3.2 Linux服務器的管理和維護建議

下面這些服務器操作規范和建議初學者可能不容易看懂，因為我們還沒有完整地學習一遍Linux，但是這些經驗之談對服務器的管理和維護都非常重要，大家可以在閱讀完本書后，再回過頭來閱讀這部分內容，一定會有新的體驗。當然，限于我們的知識和能力，這些地方也可能有疏漏和不足，歡迎大家指正。

1．了解Linux目錄結構

Linux是一個非常嚴謹的操作系統，每個目錄存放何種文件都有明確的要求。作為管理員，首先要了解這些目錄的作用，然后嚴格按照目錄要求進行操作。

Linux中的目錄有很多，在此列出根目錄下主要的一級目錄和幾個常見的二級目錄的作用，如表3-1所示。

我們已經了解了Linux根目錄下主要的一級目錄和幾個常見的二級目錄的作用，建議大家遵守目錄規范來管理和使用Linux服務器。比如我要做一些實驗和練習，需要創建一些臨時文件，應該保存在哪里呢？答案是用戶的宿主目錄或/tmp/臨時目錄。但是要小心有些目錄中不能直接修改和保存數據，比如/proc/和/sys/目錄，因為它們是保存在內存中的，如果在這里寫入數據，那么你的內存會越來越小，直至死機；/boot/目錄也不能保存額外數據，因為/boot/目錄會單獨分區作為啟動分區，如果沒有空閑空間，則會導致系統不能正常啟動。

總之，Linux要在合理的目錄下進行操作和修改，這是Linux中所需遵守的第一個操作規范。

2．遠程服務器關機及重啟時的注意事項

為什么遠程服務器不能關機呢？很簡單，遠程服務器沒有放置在本地，關機后，誰可以幫你按開機電源鍵啟動服務器？雖然計算機技術日新月異，但是像插入電源和開機這樣的工作還是需要手工進行的。如果服務器在遠程，一旦關機，就只能求助托管機房的管理人員幫你開機了。

遠程服務器重啟時需要注意兩點。

1）遠程服務器在重啟前，要中止正在執行的服務

計算機的硬盤最怕在高速存儲時斷電或重啟，非常容易造成硬盤損壞。所以，在重啟前先中止你的服務，甚至可以考慮暫時斷開對外提供服務的網絡。可能你會覺得服務器有這么嬌貴嗎？我的筆記本電腦經常強行關機，也沒有發現硬盤損壞啊？這是因為你的個人計算機沒有很多人訪問，強制斷電時硬盤并沒有進行數據交換。小心駛得萬年船！

2）重啟命令的選用

Linux可以識別的重啟命令有很多條，但是建議大家使用“shutdown -r now”命令重啟。這條命令在重啟時會正常保存和中止服務器中正在運行的程序，是安全重啟命令。而且最好在重啟前執行幾次“sync”命令，這條命令是數據同步命令，可以讓暫時保存在內存中的數據同步到硬盤上。

總之，重啟和關機也是服務器需要注意的操作規范，因為不正確的重啟和關機造成服務器故障的不在少數。

3．不要在服務器訪問高峰運行高負載命令

這一點大家很好理解，在服務器訪問高峰，如果使用一些對服務器壓力較大的命令，則有可能會造成服務器響應緩慢甚至死機。

哪些命令是高負載命令呢？其實，如果大家使用過Windows操作系統，則也會留意到一些操作會給計算機帶來較大的運算壓力，道理都是一樣的，如復制大量的數據、壓縮或者解壓縮大文件、大范圍的硬盤搜索等。

什么時間算作訪問高峰期呢？我們一般認為17:00—24:00算作訪問高峰期。當然，每臺服務器具體提供的服務不同，訪問高峰期有時也會有所出入。比如，服務器主要是供美國人民訪問的，那就要考慮時差的問題；或者服務器提供的服務很特殊，訪問高峰期可能也不同。

一般我們建議在凌晨4:00—5:00執行這些命令。那是不是說我們需要在凌晨上班？當然不是，這誰受得了啊？我們可以使用系統的計劃任務，讓操作自動在指定的時間段執行。

4．遠程配置防火墻時不要把自己踢出服務器

先要說明一下防火墻是什么、有什么具體的作用。防火墻是指將內網和外網分開，并依照數據包的IP地址、端口號和數據包中的數據來判斷是否允許數據包通過的網絡設備。防火墻可以是硬件防火墻設備，也可以是服務器上安裝的防火墻軟件。

簡單來講，防火墻就是根據數據包自身的參數來判斷是否允許數據包通過的網絡設備。我們的服務器要想在公網中安全地使用，就需要使用防火墻過濾有害的數據包。但是在配置防火墻時，如果管理員對防火墻不是很熟悉，則有可能把自己的正常訪問數據包和有害數據包全部過濾掉，導致自己也無法正常登錄服務器，如防火墻關閉了遠程連接的SSH服務的端口。

防火墻配置完全是靠手工命令完成的，配置規則和配置命令相對也比較復雜，萬一設置的時候心不在焉，悲劇就發生了。

如何避免這種尷尬的情況發生呢？最好的方法當然是在服務器本地配置防火墻，這樣就算不小心把自己的遠程登錄給過濾了，還可以通過本機登錄來進行恢復。如果服務器已經在遠程登錄了，要配置防火墻，那么最好在本地測試完善后再進行上傳，這樣會把發生故障的概率降到最低。雖然在本地測試好了，但是傳到遠程服務器上時仍有可能發生問題。于是超哥想到一個笨辦法：如果需要遠程配置防火墻，那么先寫一個系統定時任務，讓它每5分鐘清空一下防火墻規則，就算寫錯了也還有反悔的機會，等測試沒有問題了再刪除這個系統定時任務。

總之，大家可以使用各種方法，只要留意不要在配置防火墻時把自己踢出服務器就好了。

5．指定合理的密碼規范并定期更新

前面我們介紹了設置密碼需要遵守復雜性、易記憶性和時效性的三原則，這里就不再重復解釋了。

另外，需要注意密碼的保存。日常使用的密碼，我們最簡單的原則是不要寫下來。但是我們的服務器可能有很多，不可能所有的服務器都使用同樣的密碼，最好每臺服務器的密碼都不盡相同，但是在實際的工作中也不現實。一般的做法是給服務器分類，每類服務器的密碼一致，這樣可以有效地減少密碼的數量。但是在有大量服務器的情況下，密碼的數量還是很可怕的。比如，當年超哥從事游戲運維的時候，有超過2000臺服務器，再加上交換機和路由器等網絡設備，雖然采用了每類服務器相同密碼的方法，但是密碼的總數量還是超過了100個……這時把密碼一次性記憶下來基本上是一項不可能完成的任務。那么，該如何保存這些密碼呢？只能通過文檔來保存了，當然這些文檔不能是明文保存的，而是要加密的。

總之，合理的密碼還要有合適的保存方式，這些在構建服務器架構的時候都是必須考慮的內容。

6．合理分配權限

服務器管理有一個最簡單的原則：給予用戶最小的權限。

初次接觸服務器的人會很迷惑，我們所有同事都使用管理員root賬戶登錄多好，省得還要學習如何添加用戶、設置權限。這樣操作，如果是對個人計算機來講問題不大，如日常使用的Windows桌面系統，但如果是服務器，就會出現重大的安全隱患。在實際的工作中，因為給內部員工分配的權限不合理而導致數據泄密甚至觸犯法律的情況屢見不鮮。所以，在服務器上，合理的權限規劃必不可少！而且就算只有你是這臺服務器的root，我們也建議在管理服務器時，能使用普通用戶完成的操作都使用普通用戶，確實完成不了的操作要么進行授權，要么再切換到root執行。因為Linux上的root用戶權限實在過大，一旦誤操作，后果是嚴重的，下場是慘淡的。

在實際的工作中，越是重要的服務器，對權限的管理越嚴格。原則上，在能夠完成工作的前提下，分配的權限越小越安全。當然，權限越小，你需要做的規劃和權限分配任務就越多，但是服務器也越可靠。

7．定期備份重要數據和日志

沒有備份的服務器，就是在作死！

沒有備份的服務器，就是在作死！

沒有備份的服務器，就是在作死！

重要的事說三遍！

有的年輕人，手機壞了或丟了，通訊錄就沒了；自己電腦的硬盤壞了，上面的資料就再也找不到了，一點備份的意識也沒有。個人的損失往往可以承受，但是公司服務器的損失可能會非常驚人。

有的人知道備份重要，但是因為懶惰或忘記，結果后悔莫及。很多事情都是知易行難的，備份來不得半點僥幸心理。如果公司的主要盈利項目是在互聯網上的業務，那么數據的丟失就有可能造成公司的直接利益損失。