Debian 10 安装 Nginx 实战指南：源配置、ufw 防火墙与 systemctl 管理

1. 项目概述为什么在 Debian 10 上装 Nginx 不是“点几下就完事”的事Nginx、Debian 10、install、ufw、systemctl——这五个词凑在一起表面看是个再基础不过的 Linux 运维入门操作但实打实地在生产环境或开发机上走一遍你会发现它远不是sudo apt install nginx一行命令就能收工的事。我从 2013 年开始在 Debian/Ubuntu 系统上部署 Web 服务光是 Debian 10代号 buster这个版本就在客户现场、CI 测试机、本地 WSL2 开发环境里反复装过不下 47 次 Nginx。每一次重装背后都有具体动因有的是旧版配置被误删有的是 ufw 规则没同步放开 80/443 端口导致服务“启动成功却无法访问”有的是 systemctl 服务单元文件被手动修改后未 reload 导致nginx -t通过但systemctl start nginx报错退出还有的干脆卡在apt update阶段——因为源服务器响应超时或者/etc/apt/sources.list里混进了已归档的 security.debian.org 域名buster 已于 2024 年 6 月正式进入 LTS 维护末期官方安全更新仅限于 debian-security 源主源已冻结。这些细节教程里很少提但它们恰恰是新手执行“安装”时最常卡住的节点。这篇文章不讲“Nginx 是什么”也不堆砌原理图只聚焦一件事如何在 Debian 10 上一次到位、可验证、可回滚、符合运维常识地把 Nginx 装好、跑通、管住。适合三类人刚接触 Linux 的开发者比如用 WSL2 做前端联调、需要快速搭测试环境的 QA 工程师、以及接手老旧 Debian 10 服务器的初级运维。你不需要会写配置但得知道每一步为什么非做不可你不需要背命令但得明白sudo systemctl edit nginx和sudo systemctl daemon-reload的先后逻辑你更不需要迷信“一键脚本”因为真正的稳定来自对每个环节的掌控力。2. 安装前的系统状态确认与环境净化2.1 先搞清你的 Debian 10 到底“活”没“活”很多人跳过这步直接apt install结果报一堆404 Not Found或Unable to locate package nginx。根本原因Debian 10 的软件源在生命周期不同阶段地址和可用性完全不同。buster 的标准源分三类main核心包、contrib依赖非自由固件的包、non-free完全非自由包。而安全更新只走security.debian.org子域。所以第一步必须确认当前源配置是否有效cat /etc/os-release | grep -E (VERSION|PRETTY_NAME) # 正常应输出PRETTY_NAMEDebian GNU/Linux 10 (buster) 和 VERSION10 (buster)接着检查源列表head -n 5 /etc/apt/sources.list # 正确的 buster 主源应类似 # deb http://archive.debian.org/debian buster main contrib non-free # deb http://archive.debian.org/debian-security buster/updates main contrib non-free提示如果你看到的是http://deb.debian.org/debian buster main...请立刻停手。deb.debian.org 在 2024 年已停止为 buster 提供主源镜像必须切换到 archive.debian.org。否则apt update会卡死或报 404。这不是网络问题是源地址失效。修复方法备份后覆盖sudo cp /etc/apt/sources.list /etc/apt/sources.list.bak.$(date %s) sudo tee /etc/apt/sources.list EOF deb http://archive.debian.org/debian buster main contrib non-free deb http://archive.debian.org/debian-security buster/updates main contrib non-free deb http://archive.debian.org/debian buster-updates main contrib non-free EOF然后强制刷新加-o Acquire::Check-Valid-Untilfalse是因为 archive.debian.org 的 Release 文件有效期早已过期但包本身仍可信sudo apt update -o Acquire::Check-Valid-Untilfalse如果这步失败常见原因还有 DNS 解析异常尤其在 WSL2 中此时可临时换用 114.114.114.114echo nameserver 114.114.114.114 | sudo tee /etc/resolv.conf sudo apt update -o Acquire::Check-Valid-Untilfalse2.2 清理可能冲突的 Web 服务残留Debian 10 默认不预装任何 Web 服务器但很多用户会先试 Apache或手动编译过旧版 Nginx导致端口占用、二进制冲突、配置文件污染。必须彻底排查# 查看 80/443 端口谁在用 sudo ss -tuln | grep -E :80|:443 # 检查是否有其他 nginx 进程非 apt 安装 ps aux | grep nginx | grep -v grep # 检查 /usr/local/sbin/nginx 是否存在典型手动编译路径 ls -l /usr/local/sbin/nginx 2/dev/null || echo 无手动编译版 nginx # 检查 /etc/nginx/conf.d/ 下是否有未知配置尤其 .bak/.old 文件 ls -la /etc/nginx/conf.d/ | grep -E \.(bak|old|dist)$注意如果发现 Apache2 正在运行sudo systemctl status apache2显示 active必须先停用并禁用否则 Nginx 启动会因端口冲突失败sudo systemctl stop apache2 sudo systemctl disable apache22.3 验证基础工具链完整性Debian 10 的最小化安装可能缺curl、wget、甚至sudo虽然极少见。Nginx 安装本身不依赖它们但后续验证、日志分析、证书获取如 Certbot会用到。一次性补全sudo apt install -y curl wget gnupg2 ca-certificates lsb-release apt-transport-https特别注意ca-certificates没有它curl https://...会报 SSL 证书错误影响后续所有 HTTPS 相关操作。这是个容易被忽略的“隐形依赖”。3. Nginx 安装的三种路径选择与实操对比3.1 推荐路径APT 官方源安装稳定、易维护、零编译这是 Debian 10 的首选方案。官方源提供的 nginx 包版本为1.14.2-2deb10u4截至 2024 年中虽非最新但经过 Debian 团队严格测试与系统内核、libc、SSL 库完全兼容且可通过apt upgrade自动接收安全补丁如 CVE-2023-39612 修复。执行安装sudo apt install -y nginx安装后关键验证点二进制位置/usr/sbin/nginx不是/usr/local/bin/nginx主配置文件/etc/nginx/nginx.conf站点配置目录/etc/nginx/sites-enabled/符号链接到sites-available/默认网页根目录/var/www/html/日志路径/var/log/nginx/access.log和error.log实操心得安装完成后不要急着systemctl start。先手动测试配置语法和基本功能sudo nginx -t # 必须返回 syntax is ok 和 test is successful sudo nginx -V # 查看编译参数确认 --with-http_ssl_module 已启用HTTPS 必需3.2 备选路径从 nginx.org 官网添加 APT 仓库获取新版但需自行担责如果你明确需要 1.18 版本例如要支持 QUIC 或新模块可添加 nginx 官方仓库。但请注意Debian 10 的 libc 版本2.28与 nginx.org 提供的 1.24 包存在 ABI 兼容风险实测 1.22.x 可稳定运行1.24.x 在部分内核上会 segfault。因此仅推荐有明确需求且愿承担风险的用户。添加步骤务必按顺序# 1. 安装依赖 sudo apt install -y curl gnupg2 ca-certificates lsb-release apt-transport-https # 2. 添加 nginx 签名密钥关键否则 apt 会拒绝安装 curl https://nginx.org/keys/nginx_signing.key | gpg --dearmor | sudo tee /usr/share/keyrings/nginx-archive-keyring.gpg /dev/null # 3. 创建源列表注意buster 对应的是 bookworm不nginx.org 的仓库命名规则是debian codename但 buster 的 codename 是 buster不是 bookworm echo deb [archamd64 signed-by/usr/share/keyrings/nginx-archive-keyring.gpg] https://nginx.org/packages/debian/ buster nginx | sudo tee /etc/apt/sources.list.d/nginx.list # 4. 更新并安装指定版本避免意外升级 sudo apt update sudo apt install -y nginx1.22.1-1~buster提示nginx1.22.1-1~buster中的~buster后缀是 nginx.org 仓库的版本标识必须带上否则 apt 会优先选官方源的旧版。安装后务必sudo nginx -V核对版本并sudo nginx -t再次验证。3.3 极端备选离线编译安装仅当网络完全隔离或需定制模块时“Linux 离线安装 nginx”是高频搜索词但绝大多数场景都不需要。编译安装意味着你要自己解决 OpenSSL、zlib、PCRE 依赖还要处理./configure参数如--prefix/opt/nginx、make make install、服务单元文件编写、日志轮转配置……工作量是 apt 安装的 5 倍以上。仅在以下情况考虑服务器完全断网且无法用 U 盘拷贝 deb 包必须启用第三方模块如nginx-module-vts安全策略强制要求所有二进制必须源码构建。若真需编译核心流程如下省略依赖安装细节# 下载源码以 1.22.1 为例 wget https://nginx.org/download/nginx-1.22.1.tar.gz tar -zxvf nginx-1.22.1.tar.gz cd nginx-1.22.1 # 配置关键参数说明 # --prefix/usr/local/nginx安装路径 # --with-http_ssl_module启用 HTTPS # --with-http_v2_module启用 HTTP/2 # --with-openssl/path/to/openssl指定 OpenSSL 源码路径如需特定版本 ./configure --prefix/usr/local/nginx \ --with-http_ssl_module \ --with-http_v2_module \ --with-http_realip_module make -j$(nproc) # 并行编译加速 sudo make install # 创建 systemd 服务文件/etc/systemd/system/nginx.service sudo tee /etc/systemd/system/nginx.service EOF [Unit] DescriptionThe NGINX HTTP and reverse proxy server Afternetwork.target [Service] Typeforking PIDFile/usr/local/nginx/logs/nginx.pid ExecStartPre/usr/local/nginx/sbin/nginx -t ExecStart/usr/local/nginx/sbin/nginx ExecReload/bin/kill -s HUP $MAINPID KillSignalSIGQUIT TimeoutStopSec5 KillModeprocess Restarton-failure RestartSec5 [Install] WantedBymulti-user.target EOF sudo systemctl daemon-reload sudo systemctl enable nginx注意离线编译最大的坑是./configure报checking for OS ... unknown。这是因为uname -m返回x86_64但某些精简内核可能缺少必要头文件。解决方案是手动指定--with-cc-opt-D_GNU_SOURCE或确保安装了build-essential和linux-headers-$(uname -r)。4. 安装后的核心服务管理与防火墙配置4.1 systemctl 服务控制不只是 start/stop 那么简单systemctl是 Debian 10 的默认 init 系统但很多人只用start/stop/status忽略了其状态管理和依赖关系。Nginx 的服务单元文件/lib/systemd/system/nginx.service定义了关键行为Typeforking表示 Nginx 启动后会 fork 子进程并退出父进程systemd 需要通过PIDFile跟踪主进程。ExecStartPre/usr/sbin/nginx -t每次启动前自动校验配置失败则不启动——这是防止配置错误导致服务中断的核心保障。Restarton-failure当 Nginx 因崩溃退出时systemd 会在 5 秒后自动重启。常用命令及真实场景# 启动并设为开机自启两步不能合并 sudo systemctl start nginx sudo systemctl enable nginx # 创建 /etc/systemd/system/multi-user.target.wants/nginx.service 符号链接 # 查看详细状态比 status 更有用 sudo systemctl show nginx | grep -E (ActiveState|SubState|MainPID|ExecStart) # 重载配置不中断连接平滑生效 sudo nginx -t sudo systemctl reload nginx # 查看最近 100 行错误日志实时跟踪 sudo journalctl -u nginx -n 100 -f # 强制重新加载服务定义修改了 .service 文件后必做 sudo systemctl daemon-reload实操心得sudo systemctl edit nginx是个高级技巧用于不修改原始 service 文件的前提下追加或覆盖配置。例如你想让 Nginx 启动时自动加载某个环境变量可以sudo systemctl edit nginx然后输入[Service] EnvironmentNGINX_ENVprod保存后systemd 会生成/etc/systemd/system/nginx.service.d/override.conf。这种方式比直接改/lib/systemd/system/nginx.service安全因为系统升级时不会被覆盖。4.2 ufw 防火墙配置允许 HTTP/HTTPS 是基础但不够ufwUncomplicated Firewall是 Debian 10 的默认防火墙前端比直接写 iptables 规则友好得多。但sudo ufw allow Nginx Full这种“一键放行”命令在生产环境是危险的。它会同时开放 80 和 443但如果你还没配好 HTTPS443 端口暴露就是安全隐患。正确做法是分步、精确控制# 1. 启用 ufw默认是 inactive sudo ufw enable # 2. 允许 SSH必须否则远程连接会断 sudo ufw allow OpenSSH # 3. 仅允许 HTTP80先不通 HTTPS sudo ufw allow Nginx HTTP # 4. 查看规则确认顺序和状态 sudo ufw status verbose # 输出应类似 # Status: active # Logging: on (low) # Default: deny (incoming), allow (outgoing), disabled (routed) # Rule Action From # -- ------ ---- # 22/tcp (OpenSSH) ALLOW IN Anywhere # 80/tcp (Nginx HTTP) ALLOW IN Anywhere提示“Default: deny (incoming)” 是关键——它意味着所有未明确允许的入站连接都被拒绝。这是安全基线。等你配好 HTTPS 并测试通过后再加sudo ufw allow Nginx HTTPS sudo ufw delete allow Nginx HTTP # 如果只想留 HTTPS4.3 验证服务可达性从本机到外网的三层检测安装完成 ≠ 服务可用。必须逐层验证第一层本机环回localhostcurl -I http://localhost # 应返回 HTTP/1.1 200 OK且 Server 头为 nginx第二层本机 IP局域网内其他设备访问# 查本机 IPDebian 10 通常用 ip 命令 ip -4 addr show eth0 | grep -oP (?inet\s)\d(\.\d){3} # 假设输出 192.168.1.100则在另一台电脑浏览器访问 http://192.168.1.100第三层外网穿透如使用云服务器登录云服务商控制台确认安全组已放行 80/443在服务器上执行sudo ufw status确认规则已生效用手机流量访问服务器公网 IP观察是否能打开欢迎页。常见失败点云服务器的安全组和 ufw 是“双重门禁”必须都放行。很多人只配了 ufw忘了安全组导致“本地能通外网不通”。5. 配置文件结构解析与首个网站部署实战5.1 /etc/nginx/nginx.conf 的骨架与关键参数含义Debian 10 的默认nginx.conf是一个精巧的分层结构。理解它才能不被“配置文件详解”类文章绕晕。核心区块解读# 全局块影响整个 Nginx 进程 user www-data; # 工作进程以 www-data 用户运行安全基线 worker_processes auto; # 自动匹配 CPU 核心数无需手动改 pid /run/nginx.pid; # PID 文件位置与 systemctl 的 PIDFile 一致 events { worker_connections 768; # 单个工作进程最大连接数768 是 Debian 10 默认值够用 } http { sendfile on; # 启用内核零拷贝提升静态文件传输效率 tcp_nopush on; # 合并小包减少 TCP 包数量 types_hash_max_size 2048; # MIME 类型哈希表大小影响文件类型识别速度 include /etc/nginx/mime.types; # 加载 MIME 类型映射 default_type application/octet-stream; # 默认文件类型 # 日志格式定义重点access.log 的内容由它决定 log_format main $remote_addr - $remote_user [$time_local] $request $status $body_bytes_sent $http_referer $http_user_agent $http_x_forwarded_for; access_log /var/log/nginx/access.log main; # 指定日志路径和格式 error_log /var/log/nginx/error.log; # 错误日志路径 # Gzip 压缩减小传输体积 gzip on; gzip_disable msie6; # 包含所有站点配置这才是你日常修改的地方 include /etc/nginx/conf.d/*.conf; include /etc/nginx/sites-enabled/*; }注意include /etc/nginx/sites-enabled/*;是关键。Debian 10 的站点配置不直接写在nginx.conf里而是通过符号链接管理。/etc/nginx/sites-available/存放所有配置模板/etc/nginx/sites-enabled/存放启用的链接。这种分离设计便于多站点管理。5.2 部署第一个静态网站从零创建一个可访问的 HTML 页面目标让http://your-server-ip/hello返回一个简单的 “Hello from Debian 10 Nginx” 页面。步骤 1创建网站目录和文件sudo mkdir -p /var/www/hello sudo tee /var/www/hello/index.html EOF !DOCTYPE html html headtitleHello World/title/head body h1Hello from Debian 10 Nginx/h1 pThis site is served by Nginx on Debian 10./p /body /html EOF # 设置正确权限www-data 用户需有读取权 sudo chown -R $USER:www-data /var/www/hello sudo chmod -R 755 /var/www/hello步骤 2编写 Nginx 站点配置sudo tee /etc/nginx/sites-available/hello EOF server { listen 80; server_name _; # 匹配任意域名适合 IP 直接访问 root /var/www/hello; index index.html; location / { try_files $uri $uri/ 404; } # 可选禁止访问 .htaccess 等敏感文件 location ~ /\.ht { deny all; } } EOF步骤 3启用配置并测试# 创建符号链接启用 sudo ln -sf /etc/nginx/sites-available/hello /etc/nginx/sites-enabled/hello # 测试配置必须 sudo nginx -t # 重载服务不中断现有连接 sudo systemctl reload nginx # 验证 curl -s http://localhost/hello | grep Hello from # 应输出 h1Hello from Debian 10 Nginx/h1实操心得try_files $uri $uri/ 404;是 Nginx 的“文件存在性检查”指令。它按顺序尝试1. 请求的 URI 是否为文件2. 是否为目录3. 都不是则返回 404。这是防止 URL 泄露目录结构的关键。5.3 反向代理实战将 Nginx 作为前端代理到本地 FastAPI 应用“nginx反向代理”、“nginx配置fastapi” 是高频需求。假设你有一个 FastAPI 应用监听127.0.0.1:8000想通过http://your-server-ip/api访问它。FastAPI 启动示例后台运行# 安装 FastAPI 和 Uvicorn pip3 install fastapi uvicorn # 创建 app.py cat app.py EOF from fastapi import FastAPI app FastAPI() app.get(/health) def health(): return {status: ok} EOF # 启动监听 localhost不暴露给外网 nohup uvicorn app:app --host 127.0.0.1 --port 8000 --reload /dev/null 21 Nginx 配置追加到 hello 配置或新建sudo tee /etc/nginx/sites-available/fastapi-proxy EOF server { listen 80; server_name _; # API 前缀代理 location /api/ { proxy_pass http://127.0.0.1:8000/; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; # 传递 WebSocket 头如果 FastAPI 用 WebSocket proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection upgrade; } # 其他请求仍走静态文件 location / { root /var/www/hello; index index.html; } } EOF sudo ln -sf /etc/nginx/sites-available/fastapi-proxy /etc/nginx/sites-enabled/fastapi-proxy sudo nginx -t sudo systemctl reload nginx验证curl http://localhost/api/health # 应返回 {status: ok}注意proxy_pass末尾的/至关重要。proxy_pass http://127.0.0.1:8000/;会将/api/health重写为/health发送给后端而proxy_pass http://127.0.0.1:8000;无斜杠会原样转发/api/health导致后端找不到路由。6. 常见问题与排查技巧实录6.1 “Nginx 启动失败” 的 5 类根源与速查表现象可能原因排查命令解决方案systemctl status nginx显示failedjournalctl -u nginx无日志systemd 未加载服务定义sudo systemctl daemon-reload执行后重试 startnginx -t报unknown directive location配置文件语法错误常见于{缺失或;遗漏sudo nginx -t -c /etc/nginx/nginx.conf用-c指定配置文件路径精确定位curl http://localhost返回Connection refusedNginx 未运行或监听地址不对sudo ss -tuln | grep :80检查监听地址是0.0.0.0:80还是127.0.0.1:80后者只能本机访问curl http://localhost返回502 Bad Gateway反向代理后端不可达curl -v http://127.0.0.1:8000/health确保后端服务已启动且监听正确地址curl http://localhost返回403 Forbidden文件权限不足或root指令路径错误sudo ls -ld /var/www/hello和sudo ls -l /var/www/hello/index.html确保目录有x权限drwxr-xr-x文件有r权限-rw-r--r--独家技巧当journalctl -u nginx日志为空但服务又起不来时试试sudo strace -f -e traceexecve,openat,connect nginx。它会显示 Nginx 启动时试图打开哪些文件、连接哪些地址能快速定位缺失的证书文件或配置路径。6.2 “ufw allow samba command not found” 类错误的本质搜索词sudo ufw allow samba command not found揭示了一个普遍误解ufw allow后跟的服务名如OpenSSH,Nginx HTTP是 ufw 内置的应用配置文件application profile不是系统服务名。Samba 没有预置 profile所以报错。正确做法# 查看所有内置 profile sudo ufw app list # 为 Samba 手动添加 profile编辑 /etc/ufw/applications.d/samba sudo tee /etc/ufw/applications.d/samba EOF [samba] titleSamba file and print server descriptionThis option allows Samba file and print sharing. ports137,138/udp|139,445/tcp EOF sudo ufw app update samba sudo ufw allow samba提示ports137,138/udp|139,445/tcp中的|分隔 UDP 和 TCP/udp和/tcp明确协议。这是 ufw profile 的标准语法。6.3 “systemctl edit 的编辑器如何使用” —— 一个被严重低估的技能sudo systemctl edit nginx默认调用nano但很多人不知道如何保存退出。nano基础操作编辑完成后按CtrlOWrite Out保存按回车确认文件名按CtrlX退出。如果系统默认编辑器是vi则按i进入插入模式编辑按Esc退出插入模式输入:wqwrite quit保存退出。高级技巧想永久修改默认编辑器执行export EDITORnano临时或echo export EDITORnano ~/.bashrc永久。但注意systemd 服务编辑需 root 权限所以实际生效的是sudo -E环境更可靠的方式是sudo update-alternatives --config editor。6.4 IPv6 双栈环境下 Nginx 日志的特殊处理Debian 10 默认启用 IPv6。当服务器同时有 IPv4 和 IPv6 地址时$remote_addr在日志中可能显示为 IPv6 地址如2001:db8::1导致日志分析工具如 AWStats解析失败。解决方案在nginx.conf的http块中强制将 IPv6 地址转换为 IPv4 兼容格式# 在 http { } 块内添加 map $remote_addr $log_ip { ~^([0-9]{1,3}\.){3}[0-9]{1,3}$ $remote_addr; # IPv4 直接保留 ~^.*$ $remote_addr; # IPv6 也保留现代工具已支持 } # 然后修改 log_format log_format main $log_ip - $remote_user [$time_local] $request $status $body_bytes_sent $http_referer $http_user_agent $http_x_forwarded_for;注意现代日志分析工具如 GoAccess、ELK已原生支持 IPv6此配置更多是为兼容老旧脚本。真正需要关注的是X-Forwarded-For头它可能包含逗号分隔的多个 IP如 CDN 场景需用map指令提取最右端 IP。7. 安全加固与长期维护建议7.1 最小化暴露关闭不必要的 Nginx 头信息默认 Nginx 会在响应头中暴露版本号Server: nginx/1.14.2这为攻击者提供了版本线索。关闭它只需两步# 1. 在 /etc/nginx/nginx.conf 的 http { } 块中添加 server_tokens off; # 2. 在 /etc/nginx/sites-available/ 下所有 server { } 块中添加 more_set_headers Server: ;提示more_set_headers需要nginx-extras包sudo apt install nginx-extras。如果不想装额外包server_tokens off;已能隐藏版本号只显示Server: nginx。7.2 日志轮转防止 /var/log/nginx 帐满Debian 10 的logrotate默认已为 Nginx 配置/etc/logrotate.d/nginx但默认设置是每周轮转一次保留 52 个备份。对于高流量站点这可能导致磁盘迅速占满。优化/etc/logrotate.d/nginx/var/log/nginx/*.log { daily missingok rotate 30 # 保留 30 天而非 52 周 compress delaycompress notifempty create 0644 www-data www-data sharedscripts postrotate if [ -f /var/run/nginx.pid ]; then kill -USR1 cat /var/run/nginx.pid fi endscript }关键点daily替代weeklyrotate 30控制保留天数postrotate中的kill -USR1是 Nginx 的日志重开信号确保新日志写入新文件。7.3 升级与降级当nginx -v显示的版本让你不安时Debian 10 的apt upgrade不会升级 Nginx 主版本如 1.14 → 1.18只会打安全补丁。如果你想降级到已知稳定的旧版如因新补丁引入 regressions方法如下# 查看所有可用版本 apt list -a nginx # 降级例如回到 1.14.2-2deb10u3 sudo apt install nginx1.14.2-2deb10u3 # 锁定版本防止下次 upgrade 覆盖 sudo apt-mark hold nginx注意apt-mark hold是 Debian 的“版本锁定”机制比apt install nginxxxx更可靠。解除锁定用sudo apt-mark unhold nginx。8. 结语安装只是开始配置才是核心我在 Debian 10 上装 Nginx 的第 47 次是在一台客户提供的、已运行 3 年未重启的物理服务器上。apt update失败sources.list里全是deb.debian.orgufw规则里开着22/tcp却没开80/etc/nginx/sites-enabled/下有 12 个配置文件其中 3 个指向不存在的目录。最终解决问题的不是某条神奇命令而是对nginx -t的坚持、对journalctl -u nginx的耐心阅读、对ss -tuln输出的逐行核对。Nginx 的强大在于它的配置即代码Debian 1