LINUX调优

一、Linux系统调优及安全设置

系统安装安全最小化原则说明

◆安装linux系统最小化，即选包最小化，yum安装软件最小化。

◆开机自启动程序服务最小化，即无用的服务不开启。

◆操作命令最小化原则，rm -f 1.txt 不用rm -fr 1.txt。

◆登录linux用户最小化原则，平时没有需求不用root登录，用普通用户登录。

◆文件及目录的权限设置最小化。一般建议设置权限：文件644，目录755。

◆各种网络服务，系统配置参数合理，不要最大化。

1、关闭selinux(也不是强制的)

执行命令：

setenforce 0

getenforce

cp /etc/selinux/config /etc/selinux/config.bak

sed -i 's@SELINUX=enforcing@SELINUX=disabled@g' /etc/selinux/config

diff /etc/selinux/config.bak /etc/selinux/config

2、切换运行级别为3文本模式

执行命令：

cp /etc/inittab /etc/inittab.bak

sed -i 's@id:\(.*\):initdefault:@id:3:initdefault:@g' /etc/inittab

diff /etc/inittab.bak /etc/inittab /tmp/syscheck.log

linux的运行级别如下：

0：关机模式

1：单用户模式

2：无网络模式的多用户

3：文本模式

4：无用

5：图形界面模式

6：重启模式

3、精简开机自启动

执行命令：

LANG=en

for a in `chkconfig --list|grep 3:on|awk '{print $1}'`;do chkconfig --level 3 $a off;done

for a in crond network rsyslog sshd;do chkconfig --level 3 $a on;done

chkconfig --list |grep 3:on >>/tmp/syscheck.log

另一种方法：

chkconfig --list|grep "3:on"|grep -vE "sshd|crond|network|rsyslog" |awk '{print $1}'|sed -r 's#^(.*)#chkconfig \1 off#g'|bash 

chkconfig --list|grep "3:on"

4、更改ssh的远程登陆端口

执行命令：

/etc/init.d/iptables stop

cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak

cat >>/etc/ssh/sshd_config<<EOF

#######by zhangsan  2016-11-11######

Port 52113

PermitRootLogin no

PermitEmptyPasswords no

UseDNS no

GSSAPIAuthentication no

#######by zhangsan  2016-11-11######

EOF

tail -8
/etc/ssh/sshd_config>>/tmp/syscheck.log

/etc/init.d/sshd
restart

关于GSSAPIAuthentication no参数的说明：

客户端需要对服务器端的IP地址进行反解析，如果服务器的IP地址没有配置PTR记录,则连接速率会比较慢。

5、加入sudo管理

可以用命令visudo或者vi /etc/sudoers 
，一般用前者，因为前者会检查语法。

格式如下：

用户     
机器=（授权那个角色的权利）       命令

zhangsan         ALL=(ALL)                       /bin/rm

授权zhangsan可以以所有用户角色的权限，执行rm。

执行命令：

echo 'zhangsan   ALL=(ALL)                      ALL'>>/etc/sudoers

tail -1
/etc/sudoers>>/tmp/syscheck.log

验证：

[zhangsan@c66-moban ~]$ rm -f /root/a.log

rm: cannot remove `/root/a.log': Permission denied

[zhangsan@c66-moban ~]$ sudo rm -f /root/a.log

[sudo] password for zhangsan:

6、更改字符集支持中文

[root@c66-moban /]# cat /etc/sysconfig/i18n 

LANG="en_US.UTF-8"

SYSFONT="latarcyrheb-sun16"

执行命令：

cp /etc/sysconfig/i18n
/etc/sysconfig/i18n.bak

echo
'LANG="zh_CN.UTF-8"'>/etc/sysconfig/i18n

source /etc/sysconfig/i18n

echo $LANG >>/tmp/syscheck.log

7、校准系统时间

执行命令：

echo '*/5 * * * * /usr/sbin/ntpdate
time.windows.com >/dev/null 2>&1'>/var/spool/cron/root

crontab -l >>/tmp/syscheck.log

[root@c66-moban /]# echo '*/5 * * * * /usr/sbin/ntpdate ntp.sjtu.edu.cn >/dev/null 2>&1' >>/var/spool/cron/root

[root@c66-moban /]# crontab -l

*/5 * * * * /usr/sbin/ntpdate ntp.sjtu.edu.cn >/dev/null 2>&1

同步到
BIOS里面：

[root@C66-mode
~]# hwclock

2015年01月08日 星期四 19时58分26秒 
-0.884854 seconds

8、调整连接工具的超时时间及历史记录数

l  TMOUT=5           是指SecureCRT或者Xshell的连接超时时间

l  HISTSIZE=5        是指当前shell命令history的最大值

l  HISTFILESIZE=5    是指.bash_history文件中保存的命令条数最大值

执行命令：

echo 'TMOUT=300' >>/etc/profile

echo 'HISTSIZE=5' >>/etc/profile

echo 'HISTFILESIZE=5' >>/etc/profile     

tail -3 /etc/profile

source /etc/profile

9、加大文件描述符

文件描述符是由无符号整数表示的句柄（一般使用范围0~65535），进程使用它来标识打开的文件。文件描述符与包括相关信息（如文件的打开模式、文件的位置类型、文件的初始类型等）的文件对象相关联，这些信息被称作文件的上下文。

对于内核而言，所有打开的文件都是通过文件描述符引用的。当打开一个现有文件或者创建一个新文件时，内核向进程返回一个文件描述符。

退出后再登陆，即生效

echo '*               -       nofile          65535 '
>>/etc/security/limits.conf

也可以加入开机自启动

cat >> /etc/rc.local <<EOF

#open files

ulimit -HSn 65535

#stack size

ulimit -s 65535

EOF

10、优化内核参数

执行命令：

cat >>/etc/sysctl.conf<<EOF

net.ipv4.tcp_fin_timeout = 2

net.ipv4.tcp_tw_reuse = 1

net.ipv4.tcp_tw_recycle = 1

net.ipv4.tcp_syncookies = 1

net.ipv4.tcp_keepalive_time = 600

net.ipv4.ip_local_port_range = 4000    65000

net.ipv4.tcp_max_syn_backlog = 16384

net.ipv4.tcp_max_tw_buckets = 36000

net.ipv4.route.gc_timeout = 100

net.ipv4.tcp_syn_retries = 1

net.ipv4.tcp_synack_retries = 1

net.core.somaxconn = 16384

net.core.netdev_max_backlog = 16384

net.ipv4.tcp_max_orphans = 16384

#############################################################

net.nf_conntrack_max = 25000000

net.netfilter.nf_conntrack_max = 25000000

net.netfilter.nf_conntrack_tcp_timeout_established = 180

net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120

net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60

net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120

EOF

sysctl -p

网络状态说明及优化参数，详细参见：

http://yangrong.blog.51cto.com/6945369/1321594

11、清空系统显示

执行命令：

>/etc/issue

>/etc/issue.net

可以加一些重要的系统提示！

[root@C66-mode
~]# echo " This is DataBase-Server,Please Be Careful！">/etc/motd

[root@C66-mode
~]# cat /etc/motd

This is
DataBase-Server,Please Be Careful！

12、特殊文件加锁

执行命令：

chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow
/etc/inittab

lsattr /etc/passwd /etc/shadow /etc/group /etc/gshadow
/etc/inittab

也可以把命令改名后再加锁：

mv /usr/bin/chattr /opt/zhangsan

/opt/zhangsan +i /etc/passwd /etc/shadow
/etc/group /etc/gshadow /etc/inittab

13、系统升级

执行命令：

cp /etc/yum.repos.d/CentOS-Base.repo
/etc/yum.repos.d/CentOS-Base.repo.bak

wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo

命令说明：

yum upgrade    只升级所有包，不升级软件和系统内核

yum update    升级所有包同时也升级软件和系统内核

升级建议：

新装的服务器 可以更新

运行的服务器，上线了。尽量不要更新

14、禁止linux系统被ping(非必须)

执行命令：

echo"net.ipv4.icmp_echo_ignore_all=1"
>> /etc/sysctl.conf

tail -1 /etc/sysctl.conf

sysctl -p