linux服务日常优化

linux 服务装机前的优化工作。

  1. echo “>/etc/udev/rules.d/70-persistent-net.rules” >/etc/rc.local 开机自动执行
    2.关闭SELINUX sed -i ‘s#SELINUX=enforcing#SELINUX=disabled#g’ /etc/selinux/config
    getenforce (查看SELINUX) setenforce 0(允许) setenforce 1(拒绝)
    3.chkconfig | egrep -v “crond|sshd|network|rsyslog|sysstat” | awk ‘{print “chkconfig”,$1,”off”}’ | bash(精简开机自启动服务)
    4.清理多余用户,添加用户,并添加sudo 授权
    useradd zhou
    cp /etc/sudoers /etc/sudoers.ori
    echo “zhou ALL=(ALL) NOPASSWD:ALL” >>/etc/sudoers
    tail -1 /etc/sudoers
    visudo -c(检查语法是否正确)
    5.中文字符集
    cp /etc/sysconfig/i18n /etc/sysconfig/i18n.ori
    echo ‘LANG=“zh_CN.UTF.8”’ >/etc/sysconfig/i18n
    source /etc/sysconfig/i18n(使上文生效)。
    echo $LANG
  2. 时间同步
    echo “#time sync by zhou at 2018-7-24” >>var/spool/cron/root
    echo “/5 * /usr/sbin/ntpdate time.nist.gov >/dev/null 2>&1” >>var/spool/cron/root
    crontab -l (查看)(做好的话需要配置时间同步服务器ntp)
  3. 命令行安全
    echo “export TMOUT=300” >>/etc/profile
    echo “export HISTSIZE=5” >>/etc/profile
    echo “HISTFILESIZE=5” >>/etc/profile
    tail -3 /etc/profile
    source /etc/profile
  4. 加大文件描述符(内核利用文件描述符来访问文件。打开现存文件或新建文件时,内核会返回一个文件描述符。读写文件也需要使用文件描述符来指定待读写的文件)
    echo “* - nofile 65535” >>/etc/security/limits.conf
    tail -1 /etc/security/limits.conf(高并发环境下需要加大文件描述符)
  5. 内核优化
    优化方法是 cat >>vi /etc/sysctl.conf<<EOF
    net.ipv4.tcp_fin_timeout = 2
    net.ipv4.tcp_tw_reuse = 1
    net.ipv4.tcp_tw_recycle = 1
    net.ipv4.tcp_syncookies = 1
    net.ipv4.tcp_keepalive_time = 600
    net.ipv4.ip_local_port_range = 4000 65000
    net.ipv4.tcp_max_syn_backlog = 16384
    net.ipv4.tcp_max_tw_buckets = 36000
    net.ipv4.route.gc_timeout = 100
    net.ipv4.tcp_syn_retries = 1
    net.ipv4.tcp_synack_retries = 1
    net.core.somaxconn = 16384
    net.core.netdev_max_backlog = 16384
    net.ipv4.tcp_max_orphans = 16384
    #以下参数是对防火墙的优化,防火墙不开会提示,可以忽略不理
    net.nf_conntrack_max = 25000000
    net.netfilter.nf_conntrack_max = 25000000
    net.netfilter.nf_conntrack_tcp_timeout_established = 180
    net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
    net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
    net.netfilter.nf_conntrack_tcp_timeout_fine_wait = 120
    EOF
    10.更改默认的远程链接ssh服务端口,禁止root用户远程登陆,甚至要更改SSH
    服务只监听内网ip 【vim /etc/ssh/sshd.conf(服务端配置文件),/et/ssh/ssh.conf(客户端配置文件)】
    11.配置yum更新源,从国内更新源下载安装软件包。【vim /etc/yum.repos.d/CentOS-Base.repos.d(修改前都做好备份) 只修改其中{baseurl} {addons}{extras}{centosplus}这几项中的baseurl和gpgkey为相应源地址即可。修改完成后,清空yum缓存,并重建yum缓存(yum clean all &&yum clean &&yum cl)】
    【国内更新源1.上海交大 http://ftp.sjtu.edu.cn/centos
  6. 中国科技大学 http://centos.ustc.edu.cn
  7. sohu的开源镜像服务器 http://mirrors.sohu.com
  8. 网易的开源服务器镜像:http://mirrors.163.com/centos

    12.定时自动清理邮件临时目录垃圾文件,防止磁盘inodes数被小文件占满(邮件临时存放地点 /var/spool/postfix/maildrop)
    13锁定关键系统文件如/etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab
    14 >/etc/issue(隐藏系统版本信息)
    15禁止主机被ping{iptables -A INPUT -p icmp –icmp-type 8 -j DROP
    iptables -A INPUT -p icmp –icmp-type 0 -j ACCEPT
    iptables -A INPUT -p icmp –icmp-type 3 -j ACCEPT
    iptables -A INPUT -p icmp -j DROP}
    16打补丁升级有已知漏洞的软件

原文地址:http://blog.51cto.com/13588698/2151407

时间: 2024-12-14 08:41:49

linux服务日常优化的相关文章

Linux系统 SSHD服务安全优化方案

  # 1. 修改默认端口 #Port 22 # 2. 修改监听协议,只监听某个或某些网络协议 #AddressFamily any AddressFamily inet # 3. 修改ssh只监听内网IP地址(IPV4和IPV6) #ListenAddress 0.0.0.0 #监听IPV4所有网络地址 ListenAddress 192.168.171.0 # 4. 设置密钥生命周期,定时更新密钥,并将密钥设置尽可能长 # --->(需设置Protocol 1) #KeyRegenerati

linux服务优化

服务控制命令格式 Service  服务名称 控制类型 服务控制命令: Start启动 Stop停止 Restart重启 Reload重载 Status查看状态 优化开机自动加载的服务   Linux系统每次开机后都会进入默认运行级别,并运行该级别中默认设为启动的各种系统服务.如要禁止某些系统服务自动运行,可以使用ntsysv或者chkconfig工具进行优化. ntsysv工具   [*]表示启动 []表示关闭 如果想要知道所选定服务的说明信息,按F1可以获取帮助. chkconfig工具 c

Linux中Sshd服务配置文件优化版本(/etc/ssh/sshd_config)

Linux中Sshd服务配置文件优化版本(/etc/ssh/sshd_config) # $OpenBSD: sshd_config,v 1.93 2014/01/10 05:59:19 djm Exp $ # If you want to change the port on a SELinux system, you have to tell # SELinux about this change. # semanage port -a -t ssh_port_t -p tcp #PORTN

第一阶段考试:实战Linux系统日常管理

1. [项目名称] 实战Linux系统日常管理 [项目说明] 1.安装部署rhel系统,组建RAID磁盘阵列. 2.安装nginx 通过脚本编写 nginx服务服务启动脚本 [项目考核技能点] 1.安装部署rhel系统,网络设置. 2.shell脚本的基本用法 3. nginx的安装 4.整个方案中要包括:系统的安装,磁盘分区格式化,shell脚本的应用等相关内容. 项目环境可以参考如下: 1.安装两台rhel主机 对应主机名与IP :xuegod63.cn 192.168.1.63 xuego

Linux之nginx优化与防盗链

Linux之nginx优化与防盗链 Nginx是俄罗斯人编写的十分轻量级的HTTP服务器,Nginx,它的发音为"engine X",是一个高性能的HTTP和反向代理服务器,同时也是一个IMAP/POP3/SMTP 代理服务器.Nginx是由俄罗斯人 Igor Sysoev为俄罗斯访问量第二的 Rambler.ru站点开发. Nginx以事件驱动(epoll)的方式编写,所以有非常好的性能,同时也是一个非常高效的反向代理.负载平衡.但是Nginx并不支持cgi方式运行,原因是可以减少因

linux系统基础优化

1.Linux系统基础优化 一.关闭SELinux功能 Selinux是什么? 安全工具,控制太严格,生产环境不用它,使用其他安全手段. 简介: SELinux带给Linux的主要价值是:提供了一个灵活的,可配置的MAC机制. Security-Enhanced Linux (SELinux)由以下两部分组成: 1) Kernel SELinux模块(/kernel/security/selinux) 2) 用户态工具 SELinux是一个安全体系结构,它通过LSM(Linux Security

linux 内核参数优化

linux 内核参数优化 Sysctl命令及linux内核参数调整 一.Sysctl命令用来配置与显示在/proc/sys目录中的内核参数.如果想使参数长期保存,可以通过编辑/etc/sysctl.conf文件来实现. 命令格式: sysctl [-n] [-e] -w variable=value sysctl [-n] [-e] -p (default /etc/sysctl.conf) sysctl [-n] [-e] –a 常用参数的意义: -w  临时改变某个指定参数的值,如 # sy

Linux系统日常管理2 tcpdump,iptables

Linux系统日常管理2 tcpdump,iptables  Linux抓包工具 tcpdump 系统自带抓包工具 如果没有安装,需要安装之后才可以使用 安装: [[email protected] ~]# yum install -y tcpdump tcpdump -nn 不转换顿口的名字,直接显示端口号 tcpdump -nn -i eth0 tcp and host 192.168.0.1 and port 80 抓取192.168.0.1ip地址的80端口的tcp包,并且不进行端口名字

Linux之apache优化

Linux之apache优化 一. Apache的优化配置: apache所运行的硬件环境都是对性能影响最大的因素,即使不能对硬件进行升级,也最好给apache一个单独的主机以免受到其他应用的干扰.各个硬件指标中,对性能影响最大的是内存,对于静态内容(图片.javascript文件.css文件等),它决定了apache可以缓存多少内容,它缓存的内容越多,在硬盘上读取内容的机会就越少,大内存可以极大提高静态站点的速度:对动态高负载站点来说,每个请求保存的时间更多一些,apache的mpm模块会为每