浏览器访问：

http://example.com/info.php

如果能看到 PHP 信息页面，说明 PHP 配置成功。

测试完成后，务必删除该文件：

sudo rm /var/www/example.com/public/info.php

因为 phpinfo() 会暴露服务器环境信息，不适合长期公开。

十五、安装 MariaDB 数据库

MariaDB 是 MySQL 的一个常用分支，兼容性好，适合多数 PHP 建站程序。

安装 MariaDB：

sudo apt install mariadb-server mariadb-client -y

启动并设置开机自启：

sudo systemctl start mariadb
sudo systemctl enable mariadb

执行安全初始化：

sudo mysql_secure_installation

根据提示操作。常见选择如下：

Switch to unix_socket authentication? n
Change the root password? y
Remove anonymous users? y
Disallow root login remotely? y
Remove test database and access to it? y
Reload privilege tables now? y

登录数据库：

sudo mysql

创建数据库和用户：

CREATE DATABASE exampledb DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
CREATE USER 'exampleuser'@'localhost' IDENTIFIED BY '强密码';
GRANT ALL PRIVILEGES ON exampledb.* TO 'exampleuser'@'localhost';
FLUSH PRIVILEGES;
EXIT;

注意：数据库密码一定要使用强密码，避免使用简单密码、域名、生日、手机号等。

十六、申请 HTTPS SSL 证书

现在网站基本都需要 HTTPS。可以使用 Let’s Encrypt 免费证书。

安装 Certbot：

sudo apt install certbot python3-certbot-nginx -y

申请证书：

sudo certbot --nginx -d example.com -d www.example.com

根据提示输入邮箱、同意协议，并选择是否将 HTTP 自动跳转到 HTTPS。

申请完成后，访问：

https://example.com

即可验证证书是否生效。

查看自动续期：

sudo certbot renew --dry-run

Let’s Encrypt 证书有效期为 90 天，Certbot 通常会自动配置续期任务。站长仍然建议定期检查证书状态，避免网站证书过期影响访问。

十七、部署 WordPress 示例

很多站长使用 Debian 部署 WordPress，这里给出一个简单流程。

进入网站目录：

cd /var/www/example.com/public

下载 WordPress：

sudo wget https://wordpress.org/latest.zip

解压：

sudo unzip latest.zip

移动文件：

sudo mv wordpress/* .

删除多余文件：

sudo rm -rf wordpress latest.zip

设置权限：

sudo chown -R www-data:www-data /var/www/example.com
sudo find /var/www/example.com -type d -exec chmod 755 {} \;
sudo find /var/www/example.com -type f -exec chmod 644 {} \;

然后浏览器访问：

https://example.com

根据页面提示填写数据库信息：

• 数据库名：exampledb
• 用户名：exampleuser
• 密码：你设置的强密码
• 数据库主机：localhost
• 表前缀：建议不要使用默认 wp_，可以改为随机前缀，例如 exwp_

十八、常用网站权限建议

权限设置不当会导致网站无法访问，或者存在安全风险。一般建议：

sudo chown -R www-data:www-data /var/www/example.com
sudo find /var/www/example.com -type d -exec chmod 755 {} \;
sudo find /var/www/example.com -type f -exec chmod 644 {} \;

对于某些框架，例如 Laravel，需要给特定目录写权限：

sudo chown -R www-data:www-data storage bootstrap/cache
sudo chmod -R 775 storage bootstrap/cache

不建议随意使用：

chmod -R 777

777 意味着任何用户都可以读写执行，存在严重安全隐患。除非临时排查问题，否则不要用于生产环境。

十九、配置网站日志与排错

Nginx 常用日志位置：

/var/log/nginx/access.log
/var/log/nginx/error.log

如果你为站点单独配置了日志，则类似：

/var/log/nginx/example.com.access.log
/var/log/nginx/example.com.error.log

查看实时访问日志：

sudo tail -f /var/log/nginx/example.com.access.log

查看错误日志：

sudo tail -f /var/log/nginx/example.com.error.log

PHP-FPM 日志通常可通过服务状态查看：

sudo systemctl status php8.2-fpm

也可以查看相关日志目录：

ls /var/log/

常见错误包括：

1. 403 Forbidden

可能原因：

• 网站目录权限不正确
• Nginx root 路径写错
• 缺少 index 文件
• SELinux/AppArmor 或安全策略限制

2. 404 Not Found

可能原因：

• 域名配置不匹配
• root 路径错误
• 文件不存在
• 伪静态配置错误

3. 502 Bad Gateway

可能原因：

• PHP-FPM 没有启动
• PHP socket 路径错误
• PHP 程序崩溃
• 权限问题

检查 PHP-FPM：

sudo systemctl status php8.2-fpm

检查 socket：

ls /run/php/

二十、安装 Fail2ban 防止暴力破解

Fail2ban 可以监控 SSH、Nginx 等日志，对恶意 IP 自动封禁。

安装：

sudo apt install fail2ban -y

创建本地配置：

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

编辑：

sudo nano /etc/fail2ban/jail.local

找到 SSH 配置部分，确保启用：

[sshd]
enabled = true
port = 22222

启动并设置开机自启：

sudo systemctl start fail2ban
sudo systemctl enable fail2ban

查看状态：

sudo fail2ban-client status
sudo fail2ban-client status sshd

Fail2ban 对开放 SSH 的服务器非常有帮助，尤其是公网服务器每天都会遭遇大量扫描和尝试登录。

二十一、配置自动安全更新

为了减少手动维护成本，可以安装自动安全更新工具。

sudo apt install unattended-upgrades -y

启用配置：

sudo dpkg-reconfigure unattended-upgrades

选择：

Yes

查看配置文件：

sudo nano /etc/apt/apt.conf.d/50unattended-upgrades

通常默认会自动应用安全更新。对于生产环境，自动更新虽然方便，但也建议定期检查系统日志，避免极少数情况下更新影响服务。

二十二、配置 Swap 交换空间

如果你的 VPS 内存较小，例如 1GB 或 2GB，建议配置 Swap，避免内存耗尽导致服务崩溃。

查看是否已有 Swap：

swapon --show

创建 2GB Swap 文件：

sudo fallocate -l 2G /swapfile

如果 fallocate 不可用，可以使用：

sudo dd if=/dev/zero of=/swapfile bs=1M count=2048

设置权限：

sudo chmod 600 /swapfile

格式化为 Swap：

sudo mkswap /swapfile

启用：

sudo swapon /swapfile

写入开机自动挂载：

echo '/swapfile none swap sw 0 0' | sudo tee -a /etc/fstab

查看：

free -h

对于数据库和 PHP 网站来说，Swap 可以在内存紧张时提供缓冲，但它不能替代真实内存。如果网站访问量较大，仍然应该升级服务器配置。

二十三、设置定时备份

站长必须重视备份。很多网站事故并不是黑客攻击，而是误删文件、数据库损坏、插件更新失败、服务器到期或磁盘异常。

1. 备份网站文件

创建备份目录：

sudo mkdir -p /backup

备份网站目录：

sudo tar -czf /backup/example.com-files-$(date +%F).tar.gz /var/www/example.com

2. 备份数据库

mysqldump -u exampleuser -p exampledb > /backup/exampledb-$(date +%F).sql

3. 编写备份脚本

创建脚本：

sudo nano /usr/local/bin/backup-example.sh

写入：

#!/bin/bash

BACKUP_DIR="/backup"
DATE=$(date +%F)
WEB_DIR="/var/www/example.com"
DB_NAME="exampledb"
DB_USER="exampleuser"
DB_PASS="数据库密码"

mkdir -p $BACKUP_DIR

tar -czf $BACKUP_DIR/example.com-files-$DATE.tar.gz $WEB_DIR

mysqldump -u$DB_USER -p$DB_PASS $DB_NAME > $BACKUP_DIR/exampledb-$DATE.sql

find $BACKUP_DIR -type f -mtime +7 -delete

赋予执行权限：

sudo chmod +x /usr/local/bin/backup-example.sh

添加定时任务：

sudo crontab -e

每天凌晨 3 点执行：

0 3 * * * /usr/local/bin/backup-example.sh

更推荐将备份同步到远程存储，例如另一台服务器、对象存储、云盘或 S3 兼容存储。只在本机备份是不够的，因为服务器磁盘损坏或被入侵时，本地备份也可能丢失。

二十四、站长常用运维命令

查看系统负载：

uptime

查看内存：

free -h

查看磁盘：

df -h

查看目录占用：

du -sh /var/www/*

查看端口监听：

sudo ss -tulnp

查看 Nginx 状态：

sudo systemctl status nginx

重启 Nginx：

sudo systemctl restart nginx

重载 Nginx：

sudo systemctl reload nginx

查看 PHP-FPM 状态：

sudo systemctl status php8.2-fpm

重启 PHP-FPM：

sudo systemctl restart php8.2-fpm

查看数据库状态：

sudo systemctl status mariadb

重启数据库：

sudo systemctl restart mariadb

查看最近登录记录：

last

查看失败登录：

sudo lastb

查看当前登录用户：

who

二十五、Debian 服务器安全加固建议

1. 使用强密码和密钥登录

服务器密码、数据库密码、后台密码都应该足够复杂。SSH 尽量使用密钥登录，并禁用密码登录。

2. 不要随意开放端口

开放端口越多，攻击面越大。只开放必要端口，例如：

• SSH 自定义端口
• 80
• 443

数据库、Redis、面板端口尽量不要直接暴露公网。

3. 定期更新系统和程序

系统要更新，网站程序也要更新。尤其是 WordPress、插件、主题等，经常是攻击目标。

4. 做好备份

至少保留最近 7 天备份，并定期将备份存储到远程位置。备份不仅要能生成，还要定期测试能否恢复。

5. 限制上传目录执行权限

对于 PHP 网站，上传目录如果允许执行 PHP 文件，会有较大风险。可以在 Nginx 中限制 uploads 目录执行 PHP。

例如 WordPress：

location ~* /wp-content/uploads/.*\.php$ {
    deny all;
}

6. 隐藏敏感文件

禁止访问 .env、.git、备份文件等：

location ~ /\.(?!well-known).* {
    deny all;
}

location ~* \.(sql|bak|old|zip|tar|gz)$ {
    deny all;
}

7. 使用 HTTPS

HTTPS 不只是加密传输，也有利于浏览器信任和 SEO。现在主流浏览器对 HTTP 网站越来越不友好。

8. 监控资源与日志

定期查看 CPU、内存、磁盘、访问日志、错误日志。如果磁盘满了，数据库和网站都可能异常。

二十六、是否需要安装宝塔等服务器面板？

很多站长喜欢使用宝塔面板、1Panel、aaPanel 等工具管理服务器。面板的优点是操作简单，适合不熟悉命令行的新手；缺点是会增加额外服务和安全风险。

如果你只是部署一个简单网站，使用面板可以提高效率。但如果你希望更好地理解服务器运行机制，建议至少掌握本文中的命令行部署方式。

对于生产环境，使用面板时要注意：

• 面板端口不要使用默认端口
• 设置强密码
• 开启二次验证
• 限制面板访问 IP
• 定期更新面板版本
• 不要安装来源不明的插件

二十七、部署完成后的检查清单

服务器部署完成后，建议按照以下清单检查：

• [ ] Debian 系统已更新
• [ ] 时区设置正确
• [ ] 已创建普通 sudo 用户
• [ ] SSH 已修改默认端口
• [ ] 已禁止 root 远程登录
• [ ] 已启用 UFW 防火墙
• [ ] 仅开放必要端口
• [ ] Nginx 正常运行
• [ ] PHP-FPM 正常运行
• [ ] MariaDB 正常运行
• [ ] 域名已解析到服务器
• [ ] HTTPS 证书已申请
• [ ] Certbot 自动续期正常
• [ ] 网站目录权限正确
• [ ] 已删除 phpinfo 测试文件
• [ ] 已安装 Fail2ban
• [ ] 已配置备份脚本
• [ ] 已测试备份恢复流程
• [ ] 已记录服务器登录信息和维护文档

二十八、总结

Debian 是非常适合站长使用的服务器系统。它稳定、轻量、安全、资料丰富，能够满足从个人博客到中小型网站的绝大多数部署需求。对于新手站长而言，掌握 Debian 的基础部署流程，不仅可以降低对面板和第三方工具的依赖，也能在网站出现问题时更快定位故障。

本文介绍了从服务器初始化到 Web 环境部署的完整流程，包括系统更新、用户管理、SSH 安全、防火墙、Nginx、PHP、MariaDB、SSL 证书、WordPress 示例、备份与安全加固等内容。按照这些步骤操作后，你就可以在 Debian 上搭建一套较为完整、稳定、安全的网站运行环境。

最后提醒一句：服务器部署不是一次性工作，而是持续维护过程。站长应定期更新系统、检查日志、备份数据、优化配置，并关注网站程序的安全公告。只有把安全和维护放在日常运营中，网站才能长期稳定运行。