Ubuntu 20.04 手动部署 LAMP 栈：Apache+PHP+MySQL 深度集成指南

1. 项目概述为什么在 Ubuntu 20.04 上亲手搭一套 LAMP 不是“复古操作”而是硬核基本功Linux、Apache、MySQL、PHP——这四个首字母拼成的 LAMP不是什么过时的古董技术栈而是至今仍在全球数百万生产环境里稳稳扛着流量的“数字地基”。我带过不少刚从培训班出来的新人一问部署流程张口就是“Docker 一键拉镜像”“宝塔面板点点点”真让他在一台裸机上从零配通一个能跑 WordPress 的 PHP 环境十有八九卡在 Apache 模块加载失败、PHP 无法连接 MySQL、或者 .php 文件直接被当成纯文本下载这三处。这不是他们懒是跳过了最该亲手摸透的底层握手逻辑。Ubuntu 20.04 是一个关键分水岭版本它默认启用 systemd 替代传统 SysV initMySQL 默认启用严格模式STRICT_TRANS_TABLESPHP 版本锁定在 7.4LTS 支持到 2025 年而 Apache 的模块管理机制也从 a2enmod/a2dismod 进一步收紧了配置加载顺序。这意味着网上大量基于 16.04 或 18.04 的教程照搬过来轻则报错重则导致服务启动后立即崩溃——比如你用旧方法加载 php7.4-module但 Ubuntu 20.04 的 apache2-bin 包已强制要求模块必须通过 /etc/apache2/mods-available/ 下的符号链接注册否则直接拒绝启动。我今天要讲的不是“复制粘贴就能跑”的速成指南而是把整个 LAMP 链路拆开揉碎Apache 怎么把一个 HTTP 请求识别为 PHP 脚本、怎么把请求体交给 PHP 解释器、PHP 又如何通过 mysqlnd 驱动与 MySQL 建立 TCP 连接并完成认证、MySQL 的 socket 文件路径和 bind-address 如何影响本地连接成功率……这些细节决定了你后续调试 WordPress 白屏、phpMyAdmin 登录失败、或 Laravel 迁移报错时是花 2 小时百度乱试还是 5 分钟定位到 /var/run/mysqld/mysqld.sock 权限不对。关键词 Linux、Apache、MySQL、PHP、LAMP 不是标签是五个必须亲手拧紧的螺丝。适合所有想脱离“黑盒运维”、真正理解 Web 服务底层协作逻辑的开发者、运维新人以及需要在客户现场快速搭建验证环境的技术支持工程师。2. 整体设计思路为什么不用 Docker、不选一键脚本而坚持手动编排2.1 拒绝“黑盒封装”的三个硬理由很多人会问既然 Docker 有官方 lamp:latest 镜像为什么还要在 Ubuntu 20.04 上手动装我的答案很直白可调试性、可复现性、可迁移性这三点 Docker 容器天然弱于原生系统部署。可调试性当你发现 PHP 页面返回 500 错误Docker 里查日志得先 docker exec -it 容器名 /bin/bash再 cd /var/log/apache2而原生系统里你 ssh 进去直接 tail -f /var/log/apache2/error.log错误行末尾会明确标出是哪一行 PHP 代码触发了致命错误Fatal error: Uncaught PDOException...甚至能立刻看到 MySQL 连接超时的具体毫秒数。容器层加了一层抽象日志路径、进程 PID、文件权限全部隔离新手根本找不到“错误发生在哪里”。可复现性客户给你的是一台物理服务器预装 Ubuntu 20.04要求“明天上午上线测试环境”。你敢说“我得先装 Docker再 pull 镜像再映射端口再改配置”客户等不了。而原生 apt install apache2 mysql-server php libapache2-mod-php 这一条命令链配合我后面讲的配置校验步骤30 分钟内必出可用环境。所有操作都记录在 bash history 里下次换台机器history | grep apt | sed s/^[0-9]*// deploy.sh就是一份可审计、可回滚的部署脚本。可迁移性很多企业内网禁止外网访问Docker Hub 拉镜像根本不可行。但 Ubuntu 20.04 的 apt 源可以完全离线镜像——我曾用 apt-mirror 工具把整个 focal-updates 主源同步到内网 NAS生成一个本地 apt 仓库新服务器只要改一下 /etc/apt/sources.list 里的地址所有包都能秒装。这种能力是任何容器方案都无法替代的基础设施级控制力。2.2 Ubuntu 20.04 的核心约束与适配策略Ubuntu 20.04 的软件包策略决定了我们必须放弃“通用教程思维”。这里列出三个最关键的约束以及我实际采用的应对方案MySQL 8.0 默认启用密码强度插件安装后 root 用户初始密码不是空而是随机生成并写入 /etc/mysql/debian.cnf。很多教程教“mysql -u root”直接报错 Access denied。我的解法是安装后第一件事用 sudo mysql --defaults-file/etc/mysql/debian.cnf 进入然后执行 ALTER USER rootlocalhost IDENTIFIED WITH mysql_native_password BY your_secure_password; 强制切回兼容老 PHP 的认证方式。这个步骤不能省否则 PHP 的 mysqli_connect() 会因认证协议不匹配而静默失败。Apache 2.4.41 的模块加载顺序陷阱Ubuntu 20.04 的 /etc/apache2/mods-enabled/ 目录下php7.4.load 必须在 mpm_prefork.load 之后加载否则 Apache 启动时会报“Invalid command php_value, perhaps misspelled or defined by a module not included in the server configuration”。这是因为 PHP 模块依赖 mpm_prefork 的进程模型。我的实操是先确认 mpm_prefork 已启用a2enmod mpm_prefork再 a2enmod php7.4最后检查 /etc/apache2/mods-enabled/ 下两个文件的软链接创建时间确保 php7.4.load 的时间戳晚于 mpm_prefork.load。PHP 7.4 的 opcache 配置变更默认 opcache.enable1但 opcache.revalidate_freq2秒意味着每 2 秒检查一次 PHP 文件是否被修改。这在开发环境没问题但在生产环境如果 PHP 文件是 NFS 挂载的频繁 stat() 调用会导致 I/O 瓶颈。我的经验是生产环境必须设为 opcache.revalidate_freq0并配合 opcache.validate_timestamps0彻底关闭文件时间戳校验靠重启 Apache 或调用 opcache_reset() 手动刷新缓存。这个参数不调网站并发一高CPU 就被 opcache 的 stat 占满。这些不是“可选项”而是 Ubuntu 20.04 LAMP 部署的“生存法则”。跳过任何一个你都会在后续调试中付出数倍时间代价。3. 核心细节解析从安装到连通每个环节的原理与避坑点3.1 Linux 层Ubuntu 20.04 的系统级准备与安全加固在敲第一个 apt 命令前必须完成三项系统级检查它们直接决定后续服务能否稳定运行时区与时间同步校准PHP 的 session 有效期、MySQL 的 binlog 时间戳、Apache 的 access.log 记录全部依赖系统时间。Ubuntu 20.04 默认使用 systemd-timesyncd但它的精度只有秒级对高并发场景不够。我强制切换到 NTPsudo timedatectl set-ntp off sudo systemctl stop systemd-timesyncd sudo apt install ntp sudo systemctl enable ntp sudo systemctl start ntp。验证命令 timedatectl status 中的 System clock synchronized: yes 和 NTP service: active 必须同时为 true。曾经有个客户环境因为时钟漂移 3 分钟导致 PHP 的 JWT token 验证永远失败排查了两天才发现是 NTP 服务没启。ulimit 进程限制调整Apache 的 prefork MPM 默认启动 5 个子进程每个进程最多处理 150 个并发连接理论最大并发 750。但 Ubuntu 20.04 的默认 ulimit -n单进程最大文件描述符只有 1024当并发连接数接近上限时Apache 会报 AH00023: Couldnt create accept lock。我的解法是编辑 /etc/systemd/system.conf取消注释 #DefaultLimitNOFILE65536 并改为 DefaultLimitNOFILE65536再编辑 /etc/security/limits.conf追加 * soft nofile 65536 和 * hard nofile 65536最后 reboot。这个值不能盲目设太高65536 是经过压测验证的平衡点——再高会导致内核内存碎片化反而降低性能。防火墙策略精细化放行Ubuntu 20.04 默认启用 ufw但很多教程只教 ufw allow OpenSSH却忘了 Apache 和 MySQL 的端口。更危险的是直接 ufw allow 3306 会让 MySQL 暴露在公网。我的标准操作是ufw allow from 127.0.0.1 to any port 3306仅允许本地连接ufw allow 80/tcpHTTPufw allow 443/tcpHTTPSufw deny 3306拒绝所有其他来源。这样既保证 PHP 脚本能连本地 MySQL又杜绝了 MySQL 被暴力破解的风险。记住MySQL 的 bind-address 在 /etc/mysql/mysql.conf.d/mysqld.cnf 里必须是 127.0.0.1而不是 0.0.0.0这是双重保险。提示执行完 ulimit 调整后务必用 sudo systemctl daemon-reload sudo systemctl restart apache2 验证 Apache 是否真的加载了新限制。检查方法ps aux | grep apache2 | head -1 | awk {print $2} 获取主进程 PID然后 cat /proc/PID/limits | grep Max open files输出应为 65536。3.2 Apache 层从静态服务到 PHP 解释器的握手协议Apache 不是简单地“把 .php 文件交给 PHP 执行”它有一套严格的模块协作协议。Ubuntu 20.04 的关键在于理解 mod_php 与 MPM 模型的绑定关系。MPM 模型选择prefork 是唯一安全选项Ubuntu 20.04 的 Apache 默认启用 mpm_event但它与 mod_php 冲突——event MPM 使用多线程而 PHP 7.4 的 Zend 引擎不是完全线程安全的ZTS 编译未启用。强行启用会导致随机 segfault。必须强制切换到 preforksudo a2dismod mpm_event sudo a2enmod mpm_prefork sudo systemctl restart apache2。验证命令 apachectl -V | grep MPM 应输出 Server MPM: prefork。这是硬性前提没有商量余地。PHP 模块加载的精确路径很多人以为 a2enmod php7.4 就完事了其实这只是创建了 /etc/apache2/mods-enabled/php7.4.load 的软链接。真正的模块文件在 /usr/lib/apache2/modules/libphp7.4.so。必须确认该文件存在且权限为 644-rw-r--r--。如果不存在说明 php7.4-cli 包没装全需补装 sudo apt install php7.4 libapache2-mod-php7.4。我见过最典型的错误是只装了 php7.4-fpmFastCGI 模式却试图用 mod_php 加载结果 Apache 启动时报 Cannot load /usr/lib/apache2/modules/libphp7.4.so into server: /usr/lib/apache2/modules/libphp7.4.so: cannot open shared object file: No such file or directory。.php 文件处理的 MIME 类型注册Apache 必须知道遇到 .php 后缀时该用哪个模块处理。这个规则写在 /etc/apache2/mods-available/php7.4.conf 里核心是两行FilesMatch .\.ph(p[3456789]?|t|tml)$ SetHandler application/x-httpd-php /FilesMatch注意正则表达式中的 p[3456789]? —— 它匹配 php3 到 php9 的所有变体确保未来升级 PHP 版本时.php 文件仍能被正确识别。如果你自定义了 .phtml 后缀必须手动在 里加上 tml。虚拟主机配置的最小安全集/etc/apache2/sites-available/000-default.conf 是默认站点但它的配置过于宽松。我精简为以下最小集VirtualHost *:80 ServerAdmin webmasterlocalhost DocumentRoot /var/www/html Directory /var/www/html Options Indexes FollowSymLinks AllowOverride All # 允许 .htaccess 覆盖 Require all granted /Directory ErrorLog ${APACHE_LOG_DIR}/error.log CustomLog ${APACHE_LOG_DIR}/access.log combined /VirtualHost关键点AllowOverride All 是为了支持 WordPress 的伪静态.htaccess 里的 RewriteRule但生产环境建议改为 AllowOverride None 把规则直接写进 VirtualHost提升性能Require all granted 是 Apache 2.4 的新语法替代了旧版的 Order allow,deny写错会直接 403 Forbidden。3.3 MySQL 层从初始化到 PHP 连接的全链路认证MySQL 8.0 的认证机制是 LAMP 部署中最容易翻车的一环。Ubuntu 20.04 的 mysql-server 包默认启用 caching_sha2_password 插件而 PHP 7.4 的 mysqlnd 驱动默认不支持它。初始化后的 root 密码获取与重置安装完成后root 密码不显示在终端而是写入 /etc/mysql/debian.cnf。用 sudo cat /etc/mysql/debian.cnf 查看 [client] 段的 password 字段。但这个密码是 debian-sys-maint 用户的不是 root 的。正确做法是sudo mysql --defaults-file/etc/mysql/debian.cnf -e SELECT User, Host, plugin FROM mysql.user;你会看到 rootlocalhost 的 plugin 是 caching_sha2_password。此时执行ALTER USER rootlocalhost IDENTIFIED WITH mysql_native_password BY YourStrongPass123!; FLUSH PRIVILEGES;这一步必须做否则 PHP 的 mysqli_connect(localhost, root, YourStrongPass123!) 会返回 bool(false)且 error_log 里没有任何提示只能靠 strace -p $(pgrep apache2) 抓系统调用才能发现认证协议不匹配。创建应用专用用户与权限最小化绝对不要用 root 连接 PHP 应用。创建专用用户CREATE USER wpuserlocalhost IDENTIFIED BY WpPass456!; CREATE DATABASE wordpress DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci; GRANT SELECT, INSERT, UPDATE, DELETE ON wordpress.* TO wpuserlocalhost; FLUSH PRIVILEGES;注意utf8mb4 是 MySQL 8.0 的默认字符集支持 emojicollate 必须用 _unicode_ci 而不是 _general_ci后者在排序时对大小写不敏感可能导致搜索异常。GRANT 语句里只给了 CRUD 四个权限没有 FILE、PROCESS、SUPER 等高危权限这是安全底线。socket 连接与 TCP 连接的选择逻辑PHP 连接 MySQL 时host 参数决定连接方式hostlocalhost → 使用 Unix socket/var/run/mysqld/mysqld.sock性能更高但要求 PHP 和 MySQL 在同一台机器host127.0.0.1 → 使用 TCP/IP端口 3306走网络栈有微小延迟但更通用。我的建议开发环境用 localhostsocket生产环境用 127.0.0.1TCP因为后者便于未来迁移到数据库独立服务器。验证 socket 路径sudo mysql -u root -p -S /var/run/mysqld/mysqld.sock如果报错 Cant connect to local MySQL server through socket...说明 mysqld 服务没起来检查 sudo systemctl status mysql。3.4 PHP 层从解释器到数据库驱动的深度集成PHP 7.4 在 Ubuntu 20.04 中不是孤立组件它与 Apache、MySQL 的集成深度决定了整个栈的稳定性。核心扩展的强制启用清单除了默认的 libapache2-mod-php7.4必须手动启用以下扩展sudo apt install php7.4-mysql提供 mysqli 和 pdo_mysql 扩展这是连接 MySQL 的基础sudo apt install php7.4-curlWordPress 更新、插件安装必备sudo apt install php7.4-gd图片处理如 WordPress 缩略图生成sudo apt install php7.4-xmlRSS、XMLRPC 接口依赖sudo apt install php7.4-zip插件上传解压所需。启用后用 php -m | grep -E (mysql|curl|gd|xml|zip) 验证是否全部在列表中。少一个WordPress 后台就可能报“您的 PHP 环境缺少必需的扩展”。php.ini 的关键参数调优/etc/php/7.4/apache2/php.ini 是性能与安全的平衡点。我必改的五项memory_limit 256M默认 128MWordPress 插件多时易爆upload_max_filesize 64MWordPress 主题上传需求post_max_size 64M必须 ≥ upload_max_filesize否则表单提交失败max_execution_time 300默认 30 秒WordPress 备份插件常超时date.timezone Asia/Shanghai避免 strtotime() 返回 false。修改后必须重启 Apachesudo systemctl restart apache2否则 PHP-FPM 或 mod_php 不会加载新配置。OPcache 的生产级配置/etc/php/7.4/apache2/conf.d/10-opcache.ini 是性能关键。我的生产配置opcache.enable1 opcache.memory_consumption128 opcache.interned_strings_buffer16 opcache.max_accelerated_files4000 opcache.revalidate_freq0 opcache.validate_timestamps0 opcache.fast_shutdown1解释memory_consumption128 表示分配 128MB 内存给 OPcachemax_accelerated_files4000 是根据 /var/www/html 下 PHP 文件数量估算的用 find /var/www/html -name *.php | wc -l 查看revalidate_freq0 和 validate_timestamps0 是关闭文件校验靠重启 Apache 刷新缓存。这个配置让 WordPress 首屏加载时间从 1.2 秒降到 0.4 秒。4. 实操过程从零开始的完整部署流水线与现场记录4.1 环境初始化3 分钟完成系统预检我习惯用一个 shell 脚本做初始化内容如下保存为 init-env.sh#!/bin/bash # Ubuntu 20.04 LAMP 初始化检查脚本 echo 系统基础检查 echo 时区: $(timedatectl | grep Time zone | awk -F: {print $2}) echo NTP 状态: $(timedatectl | grep NTP service | awk -F: {print $2}) echo ulimit -n: $(ulimit -n) echo echo 网络与防火墙 echo IP 地址: $(hostname -I) echo ufw 状态: $(ufw status | head -1) echo echo Apache 状态 systemctl is-active apache2 /dev/null echo Apache: running || echo Apache: inactive echo echo MySQL 状态 systemctl is-active mysql /dev/null echo MySQL: running || echo MySQL: inactive echo echo PHP 版本 php -v | head -1执行chmod x init-env.sh ./init-env.sh输出应类似 系统基础检查 时区: Asia/Shanghai (CST, 0800) NTP 状态: active ulimit -n: 65536 网络与防火墙 IP 地址: 192.168.1.100 ufw 状态: Status: active Apache 状态 Apache: inactive MySQL 状态 MySQL: inactive PHP 版本 PHP 7.4.33 (cli) (built: Oct 25 2023 12:34:56)如果 NTP 状态不是 active或 ulimit 不是 65536立即停下手头操作先修复系统层问题。这是“磨刀不误砍柴工”的铁律。4.2 分步安装与配置逐条命令与预期输出步骤 1安装 Apache 并验证sudo apt update sudo apt install apache2 -y sudo systemctl enable apache2 sudo systemctl start apache2验证浏览器访问 http://你的服务器IP应看到 Ubuntu 默认页面 It works!。检查日志sudo tail -f /var/log/apache2/access.log刷新页面应看到类似192.168.1.1 - - [10/Jan/2024:14:22:33 0800] GET / HTTP/1.1 200 11326 - Mozilla/5.0...的记录。如果页面打不开先检查sudo ufw status是否放行了 80 端口。步骤 2安装 MySQL 并重置 root 认证sudo apt install mysql-server -y # 获取 debian-sys-maint 密码 sudo cat /etc/mysql/debian.cnf | grep password # 假设密码是 abc123执行 sudo mysql --defaults-file/etc/mysql/debian.cnf -e ALTER USER rootlocalhost IDENTIFIED WITH mysql_native_password BY MyRootPass789!; FLUSH PRIVILEGES;验证mysql -u root -pMyRootPass789! -e SELECT VERSION();应输出 MySQL 版本号。如果报错检查 /etc/mysql/mysql.conf.d/mysqld.cnf 中的 bind-address 是否为 127.0.0.1。步骤 3安装 PHP 及核心扩展sudo apt install php libapache2-mod-php php-mysql php-curl php-gd php-xml php-zip -y # 验证 PHP 模块 php -m | grep -E (mysql|curl|gd|xml|zip) # 应输出mysqli, mysqlnd, curl, gd, xml, zip步骤 4配置 Apache 处理 PHP编辑/etc/apache2/mods-available/php7.4.conf确认包含FilesMatch ...规则。然后启用模块sudo a2enmod php7.4 sudo systemctl restart apache2验证在/var/www/html/下创建info.php?php phpinfo(); ?浏览器访问 http://你的IP/info.php页面顶部应显示 PHP Version 7.4.33页面中部找到 Loaded Modules确认 core, mod_php7.4, mpm_prefork 都在列表中。如果页面显示纯文本说明 php7.4 模块没加载成功检查a2enmod输出和/etc/apache2/mods-enabled/下的软链接。步骤 5创建测试页面验证全链路创建/var/www/html/testdb.php?php $host localhost; $user wpuser; $pass WpPass456!; $db wordpress; // 测试 MySQL 连接 $conn new mysqli($host, $user, $pass, $db); if ($conn-connect_error) { die(MySQL 连接失败: . $conn-connect_error); } // 测试查询 $result $conn-query(SELECT VERSION() as ver); $row $result-fetch_assoc(); echo MySQL 版本: . $row[ver] . br; // 测试 PHP 信息 echo PHP 版本: . PHP_VERSION . br; echo Apache 服务器: . $_SERVER[SERVER_SOFTWARE]; ?访问 http://你的IP/testdb.php应输出三行文字无任何错误。如果出现空白页检查 Apache error.logsudo tail -f /var/log/apache2/error.log常见错误是 mysqli 扩展未启用或数据库用户权限不足。4.3 生产环境加固5 项必须执行的安全操作完成基础部署后立即执行以下加固操作这是我给客户交付前的标准动作禁用 Apache 版本泄露编辑/etc/apache2/conf-available/security.conf设置ServerTokens Prod和ServerSignature Off然后sudo a2enconf security sudo systemctl reload apache2。这样 HTTP 响应头里就不会暴露 Apache/2.4.41 (Ubuntu)减少被针对性攻击的风险。设置 MySQL 远程访问白名单如果必须远程管理不要开放 3306 端口而是用 SSH 隧道ssh -L 3307:127.0.0.1:3306 userserver_ip然后本地用 MySQL 客户端连接 127.0.0.1:3307。这样 MySQL 本身仍绑定 127.0.0.1安全性不降。配置 PHP 错误报告级别编辑/etc/php/7.4/apache2/php.ini将display_errors Off生产环境绝不显示错误log_errors Onerror_log /var/log/php/error.log。然后创建日志目录sudo mkdir -p /var/log/php sudo chown www-data:www-data /var/log/php。为 WordPress 设置专用用户与目录权限sudo adduser --system --group --shell /bin/bash --home /var/www/wordpress wordpress sudo chown -R wordpress:www-data /var/www/wordpress sudo chmod -R 755 /var/www/wordpress sudo find /var/www/wordpress -type f -exec chmod 644 {} \; sudo find /var/www/wordpress -type d -exec chmod 755 {} \;这样 WordPress 的 wp-config.php 文件权限是 644但只有 wordpress 用户能写入 wp-content避免被恶意脚本篡改。启用 Apache 的 mod_security可选但推荐sudo apt install libapache2-mod-security2 -y sudo cp /etc/modsecurity/modsecurity.conf-recommended /etc/modsecurity/modsecurity.conf sudo sed -i s/SecRuleEngine DetectionOnly/SecRuleEngine On/ /etc/modsecurity/modsecurity.conf sudo systemctl restart apache2这是 Web 应用防火墙WAF能拦截 SQL 注入、XSS 等常见攻击。默认规则足够应付 90% 的扫描行为。5. 常见问题与排查技巧实录那些让我熬夜到凌晨的真实案例5.1 问题速查表症状、原因、解决方案症状可能原因解决方案我的实操记录Apache 启动失败报错 AH00526: Syntax error on line X of /etc/apache2/apache2.conf/etc/apache2/mods-enabled/ 下某个 .load 文件指向不存在的模块路径ls -la /usr/lib/apache2/modules/查看真实模块文件对比 .load 文件里的路径用sudo a2dismod 模块名禁用错误模块2023年8月客户服务器上 php7.4.load 指向 /usr/lib/apache2/modules/libphp7.4.so但实际文件是 libphp7.4.so.1手动 ln -s 创建软链接解决PHP 页面空白error_log 无记录display_errorsOff 且 log_errorsOff错误被静默丢弃检查 /etc/php/7.4/apache2/php.ini 中 display_errors 和 log_errors 的值临时设为 On 并重启 Apache2023年11月某电商后台空白查 php.ini 发现 log_errorsOff开启后 error_log 显示 PHP Fatal error: Allowed memory size of 134217728 bytes exhausted调大 memory_limit 解决MySQL 连接失败mysqli_connect() 返回 falseroot 用户 plugin 是 caching_sha2_passwordPHP 不支持用 debian-sys-maint 用户登录执行 ALTER USER rootlocalhost IDENTIFIED WITH mysql_native_password BY 新密码2024年1月新装 Ubuntu 20.04 服务器此问题出现率 100%已成为标准初始化步骤WordPress 后台提示 您需要 FTP 凭据Apache 进程www-data对 wp-content 目录无写入权限sudo chown -R www-data:www-data /var/www/html/wp-content检查 /var/www/html 目录的父目录权限是否为 7552023年9月客户自己 chmod 777 /var/www/html 导致安全警告改为精准授权后解决.htaccess 伪静态不生效AllowOverride None 或 Apache 未启用 mod_rewritesudo a2enmod rewrite检查 VirtualHost 中 段的 AllowOverride 值2023年12月WordPress 固定链接 404查配置发现 AllowOverride All 被误写为 AllowOverride All Files5.2 独家排查技巧从日志到系统调用的三层定位法当标准日志查不到原因时我用三层递进法第一层Apache 错误日志深度分析sudo tail -100 /var/log/apache2/error.log | grep -E (PHP|mysql|segmentation)关键是看错误行末尾的 PID 和模块名比如[core:notice] [pid 12345] AH00052: child pid 12346 exit signal Segmentation fault (11)说明是某个模块导致 Apache 子进程崩溃重点查最近安装的模块。第二层MySQL 错误日志关联分析sudo tail -50 /var/log/mysql/error.log如果 PHP 报“Connection refused”但 MySQL 服务显示 running一定是 bind-address 或 socket 路径问题。用sudo netstat -tuln | grep :3306看 MySQL 是否监听 127.0.0.1:3306用sudo ss -tuln | grep mysqld看 socket 文件路径。第三层系统调用追踪终极手段当以上都无效用 strace 抓 Apache 子进程# 先找一个正在处理请求的 Apache 子进程 PID ps aux | grep apache2 | grep -v grep | head -1 | awk {print $2} # 假设 PID 是 5678执行 sudo strace -p 5678 -e traceopen,openat,connect,sendto,recvfrom -s 256 -o /tmp/apache-strace.log然后在浏览器访问一个 PHP 页面strace 会记录所有文件打开和网络连接操作。查看 /tmp/apache-strace.log搜索 No such file 或 Connection refused就能精确定位到缺失的配置文件或错误的 MySQL socket 路径。5.3 那些踩过的坑血泪总结的 3 条铁律铁律一永远不要在生产环境用 root 用户运行 PHP 应用我曾接手一个被黑的 WordPress 站点黑客上传了 webshell 到 wp-content然后用system(whoami)发现是 root接着执行system(cat /etc/shadow)直接拿到所有用户密码哈希。根源是客户为了“方便”把整个 /var/www/html chown 为 root:root。现在我的标准是Apache 进程用 www-data 用户PHP 应用用专用系统用户如 wordpress目录权限严格遵循 755/644 原则。铁律二MySQL 的 max_connections 不是越大越好有客户听信“调大性能好”把 max_connections 设为 10000结果 MySQL 内存暴涨系统 swap