Linux系統初級優化

系統參數優化和怎樣增強系統安全性，系統默認的一些參數都是比較保守的，所以我們可以通過調整系統參數來提高系統內存、CPU、內核資源的占用，通過禁用不必要的服務、端口，來提高系統的安全性，更好的發揮系統的可用性。通過自己對Linux了解。首先在系統優化之前需要秉循的四個最小化原則：

a 安裝軟件最小化

b 目錄文件權限最小化

c 用戶權限最小化

d 程序運行權限最小化

-----------------------------------------------------------------------------------------------------------------------------------------------------------

1、系統安裝最小化

在搭建服務器的linux系統的時候，盡量不要安裝那些不需要的服務，一個是安裝越多風險越大，其次是安裝的越多，對服務器資源的消耗越大。

所以安裝服務器linux，選擇最小化安裝，需要一些基礎的安裝包即可，后期需要什么，通過yum等工具都可以安裝。

2、修改主機名

[root@ladeng~]#?vi?/etc/sysconfig/network?

HOSTNAME=test.com?

[root@ladeng~]#?hostname?test.com??#臨時生效?

3、關閉SELinux

[root@ladeng~]# vi /etc/selinux/config
SELINUX=disabled
[root@ladeng~]# setenforce 0 #臨時生效
[root@ladeng~]# getenforce #查看selinux狀態

4、添加普通用戶并進行sudo授權管理

[root@ladeng~]# useradd user
[root@ladeng~]# echo "123456" | passwd --stdin user #設置密碼
[root@ladeng~]# vi /etc/sudoers #或visudo打開，添加user用戶所有權限
root ALL=(ALL) ALL
user ALL=(ALL) ALL

5、修改ssh登錄端口號并禁用root遠程登錄

[root@ladeng~]# vi /etc/ssh/sshd_config
Port 52113
PermitRootLogin no
PermitEmptyPasswords no #禁止空密碼登錄
PasswordAuthentication yes
GSSAPIAuthentication no
UseDNSno #關閉DNS查詢

?

6、定時自動更新服務器時間

[root@moban ~]# crontab -l
#time sync by oldboy at 2010-2-1
*/5 * * * * /usr/sbin/ntpdate time.nist.gov >/dev/null 2>&1

?

7、配置yum更新源，從國內更新源下載安裝rpm包

[root@c64 yum.repos.d]# /bin/mv CentOS-Base.repo CentOS-Base.repo.bak
[root@c64 yum.repos.d]# wget http://mirrors.163.com/.help/CentOS6-Base-163.repo

?

8、關閉iptables并重新制定iptables規則

?

9、調整文件描述符大小

[root@ladeng ~]# ulimit –n #默認是1024
1024
[root@ladeng ~]# echo "ulimit -SHn 102400">> /etc/rc.local #設置開機自動生效

?

10、定時自動清理/var/spool/clientmqueue/目錄垃圾文件，防止inodes節點被占滿（C5版本需要，C6不需要）

11、精簡開機自啟動服務

?

12、刪除不必要的系統用戶

?

13、關閉重啟ctl-alt-delete組合鍵

[root@ladeng ~]# vi /etc/init/control-alt-delete.conf
#exec /sbin/shutdown -r now "Control-Alt-Deletepressed" #注釋掉

?

14、內核參數優化

[root@ladeng ~]# vi /etc/sysctl.conf #末尾添加如下參數
net.ipv4.tcp_syncookies = 1 #1是開啟SYN Cookies，當出現SYN等待隊列溢出時，啟用Cookies來處，理，可防范少量SYN攻擊，默認是0關閉
net.ipv4.tcp_tw_reuse = 1 #1是開啟重用，允許講TIME_AIT sockets重新用于新的TCP連接，默認是0關閉
net.ipv4.tcp_tw_recycle = 1 #TCP失敗重傳次數，默認是15，減少次數可釋放內核資源
net.ipv4.ip_local_port_range = 4096 65000 #應用程序可使用的端口范圍
net.ipv4.tcp_max_tw_buckets = 5000 #系統同時保持TIME_WAIT套接字的最大數量，如果超出這個數字，TIME_WATI套接字將立刻被清除并打印警告信息，默認180000
net.ipv4.tcp_max_syn_backlog = 4096 #進入SYN寶的最大請求隊列，默認是1024
net.core.netdev_max_backlog = 10240 #允許送到隊列的數據包最大設備隊列，默認300
net.core.somaxconn = 2048 #listen掛起請求的最大數量，默認128
net.core.wmem_default = 8388608 #發送緩存區大小的缺省值
net.core.rmem_default = 8388608 #接受套接字緩沖區大小的缺省值（以字節為單位）
net.core.rmem_max = 16777216 #最大接收緩沖區大小的最大值
net.core.wmem_max = 16777216 #發送緩沖區大小的最大值
net.ipv4.tcp_synack_retries = 2 #SYN-ACK握手狀態重試次數，默認5
net.ipv4.tcp_syn_retries = 2 #向外SYN握手重試次數，默認4
net.ipv4.tcp_tw_recycle = 1 #開啟TCP連接中TIME_WAIT sockets的快速回收，默認是0關閉
net.ipv4.tcp_max_orphans = 3276800 #系統中最多有多少個TCP套接字不被關聯到任何一個用戶文件句柄上，如果超出這個數字，孤兒連接將立即復位并打印警告信息
net.ipv4.tcp_mem = 94500000 915000000 927000000
net.ipv4.tcp_mem[0]:低于此值，TCP沒有內存壓力；
net.ipv4.tcp_mem[1]:在此值下，進入內存壓力階段；
net.ipv4.tcp_mem[2]:高于此值，TCP拒絕分配socket。內存單位是頁，可根據物理內存大小進行調整，如果內存足夠大的話，可適當往上調。上述內存單位是頁，而不是字節。

?

15、去除系統相關信息

[root@ladeng ~]# >/etc/issue
[root@ladeng ~]# >/etc/redhat-release

?

16、鎖定關鍵系統文件

chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow

做完之后重啟、搞定收工。

?