centos7.2系统基本优化

系统是7.2-1511,安装完成后的基本优化。

1 修改网卡为eth0

2 更新系统

3 给/etc/rc.local添加执行权限

4 添加用户hequan

5 禁用selinux

6 关闭防火墙安装iptables

7 修改主机名

8 查看并管理服务

9 设置字符集

10 yum

11 配置sshd

12 加大打开文件数的限制(open files)

13 优化内核

14 时间设置

1 修改网卡为eth0

cd  /etc/sysconfig/network-scripts/

vim ifcfg-eno16777729
TYPE=Ethernet
BOOTPROTO=static
IPADDR=192.168.1.201
NETMASK=255.255.255.0
GATEWAY=192.168.1.1
DEFROUTE=yes
PEERDNS=yes
PEERROUTES=yes
IPV4_FAILURE_FATAL=no
NAME=eth0
UUID=efd17b9a-a5ab-4c94-be62-d2c32eb48a7e
DEVICE=eth0
ONBOOT=yes
DNS1=202.106.0.20
mv  ifcfg-eno16777729  ifcfg-eth0
vi  /etc/sysconfig/grub
GRUB_TIMEOUT=5
GRUB_DISTRIBUTOR="$(sed ‘s, release .*$,,g‘ /etc/system-release)"
GRUB_DEFAULT=saved
GRUB_DISABLE_SUBMENU=true
GRUB_TERMINAL_OUTPUT="console"
GRUB_CMDLINE_LINUX="net.ifnames=0  biosdevname=0 rhgb quiet"      #添加 net.ifnames=0 biosdevname=0
GRUB_DISABLE_RECOVERY="true"

grub2-mkconfig -o /boot/grub2/grub.cfg      #生成启动菜单
Generating grub configuration file ...
Found linux image: /boot/vmlinuz-3.10.0-327.el7.x86_64
Found initrd image: /boot/initramfs-3.10.0-327.el7.x86_64.img
Found linux image: /boot/vmlinuz-0-rescue-e8675ae79abd41309dac42388f8d9116
Found initrd image: /boot/initramfs-0-rescue-e8675ae79abd41309dac42388f8d9116.img
reboot
ip addr  或者
yum install net-tools #默认centos7不支持ifconfig 需要看装net-tools包
ifconfig eth0  #在次查看网卡信息

2 更新系统

yum  update -y

3 给/etc/rc.local添加执行权限

[[email protected] ~]# ll /etc/rc.local
lrwxrwxrwx. 1 root root 13 Feb  6 07:28 /etc/rc.local -> rc.d/rc.local
[[email protected] ~]# ll /etc/rc.d/rc.local
-rw-r--r--. 1 root root 473 May 12  2016 /etc/rc.d/rc.local
[[email protected] ~]# chmod +x /etc/rc.d/rc.local

4 添加用户hequan

[[email protected] ~]# useradd hequan
[[email protected] ~]# echo 123456 | passwd  --stdin  hequan
Changing password for user hequan.
passwd: all authentication tokens updated successfully.
[[email protected] ~]# usermod -G wheel  hequan
[[email protected] ~]# sed -i ‘6s/^#//g‘  /etc/pam.d/su
[[email protected] ~]# grep wheel  /etc/pam.d/su                 #只有WHEEL组的可以su
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth           sufficient      pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
auth            required        pam_wheel.so use_uid

扩展:为用户hequan添加sudo,除关机外的其他所有操作:

[[email protected] ~]# visudo
Cmnd_Alias SHUTDOWN = /sbin/halt, /sbin/shutdown, /sbin/poweroff, /sbin/reboot, /sbin/init
hequan         ALL=(ALL) ALL,!SHUTDOWN
%wheel  ALL=(ALL)       ALL,!SHUTDOWN    #修改
Defaults logfile=/var/log/sudo.log

5 禁用selinux

[[email protected] ~]# grep -i  ^selinux   /etc/selinux/config
SELINUX=enforcing
SELINUXTYPE=targeted
[[email protected] ~]# sed -i  ‘/^SELINUX/s/enforcing/disabled/g‘ /etc/selinux/config
[[email protected] ~]# grep -i  ^selinux   /etc/selinux/config
SELINUX=disabled
SELINUXTYPE=targeted
[[email protected] ~]# getenforce
Enforcing
[[email protected] ~]# reboot

6 关闭防火墙安装iptables

systemctl   stop firwalld     
systemctl   disable  firwalld 
yum install iptables-services   -y #安装

7修改主机名

[[email protected] ~]# hostnamectl   set-hostname hequan.com
[[email protected] ~]# hostname
hequan.com

8 查看并管理服务

[[email protected] ~]# systemctl  -t  service
[[email protected] ~]# systemctl   list-unit-files  -t service

9 设置字符集

[[email protected] ~]# echo $LANG
zh_CN.UTF-8
[[email protected] ~]# vi /etc/locale.conf
LANG="en_US.UTF-8"
[[email protected] ~]# source  /etc/locale.conf

10 yum

yum install gcc cmake bzip2-devel curl-devel db4-devel libjpeg-devel libpng-devel freetype-devel libXpm-devel gmp-devel libc-client-devel openldap-devel unixODBC-devel postgresql-devel sqlite-devel aspell-devel net-snmp-devel libxslt-devel libxml2-devel pcre-devel mysql-devel pspell-devel libmemcached libmemcached-devel zlib-devel  vim wget   lrzsz  tree
mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup
cd  /etc/yum.repos.d/
wget  http://mirrors.163.com/.help/CentOS7-Base-163.repo
yum clean all
yum makecache

其他

yum -y install yum-plugin-priorities   ##安装优先级插件
sed -i -e "s/\]$/\]\npriority=1/g" /etc/yum.repos.d/CentOS-Base.repo  ##设置基本yum源的优先级为1
yum -y install epel-release   ##安装epel源
sed -i -e "s/\]$/\]\npriority=5/g" /etc/yum.repos.d/epel.repo ##设置优先级为5
sed -i -e "s/enabled=1/enabled=0/g" /etc/yum.repos.d/epel.repo ##禁用epel源
yum -y install http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.3-1.el7.rf.x86_64.rpm ##安装rpmforge的源
sed -i -e "s/\]$/\]\npriority=10/g" /etc/yum.repos.d/rpmforge.repo  ##设置优先级为10
sed -i -e "s/enabled = 1/enabled = 0/g" /etc/yum.repos.d/rpmforge.repo ##禁用yum源
使用方法:yum --enablerepo=rpmforge install [Package]

11 配置sshd

sed -i -e ‘49s/^#//g‘ /etc/ssh/sshd_config            ##启用49行配置
sed -i -e ‘49s/yes/no/g‘ /etc/ssh/sshd_config         ##禁止root使用ssh登录
sed -i -e ‘129s/#/ /g‘ /etc/ssh/sshd_config           ##禁止UseDNS 
sed -i -e ‘129s/yes$/no/g‘ /etc/ssh/sshd_config
sed -i ‘/^GSS/s/yes/no/g‘ /etc/ssh/sshd_config        ##禁用GSSAPI认证加快登录速度
systemctl restart sshd                                ##重新启动服务
systemctl enable sshd                                 ##设置为开机启动
systemctl status sshd                                 ##查看状态
● sshd.service - OpenSSH server daemon
   Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled; vendor preset: enabled)
   Active: active (running) since 一 2016-06-06 00:16:26 CST; 1min 3s ago

12 加大打开文件数的限制(open files)

ulimit -n
ulimit -a
vi /etc/security/limits.conf
最后添加
* soft nofile 1024000
* hard nofile 1024000
hive   - nofile 1024000
hive   - nproc  1024000
用户进程限制
[[email protected] ~]# sed -i ‘s#4096#65535#g‘   /etc/security/limits.d/20-nproc.conf  #加大普通用户限制  也可以改为unlimited
[[email protected] ~]#  egrep -v "^$|^#" /etc/security/limits.d/20-nproc.conf        
*          soft    nproc     65535
root       soft    nproc     unlimited

reboot

13 优化内核

cat /etc/sysctl.conf
#CTCDN系统优化参数
#关闭ipv6
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
#决定检查过期多久邻居条目
net.ipv4.neigh.default.gc_stale_time=120
#使用arp_announce / arp_ignore解决ARP映射问题
net.ipv4.conf.default.arp_announce = 2
net.ipv4.conf.all.arp_announce=2
net.ipv4.conf.lo.arp_announce=2
# 避免放大攻击
net.ipv4.icmp_echo_ignore_broadcasts = 1
# 开启恶意icmp错误消息保护
net.ipv4.icmp_ignore_bogus_error_responses = 1
#关闭路由转发
net.ipv4.ip_forward = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
#开启反向路径过滤
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
#处理无源路由的包
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
#关闭sysrq功能
kernel.sysrq = 0
#core文件名中添加pid作为扩展名
kernel.core_uses_pid = 1
# 开启SYN洪水攻击保护
net.ipv4.tcp_syncookies = 1
#修改消息队列长度
kernel.msgmnb = 65536
kernel.msgmax = 65536
#设置最大内存共享段大小bytes
kernel.shmmax = 68719476736
kernel.shmall = 4294967296
#timewait的数量,默认180000
net.ipv4.tcp_max_tw_buckets = 6000
net.ipv4.tcp_sack = 1
net.ipv4.tcp_window_scaling = 1
net.ipv4.tcp_rmem = 4096        87380   4194304
net.ipv4.tcp_wmem = 4096        16384   4194304
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
#每个网络接口接收数据包的速率比内核处理这些包的速率快时,允许送到队列的数据包的最大数目
net.core.netdev_max_backlog = 262144
#限制仅仅是为了防止简单的DoS 攻击
net.ipv4.tcp_max_orphans = 3276800
#未收到客户端确认信息的连接请求的最大值
net.ipv4.tcp_max_syn_backlog = 262144
net.ipv4.tcp_timestamps = 0
#内核放弃建立连接之前发送SYNACK 包的数量
net.ipv4.tcp_synack_retries = 1
#内核放弃建立连接之前发送SYN 包的数量
net.ipv4.tcp_syn_retries = 1
#启用timewait 快速回收
net.ipv4.tcp_tw_recycle = 1
#开启重用。允许将TIME-WAIT sockets 重新用于新的TCP 连接
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_mem = 94500000 915000000 927000000
net.ipv4.tcp_fin_timeout = 1
#当keepalive 起用的时候,TCP 发送keepalive 消息的频度。缺省是2 小时
net.ipv4.tcp_keepalive_time = 1800
net.ipv4.tcp_keepalive_probes = 3
net.ipv4.tcp_keepalive_intvl = 15
#允许系统打开的端口范围
net.ipv4.ip_local_port_range = 1024    65000
#修改防火墙表大小,默认65536
net.netfilter.nf_conntrack_max=655350
net.netfilter.nf_conntrack_tcp_timeout_established=1200
# 确保无人能修改路由表
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.secure_redirects = 0
本文出自 “兰芷” 博客,请务必保留此出处http://7826443.blog.51cto.com/7816443/1775248
sysctl -p  #生效

14 时间设置

yum install chrony
vi /etc/chrony.conf
1 server 0.centos.pool.ntp.org
2 server 3.europe.pool.ntp.org
systemctl enable chronyd.service
systemctl start chronyd.service
timedatectl set-timezone Asia/Shanghai
timedatectl set-time "2015-01-21 11:50:00"(可以只修改其中一个)修改日期时间
timedatectl  查看时间状态
chronyc sources -v  查看时间同步源
chronyc sourcestats -v
时间: 2024-10-12 23:31:06

centos7.2系统基本优化的相关文章

Linux 系统基础优化和常用命令

目录 Linux 系统基础优化和常用命令 软连接 tar解压命令 gzip命令 netstart命令 ps命令 kill命令 killall命令 SELinux功能 iptables防火墙 Linux中文显示设置(防止中文乱码) df 命令 tree命令 设置主机名 DNS 查看Linux的dns, 唯一配置文件 本地强制dns解析文件 /etc/hosts nslookup命令 计划任务crond服务 软件包管理 windows程序 macos程序 RPM软件包管理器 实例 rpm安装软件 r

Linux:系统安全相关优化,(firewalld、iptables、selinux)

系统安全相关优化(将一些安全服务进行关闭) 1. 防火墙服务程序 centos6 查看防护墙服务状态 /etc/init.d/iptables status 临时关闭防火墙服务 /etc/init.d/iptables stop /etc/init.d/iptables status 永久关闭防火墙服务 chkconfig iptables off centos7 查看防火墙服务状态 systemctl status firewalld 临时关闭防火墙服务 systemctl stop fire

win10下安装centos7双系统

国庆最后一天了,闲来无事装个双系统,用虚拟机的linux总有些不方便. window下安装linux双系统有两中方法: 1.U盘安装 (我采用的方法,后面详述) 2.EasyBCD工具安装 (使用EasyBCD完美实现Windows7与Linux双系统) 使用U盘win10安装centos7双系统,网上的文章有很多,不一一列举,然而这并不能让我少走弯路,不知是历史遗留原因,还是系统自身原因,原本很简单的东西,愣是让网友们说的很复杂. 这里面有个最大的风险点:linux覆盖了window系统.控制

Entity Framework 数据并发访问错误原因分析与系统架构优化

本文主要记录近两天针对项目发生的数据访问问题的分析研究过程与系统架构优化,我喜欢说通俗的白话,高手轻拍 1. 发现问题 系统新模块上线后,使用频率较高,故在实际使用和后期的问题重现测试中,产生了一下系列的数据访问错误 错误是比较常见的错误 2. 分析问题 系统的架构为前端.业务层与数据层三层架构,采用Entity Framework 3.5作为数据处理技术,采用shared context per request模式,参照的是codeplex上的一个示例.示例地址(此文通俗易懂,代码结构也很清晰

58沈剑:秒杀系统架构优化思路

有个兄弟分享秒杀系统的优化,其观点有些赞同,大部分观点却并不同意,结合自己的经验,谈谈自己的一些看法. 一.为什么难 秒杀系统难做的原因:库存只有一份,所有人会在集中的时间读和写这些数据. 例如小米手机每周二的秒杀,可能手机只有1万部,但瞬时进入的流量可能是几百几千万. 又例如12306抢票,亦与秒杀类似,瞬时流量更甚. 二.常见架构 流量到了亿级别,常见站点架构如上: 1)浏览器端,最上层,会执行到一些JS代码 2)站点层,这一层会访问后端数据,拼html页面返回给浏览器 3)服务层,向上游屏

centos6.5和centos7修改系统字符集

centos6.5和centos7修改系统默认字符集的方法不一样了,但是临时设置的都是一样的. 查看系统支持的字符集 [[email protected] ~]# locale -a centos6.5修改系统字符集 临时生效: [[email protected] mysqldata]# LANG="zh_CN.utf8" [[email protected] mysqldata]# echo $LANG zh_CN.utf8 永久生效: # vim /etc/sysconfig/i

linux系统基础优化

1.Linux系统基础优化 一.关闭SELinux功能 Selinux是什么? 安全工具,控制太严格,生产环境不用它,使用其他安全手段. 简介: SELinux带给Linux的主要价值是:提供了一个灵活的,可配置的MAC机制. Security-Enhanced Linux (SELinux)由以下两部分组成: 1) Kernel SELinux模块(/kernel/security/selinux) 2) 用户态工具 SELinux是一个安全体系结构,它通过LSM(Linux Security

linux小白-基础篇-系统简单优化

作为一个刚刚接触Linux的小白,通过一段时间的学习,将我自己的部分笔记整理后拿出来,请求大家指点:因为是"0"基础学起很多地方了解的都不够深入,希望各位前辈能够指点一下:予人玫瑰,手留余香,谢谢! 因为条件有限环境是用VM搭建起来的,下文主要是根据"老男孩教育视频"中的内容整理出来的系统简单优化,希望各位前辈看过以后可以给出建议: 已学习进步为目的,不喜勿喷!谢谢! 系统简单优化    命令 一.关闭selinux                         

Linux服务器企业集群架构部署搭建(一)----环境配置要求与系统基础优化

命运是大海,当你能够畅游时,你就要纵情游向你的所爱,因为你不知道狂流什么会到来,卷走一切希望与梦想. 本文作者:燁未央_Estelle版权声明:测试学习,不足之处,欢迎指正.允许转载,转载时请务必以超链接形式标明文章原始出处.作者信息和本声明 第一章 集群架构搭建部署目标1.1 本次架构部署配置概况提示,本次集群架构所使用的服务器均为VM虚拟机进行模拟搭建测试及学习. ①两台linux服务器作为负载均衡服务器(LVS-01/LVS-02),基本模式:LVS-DR+keepalived.负责分发所