1. Debian GNU/Linux12网络优化实战刚装好的Debian系统就像一辆没调校的新车默认网络配置可能无法发挥最佳性能。我管理过上百台Debian服务器实测通过这几个调整能让网络吞吐量提升30%以上。1.1 静态路由配置进阶技巧很多人以为配完IP和网关就完事了其实静态路由才是企业级网络的关键。比如公司有双线网络时访问不同网段需要走特定网关。这是我的标准操作流程# 查看现有路由表 ip route show # 添加永久静态路由以访问10.8.0.0/24网段为例 sudo nano /etc/network/interfaces # 在网卡配置后追加 up route add -net 10.8.0.0 netmask 255.255.255.0 gw 192.168.0.254 down route del -net 10.8.0.0 netmask 255.255.255.0避坑指南生产环境一定要加down语句否则重启网络服务会导致路由重复添加用route -n检查路由时注意Flags列的G标志表示网关生效跨VLAN通信时记得在交换机上配置对应的路由回指1.2 TCP/IP协议栈调优默认内核参数对高并发场景不友好这是我调整过的关键参数# 编辑sysctl.conf sudo nano /etc/sysctl.conf # 添加以下优化项 net.core.rmem_max16777216 net.core.wmem_max16777216 net.ipv4.tcp_keepalive_time300 net.ipv4.tcp_fin_timeout30 net.ipv4.tcp_tw_reuse1这些参数特别适合Web服务器rmem/wmem_max调大TCP窗口尺寸提升大文件传输速度tcp_tw_reuse允许快速回收TIME_WAIT状态的端口实测Nginx的并发连接数能提升20%左右2. 远程管理安全加固方案去年我们公司有台服务器因为SSH弱密码被入侵后来我全面升级了远程管理策略。下面这套方案已经稳定运行300多天。2.1 SSH安全防护十二招绝对不要直接用root登录建议这样配置sudo nano /etc/ssh/sshd_config # 关键安全设置 Port 58222 # 改默认端口 PermitRootLogin no MaxAuthTries 3 ClientAliveInterval 300 PasswordAuthentication no # 强制密钥登录配套操作生成ED25519密钥对ssh-keygen -t ed25519将公钥上传到服务器ssh-copy-id -p 58222 userhost测试密钥登录正常后再禁用密码登录2.2 双因素认证实战金融级安全可以用Google Authenticator实现二次验证sudo apt install libpam-google-authenticator google-authenticator # 按提示操作然后在sshd_config添加AuthenticationMethods publickey,keyboard-interactive手机丢失时记得提前备份恢复码我有次出差就差点被锁在服务器外。3. 软件源极速配置指南APT源配置不当会导致更新慢如蜗牛。经过多次测试我总结出这套组合拳方案。3.1 国内镜像源优选策略不同地区访问速度差异很大建议先用这个命令测试延迟curl -o /dev/null -s -w %{speed_download}\n https://mirrors.aliyun.com/debian/README企业级环境可以配置负载均衡deb https://mirrors.aliyun.com/debian/ bookworm main deb https://mirrors.tencent.com/debian/ bookworm main紧急情况当某个镜像站宕机时快速切换命令sudo sed -i s/mirrors.aliyun.com/mirrors.tencent.com/g /etc/apt/sources.list3.2 本地缓存代理搭建团队开发时可以用apt-cacher-ng搭建本地缓存sudo apt install apt-cacher-ng sudo systemctl enable apt-cacher-ng客户端配置echo Acquire::http::Proxy http://cache-server:3142; | sudo tee /etc/apt/apt.conf.d/02proxy我们20人的团队用这个方案每月节省带宽费用近万元。4. 系统安全加固全攻略安全不是一次性的工作而是一个持续过程。这套加固方案经过等保三级认证考验。4.1 UFW防火墙深度配置基础防护规则sudo ufw default deny incoming sudo ufw allow 58222/tcp # SSH自定义端口 sudo ufw allow 80,443/tcp高级技巧防止SSH暴力破解sudo ufw limit 58222/tcp查看防火墙日志定位攻击源sudo tail -f /var/log/ufw.log | grep BLOCK4.2 内核级防护方案安装安全增强组件sudo apt install apparmor fail2ban rkhunter # 配置fail2ban防护SSH sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local sudo nano /etc/fail2ban/jail.local我的典型配置[sshd] enabled true port 58222 filter sshd logpath /var/log/auth.log maxretry 3 bantime 1d最后别忘了定期安全检查sudo rkhunter --check sudo lynis audit system