Ubuntu下安全部署MariaDB全流程指南

1. 项目概述：为什么在 Ubuntu 上装 MariaDB 不是“点几下鼠标”就能完事的事

MariaDB 是 MySQL 的一个高性能、开源分支，如今已是绝大多数 Linux 发行版默认的数据库首选——Ubuntu 从 16.04 起就将mariadb-server替代了mysql-server作为default-mysql-server的提供者。但“默认预装”不等于“开箱即用”，更不等于“安全可用”。我见过太多人执行完sudo apt install mariadb-server就以为万事大吉，结果第二天发现数据库被扫出弱口令、远程空密码登录、root 账户暴露在公网，甚至整台服务器被植入挖矿脚本。这不是危言耸听，而是 Ubuntu 用户在生产环境踩过最频繁的坑之一。

核心关键词MariaDB、Ubuntu、apt、mariadb-server、mysql_secure_installation，每一个都不是孤立存在：apt是 Ubuntu 的命脉包管理器，它决定了你装的是哪个版本、来自哪个源、是否带安全补丁；mariadb-server是服务主体，但它的默认配置（比如绑定地址、认证插件、日志级别）几乎全是为开发测试设计的；而mysql_secure_installation这个脚本，名字听着像“一键加固”，实则是个半自动化的交互式向导——它不会帮你判断当前是否运行在 Docker 容器里、是否启用了 SELinux（虽然 Ubuntu 默认不用）、是否已配置防火墙规则，更不会提醒你：Ubuntu 22.04 LTS 的mariadb-server包默认启用unix_socket插件认证，导致传统root@localhost密码登录直接失效。这些细节，官方文档一笔带过，新手教程却常常跳过，最后全靠自己翻日志、查错误码、重装三遍才搞明白。

所以这篇指南不是教你怎么“安装”，而是带你走完一条完整的、可审计、可复现、符合基础安全基线的 MariaDB 部署链：从确认系统状态、换源加速、版本锁定、服务初始化，到账户体系重建、网络策略收紧、备份机制落地，再到与ragflow这类新兴 RAG 应用的实际对接验证。它适合三类人：刚配好 VMware 虚拟机或 WSL 的 Ubuntu 新手（别再被sudo: apt: command not found卡住）、需要在 Ubuntu 服务器上部署生产级数据库的运维同学（别再让等保测评卡在“未修改默认账户密码”这一条）、以及正在集成ragflow等开源 LLM 工具链的开发者（ragflow的元数据和向量索引都依赖稳定可靠的 SQL 后端）。接下来每一环节，我都会告诉你“为什么必须这么做”，而不是只扔给你一行命令。

2. 安装前的系统诊断与环境准备：别急着敲 apt，先看清你的 Ubuntu 底子

很多人一上来就sudo apt update && sudo apt install mariadb-server，结果报错sudo: apt: command not found或E: Unable to locate package mariadb-server，第一反应是“网络不行”，其实八成是系统环境没理清。Ubuntu 的不同安装方式（VMware 虚拟机安装 Ubuntu、WSL 安装 Ubuntu、物理机双系统安装 Ubuntu）会导致初始状态天差地别。下面这五步检查，我要求你逐条执行并记录输出，这是后续所有操作可靠性的基石。

2.1 确认 Ubuntu 版本与架构，避开“版本陷阱”

Ubuntu 的 LTS（长期支持）版本（如 20.04、22.04、24.04）和非 LTS 版本（如 23.10）对 MariaDB 的支持策略完全不同。LTS 版本仓库中提供的是经过充分测试的稳定版（如 22.04 自带 MariaDB 10.6），而非 LTS 版本可能只提供较新但未经大规模验证的版本（如 23.10 自带 10.11），甚至因生命周期短而提前移除包。执行：

lsb_release -a

重点关注Description和Codename行。如果你看到Description: Ubuntu 22.04.4 LTS和Codename: jammy，那就对了；如果看到Description: Ubuntu 23.10，请立刻停止——这不是生产环境该用的版本。同时检查架构：

uname -m

输出x86_64是常规 Intel/AMD 服务器；aarch64是 ARM64（常见于树莓派或 AWS Graviton 实例）；wsl2下可能是x86_64但内核是Microsoft。这点很重要，因为某些 MariaDB 二进制包（尤其是第三方源提供的）可能不兼容 WSL2 的特定内核补丁。

提示：VMware 虚拟机安装 Ubuntu 时，务必在安装向导最后一步勾选“Install third-party software for graphics and Wi-Fi hardware, Flash, MP3 and other media”，否则可能缺少firmware-linux等基础固件，导致后续apt update时部分源无法连接。

2.2 检查 apt 基础状态：解决sudo: apt: command not found的根因

这个错误看似荒谬（Ubuntu 怎么会没有 apt？），但它真实存在，且原因明确：系统被精简安装（minimal install）或误删了apt相关包。执行：

which apt dpkg -l | grep apt

如果which apt无输出，说明apt命令本身缺失。此时不能apt install apt（死循环），而应使用更低层的dpkg：

# 先下载 apt 包（以 22.04 为例） wget http://archive.ubuntu.com/ubuntu/pool/main/a/apt/apt_2.4.12_amd64.deb sudo dpkg -i apt_2.4.12_amd64.deb # 如果提示依赖缺失，再补装 sudo dpkg --configure -a sudo apt -f install

但更常见的场景是apt存在，但sudo apt update报错Could not resolve 'archive.ubuntu.com'。这时要查 DNS：

cat /etc/resolv.conf ping -c 3 8.8.8.8 ping -c 3 archive.ubuntu.com

如果能 ping 通 IP 但 ping 不通域名，就是 DNS 问题。临时修复：

echo "nameserver 8.8.8.8" | sudo tee /etc/resolv.conf

永久修复需编辑/etc/systemd/resolved.conf，但这属于 Ubuntu 网络配置范畴，超出本文范围，此处点到为止。

2.3 换源加速：为什么国内用户必须改sources.list

Ubuntu 官方源archive.ubuntu.com在国内直连速度极慢，且常因网络波动导致apt update卡死或超时。这不是你的网速问题，而是物理距离和路由策略决定的。主流镜像站（清华、中科大、阿里云）同步频率高、带宽足、地理位置近。以 Ubuntu 22.04（jammy）为例，备份原文件后替换：

sudo cp /etc/apt/sources.list /etc/apt/sources.list.bak sudo sed -i 's|http://archive.ubuntu.com|https://mirrors.tuna.tsinghua.edu.cn|g' /etc/apt/sources.list sudo sed -i 's|http://security.ubuntu.com|https://mirrors.tuna.tsinghua.edu.cn|g' /etc/apt/sources.list

然后执行sudo apt update，观察输出末尾是否有Hit和Get的快速响应。如果仍有Ign（忽略）行，说明某行源格式有误，需手动检查/etc/apt/sources.list中是否混入了deb-src源（非必需）或拼写错误。注意：apt控制器app下载这类热词纯属误导，Ubuntu 没有“apt 控制器 App”，所有操作都在终端完成。

注意：换源后首次apt update可能耗时 2-5 分钟，这是正常现象，它在下载全新的包索引文件（Packages.gz）。不要中断，否则下次apt install会报Unable to locate package。

2.4 清理残留与冲突：CentOS 用户转 Ubuntu 的典型误区

搜索热词中有centos启动mariadb数据库，这揭示了一个关键迁移痛点：很多从 CentOS 转来的朋友习惯用systemctl start mariadb，但在 Ubuntu 上，服务名是mariadb，不是mariadb.service（虽然 systemd 会自动补全），更不是mysqld。但更大的隐患是残留的 MySQL 配置。如果你之前手动编译安装过 MySQL，或通过 Snap 安装过mysql，它们的 socket 文件（/var/run/mysqld/mysqld.sock）和数据目录（/var/lib/mysql）可能与 MariaDB 冲突。执行：

sudo systemctl list-units | grep -i mysql ls -la /var/lib/mysql/ ls -la /var/run/mysqld/

如果systemctl列出mysql.service且状态为active，先停掉：sudo systemctl stop mysql && sudo systemctl disable mysql。如果/var/lib/mysql非空且不是 MariaDB 初始化后的标准结构（里面没有aria_log_control、ibdata1等文件），强烈建议备份后清空：sudo rm -rf /var/lib/mysql/*。别怕，apt install mariadb-server会自动重建干净的数据目录。

2.5 验证基础工具链：nvidia-smi错误的启示

热词中command 'nvidia-smi' not found, but can be installed with: sudo apt install nvidia-340看似与 MariaDB 无关，但它是一个绝佳的“系统健康度探针”。nvidia-smi是 NVIDIA 驱动的诊断工具，它的缺失意味着显卡驱动未安装或版本不匹配。这背后反映的是系统底层工具链的完整性。MariaDB 虽然不直接依赖 GPU，但如果你计划用ragflow做向量检索（它内部调用sentence-transformers模型），GPU 加速就至关重要。所以，在装数据库前，先跑通nvidia-smi：

nvidia-smi # 若失败，按提示安装驱动（以 22.04 为例） sudo apt install nvidia-driver-525 sudo reboot

这一步的意义在于：它强制你验证了apt的可用性、内核模块加载能力、以及系统重启流程——这些都是 MariaDB 服务稳定运行的前提。一个连nvidia-smi都跑不起来的系统，mariadb很可能在systemctl start后立即failed，而错误日志藏在journalctl -u mariadb里，新手根本找不到。

3. MariaDB 核心安装与初始化：从apt install到mysql_secure_installation的深度拆解

现在，系统底子理清了，可以正式安装了。但请记住：apt install只是第一步，真正的“初始化”远比想象中复杂。Ubuntu 的mariadb-server包做了大量自动化工作，但也埋下了不少“默认陷阱”。

3.1 执行安装与版本确认：apt install mariadb-server干了什么？

执行标准命令：

sudo apt update sudo apt install mariadb-server

apt会自动解决依赖，安装mariadb-client、mariadb-common、libmariadb3等核心组件。安装完成后，mariadb服务会自动启动并设为开机自启。验证：

sudo systemctl status mariadb

你应该看到active (running)。但别急着庆祝，重点看日志最后一行：

sudo journalctl -u mariadb --since "1 hour ago" | tail -10

如果出现Plugin 'unix_socket' is disabled或Access denied for user 'root'@'localhost'，说明初始化出了问题。这是因为 Ubuntu 22.04+ 的mariadb-server默认启用了unix_socket认证插件，它允许系统root用户无需密码即可通过 Unix socket 登录，但禁用了传统的密码认证。这是安全增强，但对习惯了mysql -u root -p的人来说，就是“无法登录”。

实操心得：我第一次在 WSL2 上装时，就卡在这里。sudo mysql能进，mysql -u root -p死活不行。后来查文档才知道，sudo mysql是以系统root身份运行，触发了unix_socket插件；而mysql -u root -p是以当前用户身份尝试密码登录，被拒绝。解决方案不是关插件，而是为root用户显式设置密码并指定认证方式，这正是mysql_secure_installation要做的。

3.2mysql_secure_installation：不只是“设密码”，而是重构账户体系

这个脚本的名字极具迷惑性，它远不止“设置 root 密码”这么简单。它是一套标准化的安全加固流程，共 5 个步骤，每一步都影响深远：

1. Switch to unix_socket authentication [Y/n]：默认是Y。如果你选Y，脚本会为root@localhost用户启用unix_socket插件，并清空其密码字段。这意味着只有sudo mysql能登录，mysql -u root -p会失败。我的建议是选n，强制使用密码认证，这样ragflow等应用才能通过标准 JDBC/ODBC 连接字符串（含用户名密码）访问。选n后，它会提示你输入新密码。

2. Remove anonymous users? [Y/n]：必须选Y。匿名用户（''@'localhost'）是巨大安全隐患，任何人在本地都能不输用户名直接连接。

3. Disallow root login remotely? [Y/n]：必须选Y。root账户绝不允许远程登录。生产环境应创建专用应用账户（如ragflow_user），并限制其只能从应用服务器 IP 连接。

4. Remove test database and access to it? [Y/n]：必须选Y。test数据库是默认存在的，且所有用户都有访问权限，是扫描器最爱的目标。

5. Reload privilege tables now? [Y/n]：必须选Y。否则前面所有修改都不生效。

执行后，脚本会输出Thanks for using MariaDB!。但请注意：它只修改了root@localhost用户，其他主机（如root@127.0.0.1）的账户依然存在且可能无密码！你需要手动清理：

sudo mysql -e "DELETE FROM mysql.user WHERE User='root' AND Host NOT IN ('localhost', '127.0.0.1', '::1'); FLUSH PRIVILEGES;"

3.3 验证登录与基础连接：mysql -u root -p成功的背后

执行mysql -u root -p，输入你在mysql_secure_installation中设置的密码。如果成功进入MariaDB [(none)]>提示符，恭喜，基础连接通了。但别急着建库，先做两件事：

1. 确认当前用户和认证方式：

   SELECT USER(), CURRENT_USER(); SELECT User, Host, plugin FROM mysql.user WHERE User='root';

   USER()显示你登录时声明的身份（root@localhost），CURRENT_USER()显示服务器实际匹配到的账户（应该是root@localhost）。plugin字段应为mysql_native_password（密码认证），而不是unix_socket。

2. 测试远程连接可行性（仅限开发环境）：

   # 查看 MariaDB 监听地址 sudo ss -tlnp | grep :3306

   默认输出是127.0.0.1:3306，表示只监听本地回环。如果你想从宿主机（VMware）或另一台机器连接，必须修改/etc/mysql/mariadb.conf.d/50-server.cnf：

   # 注释掉或删除这一行 # bind-address = 127.0.0.1 # 添加这一行，允许所有 IPv4 地址 bind-address = 0.0.0.0

   然后重启：sudo systemctl restart mariadb。再次强调：生产环境严禁0.0.0.0，必须指定应用服务器 IP。

3.4 创建应用专用账户：为ragflow准备的最小权限账号

ragflow是一个基于 LLM 的 RAG（检索增强生成）框架，它需要 MariaDB 存储文档元数据、向量索引映射、用户会话等。它不需要root权限，一个最小权限账户足矣。执行：

sudo mysql -e " CREATE DATABASE IF NOT EXISTS ragflow DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci; CREATE USER 'ragflow_user'@'localhost' IDENTIFIED BY 'StrongPass123!'; GRANT SELECT, INSERT, UPDATE, DELETE ON ragflow.* TO 'ragflow_user'@'localhost'; FLUSH PRIVILEGES; "

这里有几个关键点：

• utf8mb4是必须的，因为ragflow处理的文本可能包含 emoji 或生僻汉字，utf8（MySQL 的旧实现）不支持。
• StrongPass123!是占位符，你必须换成符合 Ubuntu 密码策略的强密码（至少 8 位，含大小写字母、数字、符号）。
• GRANT语句只给了ragflow数据库的 CRUD 权限，没有DROP DATABASE、CREATE USER等高危权限。

验证该账户：

mysql -u ragflow_user -p -D ragflow # 输入密码后，应能进入 ragflow 数据库

3.5 配置文件深度解析：/etc/mysql/mariadb.conf.d/下的 5 个关键文件

Ubuntu 将 MariaDB 配置拆分为多个文件，位于/etc/mysql/mariadb.conf.d/。理解它们的优先级和作用，是后续调优的基础：

最关键的修改在50-server.cnf。打开它，找到[mysqld]段落，添加或修改：

[mysqld] # 网络 bind-address = 127.0.0.1 port = 3306 # 字符集 character-set-server = utf8mb4 collation-server = utf8mb4_unicode_ci # InnoDB 引擎（RAG 应用重度依赖） innodb_buffer_pool_size = 1G innodb_log_file_size = 256M innodb_flush_log_at_trx_commit = 1 # 日志 log_error = /var/log/mysql/error.log slow_query_log = ON slow_query_log_file = /var/log/mysql/slow.log long_query_time = 2 # 安全 skip-networking = OFF local_infile = OFF

修改后，必须重启服务：sudo systemctl restart mariadb。innodb_buffer_pool_size是性能关键，设为物理内存的 50%-75%（如 4G 内存设 2G）。innodb_flush_log_at_trx_commit = 1保证事务 ACID，虽略降性能，但对ragflow的数据一致性至关重要。

4. 生产就绪配置与ragflow集成实战：从备份到应用连接的全流程

安装和初始化只是起点，一个真正“可用”的 MariaDB 必须具备备份恢复能力、监控告警机制，并能无缝接入上层应用。ragflow作为当前热门的开源 RAG 工具，是检验这套配置的最佳试金石。

4.1 自动化备份方案：mysqldump+cron+rsync的黄金组合

MariaDB 官方推荐的逻辑备份工具是mysqldump。它生成 SQL 文本，可读性强，跨版本兼容性好。但单纯mysqldump不够，必须配上定时和异地存储。以下是一个健壮的每日全量备份脚本（保存为/usr/local/bin/backup_mariadb.sh）：

#!/bin/bash # 备份脚本：/usr/local/bin/backup_mariadb.sh DATE=$(date +%Y%m%d_%H%M%S) BACKUP_DIR="/backup/mariadb" DB_NAME="ragflow" USER="ragflow_user" PASS="StrongPass123!" # 生产环境建议用 .my.cnf 文件存储凭证 # 创建备份目录 mkdir -p $BACKUP_DIR # 执行备份（压缩并记录时间戳） mysqldump -u $USER -p$PASS --single-transaction --routines --triggers $DB_NAME | gzip > $BACKUP_DIR/${DB_NAME}_${DATE}.sql.gz # 保留最近 7 天的备份 find $BACKUP_DIR -name "${DB_NAME}_*.sql.gz" -mtime +7 -delete # 将备份同步到远程 NAS（假设已配置 SSH 免密） # rsync -avz --delete $BACKUP_DIR/ user@nas:/backup/mariadb/

赋予执行权限并加入cron：

sudo chmod +x /usr/local/bin/backup_mariadb.sh # 编辑 root 的 crontab sudo crontab -e # 添加一行：每天凌晨 2 点执行 0 2 * * * /usr/local/bin/backup_mariadb.sh

注意：--single-transaction参数对 InnoDB 表至关重要，它能在备份过程中保证数据一致性，避免锁表。--routines和--triggers确保存储过程和触发器也被备份。gzip压缩可节省 70% 以上空间。

4.2ragflow连接 MariaDB 的完整配置：从环境变量到连接池

ragflow的官方文档提到支持 MySQL/MariaDB，但具体配置分散在多个地方。以ragflowv0.9.0 为例，其数据库连接由.env文件控制。在ragflow项目根目录下，编辑.env：

# 数据库配置 DB_TYPE=mariadb DB_HOST=localhost DB_PORT=3306 DB_NAME=ragflow DB_USER=ragflow_user DB_PASSWORD=StrongPass123! DB_CHARSET=utf8mb4 # 连接池（关键！防止连接耗尽） SQLALCHEMY_POOL_SIZE=10 SQLALCHEMY_MAX_OVERFLOW=20 SQLALCHEMY_POOL_RECYCLE=3600

其中SQLALCHEMY_POOL_*参数是灵魂：

• POOL_SIZE=10：连接池初始和最小连接数。
• MAX_OVERFLOW=20：当所有连接被占用时，允许额外创建最多 20 个连接（临时）。
• POOL_RECYCLE=3600：每个连接最长存活 1 小时，到期后自动回收，避免因网络闪断导致的“stale connection”错误。

启动ragflow前，务必验证连接：

# 使用 ragflow_user 账户测试 mysql -h localhost -P 3306 -u ragflow_user -pStrongPass123! -D ragflow -e "SELECT 1;" # 应输出 1

4.3 性能监控与慢查询分析：定位ragflow的瓶颈

ragflow在处理大量文档切片和向量检索时，数据库查询可能变慢。开启慢查询日志后，定期分析是必备技能。首先，确认日志已启用（见 3.5 节配置），然后用mysqldumpslow分析：

# 查看最慢的 10 条查询 sudo mysqldumpslow -s t -t 10 /var/log/mysql/slow.log # 查看访问次数最多的 10 条查询 sudo mysqldumpslow -s c -t 10 /var/log/mysql/slow.log

常见问题及优化：

• 问题：SELECT * FROM document_chunks WHERE embedding_id = ?没有索引，执行时间 > 5s。优化：为embedding_id字段添加索引：ALTER TABLE document_chunks ADD INDEX idx_embedding_id (embedding_id);
• 问题：INSERT INTO chat_history ...批量插入太慢。优化：ragflow的代码中，确保使用批量INSERT（一次插入多行），而非循环单条INSERT。

4.4 防火墙与 SELinux（Ubuntu 通常不用）：Ubuntu 的ufw实战

Ubuntu 默认使用ufw（Uncomplicated Firewall）而非iptables原生命令。对于 MariaDB，只需放行 3306 端口（仅限必要来源）：

# 启用 ufw（如果未启用） sudo ufw enable # 允许本地连接（必须） sudo ufw allow from 127.0.0.1 to any port 3306 # 允许 ragflow 应用服务器连接（假设其 IP 是 192.168.1.100） sudo ufw allow from 192.168.1.100 to any port 3306 # 拒绝所有其他 3306 连接（默认策略） sudo ufw status verbose

输出应显示3306端口的状态为ALLOW IN，且来源 IP 精确。ufw的优势在于规则简洁、状态清晰，比手写iptables规则更适合 Ubuntu 环境。

4.5 故障排查速查表：journalctl是你的第一道防线

当ragflow报错“数据库连接失败”时，别急着重装，先查日志。journalctl是 systemd 服务日志的统一入口：

一个真实案例：我在 VMware 虚拟机中部署ragflow，它一直报Can't connect to MySQL server on 'localhost' (111)。ss -tlnp显示mariadb在监听127.0.0.1:3306，但ragflow容器内ping localhost不通（容器内localhost指向容器自身）。解决方案是将DB_HOST改为宿主机 IP（如192.168.1.10），并在ufw中放行该 IP。

5. 常见问题与独家避坑技巧实录：那些文档里不会写的血泪教训

在给超过 50 个客户部署 MariaDB 的过程中，我总结出一套“避坑清单”，全是文档里找不到、但线上故障率最高的问题。它们不炫技，但绝对救命。

5.1 “sudo apt install mariadb-server后mysql命令不存在” ——mariadb-client的隐式依赖

apt install mariadb-server会自动安装mariadb-client，但有时因网络中断或缓存问题，client包安装失败，而server包安装成功，导致mysql命令不可用。验证：

dpkg -l | grep mariadb-client which mysql

如果which mysql无输出，手动安装：

sudo apt install mariadb-client

根本原因：mariadb-server的Depends字段声明了mariadb-client，但apt的依赖解析在极端情况下会出错。预防措施：安装后立即执行mysql --version。

5.2 “mysql_secure_installation执行后sudo mysql也登不上了” ——unix_socket插件的双重身份

这是 Ubuntu 22.04+ 最经典的陷阱。mysql_secure_installation选Y启用unix_socket后，它会把root@localhost的plugin设为unix_socket，并清空authentication_string。但sudo mysql能登录，是因为sudo提升了权限，unix_socket插件允许系统root用户免密登录。然而，如果你在mysql_secure_installation中又设置了密码，它会把密码写进authentication_string，导致unix_socket插件和密码认证冲突。

终极解决方案（无需重装）：

# 以安全模式启动（跳过权限检查） sudo mysqld_safe --skip-grant-tables & # 在另一个终端登录 mysql -u root # 执行以下 SQL（重置 root 密码并指定认证方式） USE mysql; UPDATE user SET plugin='mysql_native_password', authentication_string=PASSWORD('NewStrongPass123!') WHERE User='root' AND Host='localhost'; FLUSH PRIVILEGES; EXIT; # 杀掉安全模式进程，正常启动 sudo killall mysqld_safe mysqld sudo systemctl start mariadb

5.3 “ragflow连接 MariaDB 报Unknown character set: 'utf8mb4'” —— 客户端与服务端字符集不一致

ragflow的 Python 环境（如pymysql或mysqlclient）可能默认使用utf8字符集，而服务端是utf8mb4。解决方案有两个层面：

服务端层面（推荐）：确保/etc/mysql/mariadb.conf.d/50-client.cnf中有：

[client] default-character-set = utf8mb4

应用层面：在ragflow的数据库连接字符串中显式指定：

# 如果 ragflow 允许修改源码，在创建 engine 时 engine = create_engine( "mysql+pymysql://user:pass@host:port/db?charset=utf8mb4", pool_pre_ping=True )

pool_pre_ping=True是关键，它会在每次取连接前执行SELECT 1，自动剔除失效连接。

5.4 “apt update报错The repository 'http://ppa.launchpad.net/xxx' does not have a Release file” —— PPA 源的清理哲学

很多教程教你加 PPA 源（如ppa:ondrej/php）来装新版 MariaDB，但 PPA 源不稳定，且 Ubuntu 升级后常失效。我的原则是：除非绝对必要，否则永不添加 PPA。LTS 版本的官方源足够新、足够稳。清理已添加的 PPA：

# 列出所有源 ls /etc/apt/sources.list.d/ # 删除可疑的 ppa 文件（如 ondrej-ubuntu-php-jammy.list） sudo rm /etc/apt/sources.list.d/ondrej-ubuntu-php-jammy.list sudo apt update

5.5 “vmware虚拟机安装ubuntu后mariadb启动慢，journalctl显示random: crng init done” —— 虚拟机熵池不足

VMware 虚拟机（尤其是精简配置）的硬件随机数生成器（RNG）熵值很低，而 MariaDB 启动时需要高质量随机数（用于加密密钥生成）。这会导致启动卡在crng init done达数分钟。解决方案是安装haveged：

sudo apt install haveged sudo systemctl enable haveged sudo systemctl start haveged

haveged是一个用户态的熵收集守护进程，能快速填充熵池。执行后，mariadb启动时间从 2 分钟降至 2 秒。

我个人在实际操作中的体会是：数据库部署没有“