linux系统调优小结

关于安全系统的调优：

1、关闭selinux安全策略

sed -i s#SELINUX=enforcing#SELINUX=disabled#g /etc/sysconfig/selinux

for oldboy in `chkconfig --list|grep "3:on"|awk '{print $1}'|grep -vE "crond|network|sshd|rsyslog"`;do chkconfig $oldboy off;done

这条命令的意思是排除crond|network|sshd|rsyslog这四个服务，其他的全部关闭

最小化原则：

1）安装系统最小化原则

2）开启程序服务最小化原则

3）操作最小化原则

4）登录最小化原则，平时没有需求不用root登录，要用普通用户登录

5）权限最小化原则

6）配置参数合理，不要最大化。

关于ssh服务器端的安全调优，更改/etc/ssh/sshd_config配置文件

Port 12345                       改端口，默认是22端口

PermitRootLogin no               禁止root登录

UseDNS no                        不使用DNS

PermitEmptyPasswords no          禁止空密码登录

GSSAPIAuthentication no          linux下ssh远程连接服务慢解决方案

更改之后重新加载

/etc/init.d/sshd restart

sudo                            授权

visudo                          可以编辑授权      98行

修改中文显示（默认的字符集的路径:/etc/sysconfig/il8n）

LANG="zh_CN.GB18030"            中文字符集

用source使其生效  source /etc/sysconfig/il8n

时间同步

作业：ntp服务器的配置

加大服务器文件描述符

ulimit -n                    查看文件描述符

ulimit -HSn   65535          加大文件描述符至65535     临时性的

echo '*  -  nofile   65535' >> /etc/security/limits.conf   永久生效 

调整内核参数文件       /etc/sysctl.conf         sysctl -p   生效

下面以常见生产环境linux的内核优化为例讲解，仅供大家参考：

net.ipv4.tcp_fin_timeout = 2

net.ipv4.tcp_tw_reuse = 1

net.ipv4.tcp_tw_recycle = 1

net.ipv4.tcp_syncookies = 1

net.ipv4.tcp_keepalive_time = 600

net.ipv4.ip_local_port_range = 400065000

net.ipv4.tcp_max_syn_backlog = 16384

net.ipv4.tcp_max_tw_buckets = 36000

net.ipv4.route.gc_timeout = 100

net.ipv4.tcp_syn_retries = 1

net.ipv4.tcp_synack_retries = 1

net.core.somaxconn = 16384

net.core.netdev_max_backlog = 16384

net.ipv4.tcp_max_orphans = 16384

#以下参数是对iptables防火墙的优化，防火墙不开会提示，可以忽略不理。

net.ipv4.ip_conntrack_max = 25000000

net.ipv4.netfilter.ip_conntrack_max=25000000

net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=180

net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait=120

net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait=60

net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait=120

隐藏系统和内核版本号

>/etc/issue

cat /dev/null > /etc/isssue

锁定关键系统文件

chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab

解锁系统文件命令

chattr -i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab   改变文件属性

lsattr 文件名               查看某个文件是否加锁

linux基础优化总结：

1、不用root，添加普通用户，通过sudo授权管理

2、更改默认的远程连接ssh服务端口及禁止root用户远程连接

3、定时自动更新服务器时间

4、配置yum更新源，从国内更新源下载安装rpm包

5、关闭selinux及iptables

6、调整文件描述符的数量，进程及文件的打开都会消耗文件描述符

7、精简开机自启动服务（crond,sshd,network,rsyslog）

8、linux内核参数优化/etc/sysctl.conf,执行sysctl -p生效

9、更改字符集，支持中文，但建议还是用英文字符集，防止乱码问题

10、锁定关键系统文件

11、定时自动清理/var/spool/clientmquene/目录垃圾文件，防止inodes节点被占满(开启sendmail的前提下)

12、清空/etc/issue,去除系统及内核版本登录前的屏幕显示