慢下调,门槛也越来越低,以及受限于虚拟主机和 PaaS 平台的一些限制(例如 SSL),想自己学习一下一台生产环境的服务器的部署流程,希望各位服务器前辈、运维前辈,可以指点指点。

假定服务器为 Ubuntu 14.04 系统,并且希望:

  1. 系统不一定是要 Ubuntu,也可以是 CentOS 或 Debian,希望能入门容易一些就行。

  2. 能够跑 PHP 网站,最好是 PHP 7,部署完之后有哪些是必须优化的?

  3. 同时运行 MariaDB 或 MySQL 数据库,权限啊、远程访问啊,这一类是不是有特殊配置?

  4. 使用 Nginx 做 web 服务器,以及如何部署 HTTPS 网站?

  5. 使用 Git 进行代码发布,是不是要涉及 hook 之类的?

  6. 服务器的用户权限应该如何进行必要配置?基本的安全防护应该做哪些事?

  7. 既然是生产环境,那是否应该定时备份网站数据?有什么比较方便的方式?

  8. 全部手动安装,不要使用那些一键包。

我知道细节的优化是需要长年累月的经验,并不是几句话能够说清楚的,但我不求能完善到什么程度,主要以学习为目的,希望各位大神、前辈,能不吝赐教,谢谢大家!

阅读 13.8k
11 个回答

配一台 Web 服务器这个问题太泛了,要知道每一门语言都可以提供 Web 服务,Web 容器的种类也十分繁多。
这里只讲一些最基本的事项吧。

Q:那么到底如何开始学习配置一台 Web 服务器?
A:你首先需要知道用户访问Web服务所经过的流程,逐个击破。

0x01 了解 Web 请求流程

1.用户打开浏览器后输入网址,并回车。
2.浏览器开始查询网址的DNS纪录,并对查询到的纪录发起请求。(购买域名/DNS记录都是什么/配置域名的DNS)
3.服务器的Web容器(如Nginx/Apache等)接收到请求,并根据浏览器发送过来的HTTP头开始工作。(HTTP头/常见Web容器/如何配置这些Web容器和后端程序协同工作)(注:Web容器不是必须存在的,但却是最常见的处理Web请求的流程的一部分)
4.后端处理收到的请求
5.Web容器从后端程序获得最终的结果,并将结果和HTTP回复头一起返回给浏览器
6.浏览器展示结果

基本流程说完了,看看有哪些自己概念模糊甚至完全不懂的地方,搜索一下,弄清楚之后继续向下看。

0x02 服务器部署

1.熟知常用指令,至少日常操作服务器不要把大量时间用在查基本指令怎么用上,打击自己的积极性。
2.创建一个自己的低权限账户,不要通过ssh直接登录root账户操作,对于防止自己误操作,提升安全性都有帮助。
3.学会使用包管理器,就是用来安装软件的那个指令。CentOS/RedHat是yum,Debian/Ubuntu是apt-get
4.开始安装你阅读了 0x01 之后你觉得需要安装的东西...
5.使用包管理器找不到的软件,或者版本不如意的软件,学会下载源代码,编译,安装到指定目录。

另外:搞清楚 $ ls -lhta 列出目录/文件后,前面的那些东西的意义。

比如:drrwxrwxr-x  1 lakechan lakechan 322K Jan 28 09:10 233333

部署完之后,你现在应该能够跑起来服务了,并且能够访问你的页面了,但是在上线之前,看看下面的基本安全常识。

0x03 基本安全常识

  • 部署安全

系统:禁止ssh的root账户登录,创建一个自己的低权限账户平日管理服务器使用,使用sudo或者su到root账户来进行提升权限的操作;所有账户使用强密码,或者仅允许使用publickey通过ssh登录;系统内核常升级
Web容器:常升级
仅对于PHP:禁用eval的使用
Mysql:如无需要,关闭所有账户的远程登录;不要让程序使用root账户连接数据库,尽量细化账户权限分配;账户不要使用太弱的密码
代码部署:如果你选择使用git/svn等版本管理系统来部署和更新代码,禁止用户访问.git/.svn这些用户不该访问的目录;不要让Web容器跟随软链接;对各个文件和目录(包括Web程序的根目录)的 权限/所有者 的配置,遵循最小化原则;不要偷懒
其他:默认的东西统统不要留,比如apache的server-status,phpMyAdmin的目录名称起一个复杂一点的,至少不要用pma,pma123这种随手猜的名字。

  • 程序安全

警惕一切用户提供给你的数据,预防sql注入,文件上传,xss,csrf等攻击

安全方面配置到这里,基本能挡住大多数的ScriptKid了

0x04 最重要的

打了这么多字累死我了,好歹给个赞吧?

估计你说的是裸机,第一次配服务器肯定不太容易,我之前也找了好多文章教程什么的,前前后后能有30来篇博客,我的感受是大部分教程都是直接告诉你步骤,很少告诉你到底为什么,等你知道为什么了,基本你也就配完了。
你说的这几点我不全都知道,只对nginx和CentOS的配置有一点了解。
http://segmentfault.com/a/1190000004294634
这是我写的一个CentOS下用Nginx和uwsgi部署flask项目的文章,其中涉及你说的部分问题,可以看一下,希望有用。

Ubuntu通过apt安装LAMP环境

#安装下面这几个包后就可以跑Discuz!这些常用PHP程序了
sudo apt-get install apache2 php5 php5-gd php5-mysqlnd mysql-server
sudo service apache2 {status|start|stop|restart|reload}
sudo service mysql {status|start|stop|restart|reload}

Apache网站根目录 /var/www
Apache主目录 /etc/apache2
Apache主配置文件 /etc/apache2/apache2.conf
Apache日志 /var/log/apache2

PHP主目录 /etc/php5
PHP配置文件 /etc/php5/apache2/php.ini
PHP模块位置 /usr/lib/php5

MySQL配置文件 /etc/mysql/my.cnf
MySQL数据库文件 /var/lib/mysql
运行 mysql_secure_installation 设置mysql根用户密码

防火墙只开放ssh(22端口),http(80端口):

Ubuntu使用ufw可以这样做:
sudo ufw enable && \
sudo ufw default deny && \
sudo ufw allow 22/tcp && \
sudo ufw allow 80/tcp && \
sudo ufw status
可以这样删除,比如80端口:
sudo ufw delete allow 80/tcp

Ubuntu使用iptables可以这样做:
sudo ufw disable && sudo ufw default allow 设置INPUT/FORWARD/OUTPUT为ACCEPT,如果为DENY,下一步骤将使系统的所有网络访问中断,包括ssh.
sudo iptables -F && sudo iptables -X && sudo iptables -Z && sudo iptables -L
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -p tcp -i eth0 --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
sudo iptables -A INPUT -j DROP
iptables-save > /etc/iptables.up.rules 切换到root用户执行,sudo会提示无权限.Redhat的保存操作为service iptables save.
sudo nano /etc/network/interfaces 在末尾添加一行,在网络启动时应用防火墙规则: 
pre-up iptables-restore < /etc/iptables.up.rules
查看设置的规则:
sudo iptables -nvL --line-numbers
插入一条规则到INPUT链第6的位置:
sudo iptables -I INPUT 6 -j DROP
修改INPUT链的第6条规则:
sudo iptables -R INPUT 6 -j ACCEPT
删除INPUT链第6条规则:
sudo iptables -D INPUT 6

ssh使用密钥验证登录:

#生成密钥对(私钥id_rsa和公钥id_rsa.pub)
ssh-keygen
cd ~/.ssh
cat id_rsa.pub >> authorized_keys
#使用密钥登录后禁止密码认证
sudo nano /etc/ssh/sshd_config
PasswordAuthentication no
#重启服务生效
sudo service ssh restart

如果你要使用最新的PHP7,最好还是学习一下自行编译,比如:
Ubuntu上Nginx/Apache/PHP编译打包教程

尽管态度很诚恳,但仍旧问了一大堆网上有现成答案的问题。

所以,我建议你去看一看linode和digital ocean的官方指导,然后按照他们的来操作一遍,就可以了。所用的主机不必要是阿里云,自己电脑上装一台虚拟机就可以。

是的,以上是我认为的针对你的最优解决方案,毕竟也能练练使用搜索引擎。

1,我用centos,只是因为从一开始就接触redhat系列的。
2,到php.net官方下载php7,使用tar解压,./configure --help,看看你要安装哪些扩展。部署完了后优化在php-fpm.conf里,包括了安全和性能。安全包括每个网站使用独立的pool,每个pool的运行账号不同,最好监听unix socket,这样方便权限控制,配置php_admin_flag,把显示错误关了,并记录错误日志。性能包括:配置pm.status_path,方便查看性能,调试并配置pm.相关的。memory_list,限制内存使用,open_basedir,这个和安全相关,这些指令的具体意义都可以在php.ini里注释看到的。官方php.net也有讲。对了还有slow log。方便后期调优。
3,同时运行mariadb,所以,监听localhost吧,创建数据库后,不要对用户grant all,用到什么权限grant什么权限。远程访问如果需要开,openssl rand -hex 16给用户生成32位随机密码吧。
4,nginx做web服务器,worker进程数量和cpu一样多就行了,但php-fpm的worker进程要比cpu多,具体多少,慢慢调试。部署ssl看nginx.org/doc的ssl module就行了。有例子。免费ssl证书有https://letsencrypt.org/。access log 和 error log配置一下,平时看log也能看出来攻击啥的。后期分析也有个依据。对了,还有一个,server里配置一下,如果域名不是server_name,就return 444。否则别人经常刷广告。
5,使用git自动 部署的话,gitlab可以配置一个 web hook,你监听master分支的push事件,然后git clone代码到具体目录 啥的。
6,我猜测你大多数是网站 ,所以,nginx 和php-fpm的权限做好就行了。ngixn是nobody,php-fpm默认是nobody,如果有多个网站,就使用不同的账号。给代码目录 php-fpm pool运行权限 ,然后other不要给。防止跨站,再配合open_basedir啥的,挺好了。nginx是nobody,所以,可以用linux acl来给nobody配置读静态文件权限就行了。对了,根据你的业务,如果有上传文件到服务器然后可以访问的,配置访问location,不作php解析,防止有上传漏洞。
7,网站备份 ,数据库备份 啥的,手动备就行了,备份完了上传到网盘。做个自动脚本 也行。tar归档打包。数据库用mysqldump,量大用别的工具,maridb backup那章讲的有。
8,我就是手动编译部署的。这样自己清楚 明白 。但也累。对了,还有php-fpm 和nginx的日志切割,使用logrotate,你man 一下logrotate就清楚配置肿么写了,指令不多也。

最后,一时半会能想到的就这些,若需要有偿帮忙,扣扣175753457。不会念我QQ昵称第一个字,请查阅再加。谢谢。

其实你可以先学习下docker,配置一个docker环境,并且可以在github找到你需要的一些配置的dockerfile,读里面的内容,就能很容易了解都需要配置啥了,这是一个学习的办法,dockerfile其实就相当于把配置过程的命令行集中在里面了

新手上路,请多包涵

1可以使用腾讯云主机, 安装centos操作系统。 一般使用腾讯的yum源可以非常简单的安装nginx,mysql,gcc这些工具。
2不推荐使用新浪app,无法做到精准控制。无法通过终端连接主机。
3腾讯云主机可以自己安装svn服务器,mysql,mongodb任何你使用的技术都可以。和你自己搭建一个虚拟机是一样的自由度很高,并且你可以自己做安全加固和防火墙策略。
4你说的部署规则,最好是通过svn版本控制的源码在编译机上编译后在部署到线上,线上通过nginx切换流量达到不停服务部署更新的效果。如果遇到问题可以回滚到上一次稳定版本。这个需要你使用一些可持续化集成工具来辅助你。
5另外你不懂linux,不懂操作系统,是万万不行的。开发的服务如何做到没有单点故障,如何做负载均衡,都需要对网络,对系统有所了解,那什么所谓的集成环境千万不要碰,他只会让你更加痛苦。因为你不知道冰山下面到底是什么。

我自己用腾讯的云主机半年多,没有宕机,而且性能很出众,网络速度快。 从我司上传一个1G的电影分分钟搞定,每秒可达6m的速度。。。

撰写回答
你尚未登录,登录后可以
  • 和开发者交流问题的细节
  • 关注并接收问题和回答的更新提醒
  • 参与内容的编辑和改进,让解决方法与时俱进
推荐问题
宣传栏