系统管理规则

用户管理

• 创建服务账户时使用--system标志——无主目录，无登录shell
• sudo权限应限定于特定命令，而非通配ALL——遵循最小权限原则
• 锁定账户而非删除：usermod -L——保留审计追踪和文件所有权
• SSH密钥存放于~/.ssh/authorized_keys并设置严格权限——文件600，目录700
• visudo编辑sudoers文件——保存前捕获语法错误，防止系统锁定

进程管理

• systemctl管理服务，而非使用service——systemd已成为现代发行版标准
• journalctl -u service -f用于实时日志查看——比tail命令更强大
• nice和ionice用于后台任务——避免与生产工作负载竞争资源
• 终止信号：优先使用SIGTERM(15)，SIGKILL(9)作为最后手段——SIGKILL不允许进程进行清理操作
• nohup或screen/tmux用于长时间运行命令——SSH断开连接会终止常规进程

文件系统与存储

• df -h查看磁盘使用情况，du -sh *定位问题目录——在磁盘完全填满前进行检查
• lsof +D /路径查找使用目录的进程——卸载前必需操作
• ncdu交互式磁盘使用分析——比重复执行du命令更高效
• 挂载选项至关重要：noexec,nosuid用于数据分区的安全
• 谨慎调整文件系统大小：扩展是安全的，缩小有数据丢失风险——务必先备份

日志与监控

• logrotate防止磁盘占满——配置大小限制和保留策略
• 将日志集中到外部系统——服务器故障时本地日志会丢失
• /var/log/auth.log或/var/log/secure用于登录尝试——注意暴力破解
• dmesg用于内核消息——硬件错误、OOM终止会出现在这里
• 监控inode使用情况，而不仅仅是磁盘空间——大量小文件会耗尽inode

权限与安全

• chmod 600用于机密文件，640用于配置文件，644对公众开放——世界可写权限几乎总是错误的
• 共享目录上的粘滞位（chmod +t）——用户只能删除自己的文件
• setfacl用于复杂权限——当传统的所有者/组/其他权限不够时
• chattr +i使文件不可变——即使是root用户也无法在没有移除标志的情况下修改
• SELinux/AppArmor处于强制模式——宽容模式仅记录日志但不提供保护

包管理

• apt update在apt upgrade之前执行——不先更新直接升级会使用过时的软件包列表
• 无人值守安全更新：unattended-upgrades——关键补丁不应等待
• 在生产环境中固定软件包版本——意外的升级会导致意外的服务中断
• 移除未使用的软件包：apt autoremove— 减少攻击面和磁盘使用量
• 了解你的包管理器：apt/yum/dnf/pacman — 命令不同，概念相似

备份

• 定期测试恢复 — 无法恢复的备份毫无价值
• 包含软件包列表和配置文件，而不仅仅是数据 — 重建环境非常痛苦
• 异地备份是必需的 — 本地备份无法应对磁盘故障或勒索软件
• 在进行任何有风险的操作前备份 — “我就快速编辑一下”是著名的遗言
• 记录恢复流程 — 凌晨三点的灾难时刻不是研究如何恢复的好时机

性能

• top/htop用于实时查看，vmstat用于趋势分析 — 诊断前先了解基线
• iotop用于磁盘I/O瓶颈 — 磁盘慢常被误认为是CPU问题
• 负载平均值：每个核心1.0是健康的 — 持续更高意味着任务排队
• 交换使用本身并不坏 — 但持续交换表明内存不足
• sar对于历史数据——回顾性诊断事件期间发生的情况

网络基础知识

• ss -tulpn显示监听端口——netstat已弃用
• ip addr和ip route已取代ifconfig和route——学习新工具
• 同时检查主机防火墙和云安全组——任一层面阻断流量都会导致失败
• /etc/hosts用于本地覆盖——无需修改DNS即可快速测试
• curl -v显示完整连接详情——请求头、时间信息、TLS握手过程

常见错误

• 以root身份运行服务——一次漏洞利用即可掌控整个系统
• 等到故障发生才进行监控——被动应对代价高昂
• 修改配置不备份——执行 cp file file.bak仅需两秒
• 用重启"解决"问题——只是掩盖隐患，故障必将重现
• 忽视磁盘空间告警——100%占满将引发连锁故障
• 忽略时区配置——不同服务器的日志时间无法对齐