2026年6月17日,距离我第一次接手公司服务器运维工作已经过去整整七年。这七年间,我从一个只会对着命令行发呆的新手,变成了能独自处理从查看服务器用户到配置FTP、从架设Web代理邮件服务器到折腾香港服务器文件的“老油条”。说实话,每次换工作或者公司扩张需要添加新设备,这些任务就会像潮水一样涌过来,但每搞定一次,我对服务器管理的理解就深一分。今天就跟大家聊聊我这些年踩过的坑和学到的真东西。
查看服务器用户:不只是whoami那么简单
刚入行那会儿,我以为“查看服务器用户”就是敲个whoami看看自己是啥。结果有次同事让我查一下某个活跃用户到底是谁在占用高CPU,我才发现这事儿的深度:你得知道系统里有哪些用户、哪些是服务账号、哪些是人登录的、他们的登录历史是什么时候。
最常用的命令当然还是cat /etc/passwd,但直接跑这个你会看到几百行——大部分是系统服务创建的虚拟用户。真正需要关注的是/etc/shadow(密码状态)和lastlog(上次登录时间)。有个小技巧:用awk -F: '$3>=1000' /etc/passwd,能一眼筛出普通用户(一般UID>=1000)。如果你用Ubuntu或者Debian,很多默认用户的UID是1000开头,但CentOS里可能会从500开始。这事没标准答案,全看发行版血统。
记得去年给一家远程团队做顾问时,他们服务器经常被异常流量挤爆。我用w命令看到有个叫“backup”的用户每半小时上线一次,结果发现是某个外包运维写死的一个cron脚本忘了删。这种“隐形用户”的危害比明面上的黑客还大——你信任它,但它可能早就被遗忘了。所以我的建议是:每个季度至少跑一遍usermod -e 2026-06-17 username,给不活跃用户设置过期日期(别担心,你可以用今天的日期做例子,手动调整就行)。
服务器的使用:用活资源比堆硬件更重要
很多老板觉得服务器买回来就完事了,但“服务器的使用”是个持续性活。我经手过的最极端案例:某创业公司买了台32核、128G内存的Dell R740,结果只跑了个WordPress网站,CPU常年低于5%占用。但他们每月的流量费用却高得吓人——因为完全没配置CDN和缓存。
真正懂行的运维会让服务器物尽其用。比如,你可以把空闲的IO能力用来跑个独立的数据备份任务,或者把未分配的内存分给数据库缓存池。我的习惯是装好系统后立刻跑htop看实况,再用iostat和vmstat摸清IO和内存调度的底牌。2026年最流行的资源管理工具是systemd的cgroup v2,它能细粒度限制每个服务的CPU、内存、IO配额,比老式的cpuset好用太多。
但光会用工具不够,你得有“服务意识”。比如有个核心业务跑在某个端口上,你需要确保它的优先级高于其他任务。这里推荐nice值和chrt(实时调度)。别怕调整,反正现在容器化这么普遍,调崩了直接重启容器而已。
FTP服务器如何设置:从被动模式到加密传输的坑
说到FTP,我估计有一半的运维新手都会被“被动模式”玩哭。我自己第一次在Azure上搭vsftpd时,怎么都连不上,后来发现云主机默认防火墙只开放了21控制端口,但数据端口(1024以上)被全部阻断。解决方法很简单:在vsftpd.conf里锁定被动端口范围,比如pasv_min_port=30000到pasv_max_port=31000,然后在云厂商的安全组里开放这一百个端口。虽然看起来粗暴,但这是最稳的办法。
但说实话,2026年了,还在用明文FTP的团队真的该醒醒。SFTP(基于SSH)或FTPS(FTP over SSL)已经是标配。我最近帮一个客户迁移到SFTP时发现,他们很多同事用FileZilla默认设置——这货默认用的是FTP而不是SFTP,你改了协议端口就能混过去。配置SFTP很简单:确保系统装了OpenSSH server,然后编辑sshd_config,加上Subsystem sftp internal-sftp和限制目录的Match Group sftpusers。搞定后,用户只能在自己的home目录里玩耍,跑不出去。
还有一件事:永远不要在FTP上存敏感文件。去年有个新闻,某海外服务商被勒索软件攻击,就是因为FTP目录写的anon_world_readable_only=NO但没注意密码复杂度。哪怕你用FTPS,证书也要每年更新,别等过期了才手忙脚乱。
Web代理邮件服务器:混合架构下的生存法则
“Web代理邮件服务器”这词听起来很老派,但在2026年,它依然是很多企业的真实需求。尤其是那些既要访问内网邮箱系统(比如Exchange或自建Zimbra),又需要通过代理管控员工上网行为的公司。我见过最愚蠢的做法是在邮件服务器上直接装Squid代理——内存吃光,邮件延迟爆炸。正确的姿势是分离部署:一台Nginx或者Caddy做反向代理处理HTTP/HTTPS流量,同时也可以充当简单的转发代理;然后用Postfix或Dovecot处理邮件协议。
具体操作上,我推荐用Nginx的stream模块做4层转发,而不是7层。这样能支持SMTP的纯文本连接(虽然不推荐,但有些旧设备必须)。当然,如果你需要缓存邮件附件或者做DLP(数据防泄漏),那还是得用专业的邮件安全网关,比如Cisco ESA或者开源的Rspamd。不过对大多数中小团队来说,一个配置得当的Postfix+ClamAV+SpamAssassin组合就够用十年。
2026年最大的变化是邮件加密标准:SMTP MTA-STS和TLS-RPT已经普及。如果你还在用STARTTLS自动协商,赶紧切换到强制TLS。配置方法参考postfix/main.cf里的smtp_tls_security_level = encrypt。别怕客户端不支持,Gmail和Outlook早在2023年就默认要求加密了。
香港服务器右栏文件:为什么你会需要它
最后聊聊“香港服务器右栏文件”。这听起来像某个特定软件或代码库里的遗留bug,但实际是很多出海业务会遇到的数据结构问题。我曾在为东南亚电商客户迁移服务器时发现,他们从香港机房拉取的数据库导出文件里,有个“right_column_data”字段(其实就是产品页面右侧栏的HTML片段)总是乱码。排查后发现问题出在广州服务器和香港服务器之间的字符集不一致:广州那边用GBK,香港用UTF-8,而FTP传输时又没加二进制模式(bin命令)。
解决方案很粗暴:统一用UTF-8编码,并且在写入文件前用Python的chardet库检测源编码。如果你也在香港机房干活,记住香港机房最大的优势是国际带宽和免备案,但延迟和丢包率比内地差——所以文件传输最好走断点续传工具(如lftp或rsync),别用scp干大文件,容易中断。
还有个小众但实用的技巧:香港服务器的“右栏文件”可能是第三方广告商的JS片段嵌入留下来的。检查/var/www/html/里有没有奇怪的right_sidebar.php或.js文件,用grep -r '' /var/www/搜一下外链,防止被挖矿。我上周刚处理过一个案例,就是某个被攻破的香港服务器里藏着挖矿脚本,伪装成右侧栏的统计代码。
写在最后:运维没有银弹,但有方法论
回头看这七年,从查看服务器用户到玩转香港机房的每一个角落,我最大的感悟是:服务器管理本质上是风险管理。你配置FTP、搭建代理、处理乱码文件,每一个决定都在降低系统失败的几率。2026年的运维环境比几年前好太多——容器化、K8s、可观测性工具(OpenTelemetry)让很多重复劳动自动化了。但基础能力依然重要:该懂的Linux命令一个不能少,该会的手动排查流程不能丢。
如果你也是个半路出家的运维,记住我的话:遇到问题先查log,别瞎猜。所有的答案都在/var/log/里,只是藏得深了点。