一、在系统优化之前先简单的说一下优化的原则,要做到最小化。
1、根据需求安装系统最小化;
2、开启程序最小化;
3、操作最小化;
4、登录最小化;
5、权限最小化,就是使用普通用户登录。
6、配置参数合理化,不要最大化。
二、简单优化项:
1、开机精简启动,一般常用的服务sshd远程连接;syelog 记录系统日志;network 网卡
服务;crond 定时任务;。
chkconfig --list | grep 3:on | awk ‘{print $1}‘
如果忘记chkconfig,看帮助文档
chkconfig [--add][--del][--list][系统服务]或
chkconfig [--level<等级代号>][系统服务][on/off/reset]
例:chkconfig --level 3 nfslock off
这里使用for语句把不需要的服务关闭;
for oldboy in `chkconfig --list|grep "3:on"|awk ‘{print $1}‘|grep -vE "crond|network|sshd|rsyslog"`;do chkconfig $oldboy off;done
查看:chkconfig --list | grep 3:on
2、时间同步,这个很重要的:
echo ‘*/5 * * * * /usr/sbin/ntpdate time.nist.gov >/dev/null 2>&1‘ >>/var/spool/cron/root
#最好写上备注;使用全路径;追加到空;
查看结果:crontab -l
3、设置文件打开最大数,这个适当调整增加文件打开数量。可以加快服务性能:
文件路径:/etc/security/limits.conf
查看:ulimit -a
设置:ulimit -n 65535
4、修改yum源,根据自己喜好,自由选择:
163:http://mirrors.163.com/.help/CentOS6-Base-163.repo
阿里云:http://mirrors.aliyun.com/repo/Centos-6.repo
路径:/etc/yum.repos.d
wget /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo
5、锁定密码相关文件:
chattr +i 系统不允许对这个文件进行任何的修改
chattr +i /etc/passwd /etc/group /etc/shadow /etc/gshadow /etc/inittab
查看:lsattr + 文件名
6、修改selinuxx
简介:SELinux (Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的
实现, 是 2.6 版本的 Linux 内核中提供的强制访问控制(MAC)系统。SELinux 是功能最
全面,而且测试最充分的。SELinux 在类型强制服务器中合并了多级安全性或一种可选的多 类 策略。
路径:/etc/selinux/config
— disabled: :不启用SELINUX功能; 中:无效
— permissive :SELINUX有效,当你违反策略时会让你继续操作,但会记录违反记录的内容。 相当于Debug模式。 中:宽容
— enforcing :违反策略,你就无法继续操作下去。 中:执行
— targeted 中:有针对性
修改配置项:7 SELINUX=disabled 原:7 SELINUX=enforcing
命令修改:sed -i ‘s/SELINUX=enforcing/SELINUX=disabled/g‘ /etc/selinux/config
查看:cat /etc/selinux/config
生效:需重启; getenforce查看selinux
setenforce 1 — SELinux以强制(enforcing)模式运行
setenforce 0 — SELinux以警告(permissive)模式运行
如果要彻底禁用SELinux 需要在/etc/sysconfig/selinux中设置参数selinux=0
7、提升用户权限visudo
路径:visudo = /etc/sudoers
配置文件:98 root ALL=(ALL) ALL
范例: kong ALL=(ALL) NOPASSWD :ALL,/usr/sbin/useradd
#多个命令用,号隔开,特别注意的是为用户提权时用户已创建
显示出自己(执行 sudo 的使用者)的权限 :sudo -l
普通用户命令执行: sudo 执行命令
8、平时中文习惯的修改下语言:
sed -i ‘s#LANG="en_US.UTF-8"#LANG="zh_CN.gb2312"#g‘ /etc/sysconfig/i18n
执行文件 ,且生效source /etc/sysonfig/i18n
9、内核优化:
路径:/etc/sysctl.conf
配置文件添加: net.ipv4.tcp_fin_timeout = 2
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_keepalive_time = 600
net.ipv4.ip_local_port_range = 4000 65000
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.tcp_max_tw_buckets = 36000
net.ipv4.route.gc_timeout = 100
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_synack_retries = 1
net.core.somaxconn = 16384
net.core.netdev_max_backlog = 16384
net.ipv4.tcp_max_orphans = 16384
sysctl -p 载入sysctl配置文件 默认/etc/sysct1.conf
10、关闭iptables。
/etc/init.d/iptables stop
后续慢慢补充。