Debian 生产环境部署指南｜一键部署

在服务器部署实践中，Debian 一直是生产环境中非常受欢迎的 Linux 发行版之一。它以稳定、安全、软件仓库成熟、社区支持广泛而著称，尤其适合用于 Web 服务、数据库服务、容器平台、反向代理、自动化运维节点等场景。

本文将围绕 Debian 生产环境部署 展开，内容包括系统初始化、安全加固、基础软件安装、SSH 配置、防火墙配置、时间同步、系统优化、Docker 环境部署，以及一键部署脚本示例。适合刚拿到一台 Debian 服务器，准备投入生产使用的用户参考。

本文以 Debian 12 为主要示例，Debian 11 同样可参考，部分命令根据实际情况微调即可。

一、为什么生产环境推荐 Debian？

在生产环境中，系统的稳定性往往比“新功能”更加重要。Debian 的优势主要体现在以下几个方面：

1. 稳定性强

Debian Stable 分支的软件包经过长时间测试，版本虽然不是最新，但兼容性和稳定性更有保障。这对于生产服务器来说非常重要，因为服务器最怕频繁出现不可预期的问题。

2. 安全维护周期长

Debian 官方会长期维护稳定版本的安全更新，对于企业环境和长期运行的业务系统非常友好。

3. 软件生态完善

Debian 的 apt 包管理体系成熟，常用的软件如 Nginx、Apache、MySQL、MariaDB、PostgreSQL、Redis、Docker 等都可以方便安装。

4. 资源占用低

相较于一些带有复杂桌面环境的系统，Debian 最小化安装后非常轻量，适合云服务器、虚拟机和容器宿主机。

5. 文档与社区丰富

Debian 拥有非常庞大的用户群体，遇到问题时通常可以快速找到解决方案。

二、部署前准备

在开始部署前，需要确认以下信息。

1. 服务器基础信息

建议准备一台干净的 Debian 服务器，推荐配置如下：

如果用于生产 Web 服务，建议至少使用：

• 2 核 CPU
• 2GB 内存
• 40GB SSD 磁盘
• 独立公网 IP
• 定期快照或备份能力

2. 登录服务器

一般云服务器创建后，会提供 root 密码或 SSH 密钥。可以通过以下方式登录：

ssh root@服务器IP

例如：

ssh root@192.168.1.100

如果使用密钥：

ssh -i ~/.ssh/id_rsa root@服务器IP

三、生产环境初始化流程

一台新服务器不建议直接部署业务，而应该先进行初始化。常见初始化步骤包括：

1. 更新系统软件包；
2. 设置主机名；
3. 配置时区；
4. 创建普通用户；
5. 配置 SSH 安全策略；
6. 配置防火墙；
7. 安装基础工具；
8. 开启时间同步；
9. 配置系统性能参数；
10. 安装 Docker 或其他运行环境；
11. 配置日志与备份策略。

下面逐步说明。

四、更新系统软件包

首先更新软件源索引并升级系统：

apt update
apt upgrade -y

如果是全新服务器，也可以执行：

apt full-upgrade -y

清理不再需要的软件包：

apt autoremove -y
apt autoclean

生产环境中，保持系统安全更新非常重要。建议定期执行更新，或者使用自动安全更新工具。

五、设置主机名

主机名可以帮助区分不同服务器，例如：

hostnamectl set-hostname prod-web-01

查看当前主机名：

hostnamectl

同时建议检查 /etc/hosts 文件：

nano /etc/hosts

示例：

127.0.0.1 localhost
127.0.1.1 prod-web-01

合理的命名方式有助于后续运维，例如：

• prod-web-01
• prod-db-01
• prod-api-01
• test-web-01
• dev-node-01

六、配置系统时区与时间同步

生产环境中，时间准确非常重要。日志分析、任务调度、监控告警、数据库事务都依赖正确时间。

设置中国时区：

timedatectl set-timezone Asia/Shanghai

查看时间状态：

timedatectl

安装并启用时间同步服务：

apt install -y systemd-timesyncd
systemctl enable systemd-timesyncd
systemctl restart systemd-timesyncd

确认同步状态：

timedatectl status

七、创建普通用户并配置 sudo

生产环境不建议长期使用 root 用户直接操作。可以创建一个普通运维用户，例如 deploy：

adduser deploy

将用户加入 sudo 组：

usermod -aG sudo deploy

验证：

su - deploy
sudo whoami

如果输出：

root

说明 sudo 权限配置成功。

八、SSH 安全加固

SSH 是服务器最常见的入口，因此必须重点加固。

编辑 SSH 配置文件：

nano /etc/ssh/sshd_config

建议调整以下配置：

Port 22
PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes
MaxAuthTries 3
ClientAliveInterval 300
ClientAliveCountMax 2

说明：

注意：在关闭密码登录前，一定要确保 SSH 密钥可以正常登录，否则可能导致无法连接服务器。

重启 SSH 服务：

systemctl restart ssh

或者：

systemctl restart sshd

不同 Debian 版本服务名可能略有区别。

九、配置 SSH 密钥登录

在本地电脑生成密钥：

ssh-keygen -t ed25519 -C "deploy@example"

将公钥复制到服务器：

ssh-copy-id deploy@服务器IP

如果没有 ssh-copy-id，可以手动添加：

mkdir -p ~/.ssh
nano ~/.ssh/authorized_keys
chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys

然后将本地的公钥内容复制到 authorized_keys 文件中。

测试登录：

ssh deploy@服务器IP

确认密钥登录成功后，再禁用密码登录。

十、配置防火墙 UFW

Debian 生产环境建议启用防火墙。UFW 使用简单，适合大多数场景。

安装 UFW：

apt install -y ufw

允许 SSH：

ufw allow 22/tcp

如果你的 SSH 改成了其他端口，例如 2222：

ufw allow 2222/tcp

允许 HTTP 和 HTTPS：

ufw allow 80/tcp
ufw allow 443/tcp

启用防火墙：

ufw enable

查看状态：

ufw status verbose

常用命令：

ufw deny 3306/tcp
ufw delete allow 80/tcp
ufw reload

生产环境中，数据库端口如 MySQL 3306、PostgreSQL 5432、Redis 6379 不建议直接暴露到公网。

十一、安装基础工具

服务器初始化时建议安装一些常用工具：

apt install -y \
  curl \
  wget \
  vim \
  nano \
  git \
  unzip \
  zip \
  tar \
  htop \
  net-tools \
  lsof \
  rsync \
  ca-certificates \
  gnupg \
  apt-transport-https \
  software-properties-common

这些工具在日常运维中非常常用，例如：

• curl / wget：下载文件、测试接口；
• vim / nano：编辑配置文件；
• git：拉取代码；
• htop：查看系统资源；
• lsof：查看端口占用；
• rsync：同步文件；
• net-tools：提供 netstat 等命令。

十二、系统性能优化

生产环境需要根据业务特点进行优化。下面给出一些通用优化项。

1. 调整文件句柄数

查看当前限制：

ulimit -n

编辑配置：

nano /etc/security/limits.conf

添加：

* soft nofile 65535
* hard nofile 65535
root soft nofile 65535
root hard nofile 65535

2. 优化内核参数

编辑：

nano /etc/sysctl.conf

添加常用配置：

net.ipv4.ip_forward = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_fin_timeout = 30
net.ipv4.tcp_keepalive_time = 1200
net.ipv4.tcp_max_syn_backlog = 8192
net.ipv4.tcp_tw_reuse = 1

fs.file-max = 1048576
vm.swappiness = 10

使配置生效：

sysctl -p

说明：

• tcp_syncookies：减轻 SYN Flood 攻击影响；
• tcp_fin_timeout：减少无效连接占用；
• fs.file-max：提高系统可打开文件总数；
• vm.swappiness：降低系统使用 swap 的倾向。

注意：内核参数不要盲目复制到所有服务器，应结合业务压力和监控数据调整。

十三、配置自动安全更新

安装自动更新组件：

apt install -y unattended-upgrades apt-listchanges

启用配置：

dpkg-reconfigure unattended-upgrades

也可以编辑配置文件：

nano /etc/apt/apt.conf.d/50unattended-upgrades

常见配置项：

Unattended-Upgrade::Automatic-Reboot "false";

建议生产环境不要随意自动重启，尤其是数据库服务器和关键业务服务器。安全更新可以自动安装，但重启应由运维在维护窗口执行。

十四、安装 Docker 运行环境

现在很多服务都使用 Docker 部署。下面介绍 Debian 上安装 Docker 的标准方式。

1. 卸载旧版本

apt remove -y docker docker-engine docker.io containerd runc

2. 添加 Docker 官方 GPG 密钥

install -m 0755 -d /etc/apt/keyrings
curl -fsSL https://download.docker.com/linux/debian/gpg | gpg --dearmor -o /etc/apt/keyrings/docker.gpg
chmod a+r /etc/apt/keyrings/docker.gpg

3. 添加 Docker 软件源

echo \
"deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.gpg] \
https://download.docker.com/linux/debian \
$(. /etc/os-release && echo "$VERSION_CODENAME") stable" \
> /etc/apt/sources.list.d/docker.list

4. 安装 Docker

apt update
apt install -y docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin

5. 启动 Docker

systemctl enable docker
systemctl start docker

验证：

docker version
docker compose version

运行测试容器：

docker run hello-world

十五、部署 Nginx 反向代理

如果服务器用于 Web 服务，通常需要安装 Nginx。

apt install -y nginx
systemctl enable nginx
systemctl start nginx

查看状态：

systemctl status nginx

开放端口：

ufw allow 80/tcp
ufw allow 443/tcp
ufw reload

基础反向代理配置示例：

server {
    listen 80;
    server_name example.com;

    location / {
        proxy_pass http://127.0.0.1:3000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

测试配置：

nginx -t

重载 Nginx：

systemctl reload nginx

十六、配置 HTTPS 证书

生产环境建议所有 Web 服务启用 HTTPS。可以使用 Let’s Encrypt 免费证书。

安装 Certbot：

apt install -y certbot python3-certbot-nginx

申请证书：

certbot --nginx -d example.com

测试自动续期：

certbot renew --dry-run

Let’s Encrypt 证书默认有效期为 90 天，Certbot 通常会自动配置续期任务，但建议定期检查。

十七、日志管理与磁盘控制

生产环境中日志很容易占满磁盘，尤其是 Docker、Nginx、应用日志等。

查看磁盘：

df -h

查看目录占用：

du -sh /var/log/*

Debian 默认使用 logrotate 管理日志。可以检查配置：

ls /etc/logrotate.d/

Docker 日志建议配置大小限制。编辑：

nano /etc/docker/daemon.json

添加：

{
  "log-driver": "json-file",
  "log-opts": {
    "max-size": "100m",
    "max-file": "3"
  }
}

重启 Docker：

systemctl restart docker

十八、备份策略建议

生产环境不能只依赖“服务器稳定”，必须有备份策略。

1. 建议备份内容

• 应用代码；
• 数据库数据；
• 上传文件；
• 配置文件；
• SSL 证书；
• Docker Compose 文件；
• Nginx 配置；
• 定时任务配置。

2. 备份方式

常见方式包括：

• 使用云服务器快照；
• 使用 rsync 同步到备份服务器；
• 使用对象存储；
• 数据库定时 dump；
• 使用专业备份工具。

3. 简单 rsync 示例

rsync -avz /var/www/ backup@backup-server:/backup/prod-web-01/

4. MySQL 备份示例

mysqldump -u root -p database_name > database_name_$(date +%F).sql

注意：备份不是最终目的，能恢复才是关键。建议定期进行恢复演练。

十九、一键部署脚本

下面提供一个适用于 Debian 生产环境初始化的一键脚本。该脚本会完成以下操作：

• 检查 root 权限；
• 更新系统；
• 设置时区；
• 安装基础工具；
• 配置 UFW 防火墙；
• 安装 Docker；
• 配置 Docker 日志限制；
• 开启常用服务；
• 输出部署结果。

使用前请先阅读脚本内容，根据实际环境调整 SSH 端口、是否安装 Docker、是否开放 Web 端口等配置。

一键部署脚本

创建脚本：

nano debian-prod-init.sh

写入以下内容：

#!/usr/bin/env bash

set -e

SSH_PORT=22
TIMEZONE="Asia/Shanghai"
INSTALL_DOCKER=true
ENABLE_UFW=true

echo "======================================"
echo " Debian 生产环境初始化脚本"
echo "======================================"

if [ "$(id -u)" -ne 0 ]; then
  echo "请使用 root 用户运行此脚本"
  exit 1
fi

echo "[1/9] 更新系统软件包..."
apt update
apt upgrade -y
apt autoremove -y
apt autoclean

echo "[2/9] 设置系统时区..."
timedatectl set-timezone ${TIMEZONE}

echo "[3/9] 安装基础工具..."
apt install -y \
  curl \
  wget \
  vim \
  nano \
  git \
  unzip \
  zip \
  tar \
  htop \
  net-tools \
  lsof \
  rsync \
  ca-certificates \
  gnupg \
  apt-transport-https \
  software-properties-common \
  ufw \
  unattended-upgrades \
  apt-listchanges

echo "[4/9] 启用时间同步..."
apt install -y systemd-timesyncd
systemctl enable systemd-timesyncd
systemctl restart systemd-timesyncd

echo "[5/9] 配置系统参数..."
cat > /etc/sysctl.d/99-prod.conf < /etc/security/limits.d/99-prod.conf < /etc/apt/sources.list.d/docker.list

  apt update
  apt install -y docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin

  mkdir -p /etc/docker

  cat > /etc/docker/daemon.json <

chmod +x debian-prod-init.sh

./debian-prod-init.sh

curl -fsSL https://example.com/install.sh | bash

SSH_PORT=2222

ping deb.debian.org
cat /etc/resolv.conf

echo "nameserver 8.8.8.8" > /etc/resolv.conf

systemctl status ssh

ss -tlnp | grep ssh

systemctl status docker

journalctl -u docker -xe

cat /etc/docker/daemon.json

df -h

du -xh / | sort -h | tail -n 20

apt clean

docker system prune -a

用户
 |
CDN
 |
Nginx / HTTPS
 |
应用服务 Docker Container
 |
数据库 / Redis
 |
备份系统