运维基础

Linux优化

clf 2016年8月1日 no Comments

更改Yum源和添加epel源

默认国外的yum源(软件仓库)比较慢，所以换成国内的。
#1、备份
[root@qls ~]# mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup

#2、下载新的CentOS-Base.repo 到/etc/yum.repos.d/
[root@qls ~]# curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo

#3.添加epel源
[root@qls ~]# curl -o /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo

默认国外的yum源(软件仓库)比较慢，所以换成国内的。

#1、备份

[root@qls ~]# mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup

#2、下载新的CentOS-Base.repo 到/etc/yum.repos.d/

[root@qls ~]# curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo

#3.添加epel源

[root@qls ~]# curl -o /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo

关闭SELinux

	SELinux（Security-Enhanced Linux）是美国国家安全局（NSA）对于强制访问控制的实现，这个功能让系统管理员又爱又恨，这里我们还是把它给关闭了吧，至于安全问题，后面通过其他手段来解决，这也是大多数生产环境的做法，如果非要开启也是可以的。

#临时关闭
[root@qls ~]# setenforce  0

#永久关闭
[root@qls ~]# sed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/selinux/config

#检查结果
[root@qls ~]# grep "disabled" /etc/selinux/config

SELinux（Security-Enhanced Linux）是美国国家安全局（NSA）对于强制访问控制的实现，这个功能让系统管理员又爱又恨，这里我们还是把它给关闭了吧，至于安全问题，后面通过其他手段来解决，这也是大多数生产环境的做法，如果非要开启也是可以的。

#临时关闭

[root@qls ~]# setenforce 0

#永久关闭

[root@qls ~]# sed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/selinux/config

#检查结果

[root@qls ~]# grep "disabled" /etc/selinux/config

关闭防火墙（Firewalld）

	关闭防火墙的目的是为了让初学者学习更方便，将来在学了Firewalld技术后可再统一开启。 在企业环境中，一般只有配置外网IP的linux服务器才需要开启防火墙，但即使是有外网IP，对于高并发高流量的业务服务器仍是不能开的，因为会有较大性能损失，导致网站访问很慢，这种情况下只能在前端加更好的硬件防火墙了。

#临时关闭
[root@qls ~]# systemctl  stop firewalld

#永久关闭
[root@qls ~]# systemctl  disable  firewalld

关闭防火墙的目的是为了让初学者学习更方便，将来在学了Firewalld技术后可再统一开启。在企业环境中，一般只有配置外网IP的linux服务器才需要开启防火墙，但即使是有外网IP，对于高并发高流量的业务服务器仍是不能开的，因为会有较大性能损失，导致网站访问很慢，这种情况下只能在前端加更好的硬件防火墙了。

#临时关闭

[root@qls ~]# systemctl stop firewalld

#永久关闭

[root@qls ~]# systemctl disable firewalld

关闭NetworkManager

在CentOS系统上，目前有NetworkManager和network两种网络管理工具。如果两种都配置会引起冲突，而且NetworkManager在网络断开的时候，会清理路由，如果一些自定义的路由，没有加入到NetworkManager的配置文件中，路由就被清理掉，网络连接后需要自定义添加上去。

network：对网卡的配置

NetworkManager：这个服务由几个部分组成;一个是管理系统网络连接；一个是允许用户管理网络连接的客户端程序，使用它可以更好的管理网络

#临时关闭
[root@qls ~]# systemctl  stop  NetworkManager

#永久关闭
[root@qls ~]# systemctl  disable  NetworkManager

在CentOS系统上，目前有NetworkManager和network两种网络管理工具。如果两种都配置会引起冲突，而且NetworkManager在网络断开的时候，会清理路由，如果一些自定义的路由，没有加入到NetworkManager的配置文件中，路由就被清理掉，网络连接后需要自定义添加上去。

network：对网卡的配置

NetworkManager：这个服务由几个部分组成;一个是管理系统网络连接；一个是允许用户管理网络连接的客户端程序，使用它可以更好的管理网络

#临时关闭

[root@qls ~]# systemctl stop NetworkManager

#永久关闭

[root@qls ~]# systemctl disable NetworkManager

同步系统时间

#给定时任务加上注释
[root@qls ~]# echo '#Timing synchronization time' >>/var/spool/cron/root

#定时任务
[root@qls ~]# echo '*/5 * * * * /usr/sbin/ntpdate ntp1.aliyun.com &>/dev/null' >>/var/spool/cron/root

#检查结果
[root@qls ~]# crontab -l

#给定时任务加上注释

[root@qls ~]# echo '#Timing synchronization time' >>/var/spool/cron/root

#定时任务

[root@qls ~]# echo '*/5 * * * * /usr/sbin/ntpdate ntp1.aliyun.com &>/dev/null' >>/var/spool/cron/root

#检查结果

[root@qls ~]# crontab -l

加大文件描述

#配置文件介绍
<domain> <type>  <item>  <value>

<domain>表示要限制的用户

<type>设定类型

<item>表示可选的资源

<value>表示要限制的值

#加大文件描述符
[root@qls ~]# echo '*               -       nofile          65535 ' >>/etc/security/limits.conf 

#检查结果
[root@qls ~]# tail -1 /etc/security/limits.conf

#配置文件介绍

<domain>表示要限制的用户

<type>设定类型

<item>表示可选的资源

<value>表示要限制的值

#加大文件描述符

[root@qls ~]# echo '* - nofile 65535 ' >>/etc/security/limits.conf

#检查结果

[root@qls ~]# tail -1 /etc/security/limits.conf

别名及环境变量优化

#设置
[root@qls ~]# cat>>/etc/profile.d/color.sh<<'EOF'
alias ll='ls -l --color=auto --time-style=long-iso'
PS1="\[\e[37;40m\][\[\e[32;1m\]\u\[\e[37;40m\]@\h \[\e[36;40m\]\w\[\e[0m\]]\[\e[32;1m\]\\$ \[\e[0m\]"
export HISTTIMEFORMAT='%F-%T '
EOF

#生效
[root@qls ~]# source  /etc/profile

#设置

[root@qls ~]# cat>>/etc/profile.d/color.sh<<'EOF'

alias ll='ls -l --color=auto --time-style=long-iso'

PS1="\[\e[37;40m\][\[\e[32;1m\]\u\[\e[37;40m\]@\h \[\e[36;40m\]\w\[\e[0m\]]\[\e[32;1m\]\\$ \[\e[0m\]"

export HISTTIMEFORMAT='%F-%T '

EOF

#生效

[root@qls ~]# source /etc/profile

内核优化

#设置
[root@qls ~]# cat >>/etc/sysctl.conf<<EOF
net.ipv4.tcp_fin_timeout = 2
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_keepalive_time = 600
net.ipv4.ip_local_port_range = 4000    65000
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.tcp_max_tw_buckets = 36000
net.ipv4.route.gc_timeout = 100
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_synack_retries = 1
net.core.somaxconn = 16384
net.core.netdev_max_backlog = 16384
net.ipv4.tcp_max_orphans = 16384
net.ipv4.ip_forward = 1
EOF

#生效
[root@qls ~]# sysctl  -p

#设置

[root@qls ~]# cat >>/etc/sysctl.conf<<EOF

net.ipv4.tcp_fin_timeout = 2

net.ipv4.tcp_tw_reuse = 1

net.ipv4.tcp_tw_recycle = 1

net.ipv4.tcp_syncookies = 1

net.ipv4.tcp_keepalive_time = 600

net.ipv4.ip_local_port_range = 4000 65000

net.ipv4.tcp_max_syn_backlog = 16384

net.ipv4.tcp_max_tw_buckets = 36000

net.ipv4.route.gc_timeout = 100

net.ipv4.tcp_syn_retries = 1

net.ipv4.tcp_synack_retries = 1

net.core.somaxconn = 16384

net.core.netdev_max_backlog = 16384

net.ipv4.tcp_max_orphans = 16384

net.ipv4.ip_forward = 1

EOF

#生效

[root@qls ~]# sysctl -p

配置SSH远程管理服务

#禁止DNS进行反向解析
[root@qls ~]# sed -i 's/#UseDNS yes/UseDNS no/g'  /etc/ssh/sshd_config

#检查结果
[root@qls ~]# grep 'UseDNS no'  /etc/ssh/sshd_config 

#禁止GSS认证，减少连接时产生的延迟
[root@qls ~]# sed -i 's/GSSAPIAuthentication yes/GSSAPIAuthentication no/g'  /etc/ssh/sshd_config

#检查结果
[root@qls ~]# grep 'GSSAPIAuthentication no'  /etc/ssh/sshd_config

#生效
[root@qls ~]# systemctl    restart   sshd

#禁止DNS进行反向解析

[root@qls ~]# sed -i 's/#UseDNS yes/UseDNS no/g' /etc/ssh/sshd_config

#检查结果

[root@qls ~]# grep 'UseDNS no' /etc/ssh/sshd_config

#禁止GSS认证，减少连接时产生的延迟

[root@qls ~]# sed -i 's/GSSAPIAuthentication yes/GSSAPIAuthentication no/g' /etc/ssh/sshd_config

#检查结果

[root@qls ~]# grep 'GSSAPIAuthentication no' /etc/ssh/sshd_config

#生效

[root@qls ~]# systemctl restart sshd

修改主机名和IP脚本

[root@qls ~]# cat>/root/hostname_ip.sh<<'EOF'
#!/usr/bin/sh
source /etc/init.d/functions
if [ $# -ne 2 ];then
  echo "/bin/sh $0 New hostname  New IP address"
  exit 1
fi
hostnamectl  set-hostname   $1
if [ $? -eq 0 ];then
	action "hostname update Successfull." /bin/true
else
	action "hostname update Failed." /bin/false
fi
sed -ri  "/^IPA/s#(.*\.).*#\1$2#g"  /etc/sysconfig/network-scripts/ifcfg-eth[01]
if [ $? -eq 0 ];then
	action "IP update Successfull." /bin/true
	systemctl  restart  network
else
	action "IP update Failed！" /bin/false
fi
EOF

[root@qls ~]# cat>/root/hostname_ip.sh<<'EOF'

#!/usr/bin/sh

source /etc/init.d/functions

if [ $# -ne 2 ];then

echo "/bin/sh $0 New hostname New IP address"

exit 1

hostnamectl set-hostname $1

if [ $? -eq 0 ];then

action "hostname update Successfull." /bin/true

else

action "hostname update Failed." /bin/false

sed -ri "/^IPA/s#(.*\.).*#\1$2#g" /etc/sysconfig/network-scripts/ifcfg-eth[01]

if [ $? -eq 0 ];then

action "IP update Successfull." /bin/true

systemctl restart network

else

action "IP update Failed！" /bin/false

EOF

安装常用软件

[root@qls ~]# yum -y install tree nmap sysstat lrzsz  telnet bash-completion bash-completion-extras vim  lsof  net-tools rsync ntpdate nfs-utils

1	[root@qls ~]# yum -y install tree nmap sysstat lrzsz telnet bash-completion bash-completion-extras vim lsof net-tools rsync ntpdate nfs-utils

Linux基础优化及安全小结

1）禁止root用户远程连接，不用root登录管理系统，而以普通用户登录通过sudo授权管理。

2）更改默认的远程连接SSH服务端口，甚至要更改SSH服务只监听内网IP。

3）定时自动更新服务器的时间，使其和互联网时间同步。

4）配置yum更新源，从国内更新源下载安装软件包。

5）关闭SELinux及Firewalld（在工作场景中，如果有外部IP一般要打开Firewalld，高并发高流量的服务器可能无法开启）。

6）调整文件描述符的数量，进程及文件的打开都会消耗文件描述符数量。

7）定时自动清理邮件临时目录垃圾文件，防止磁盘的inodes数被小文件占满。

8）Linux内核参数优化。

9）更改系统字符集为“zh_CN.UTF-8”，使其支持中文，防止出现乱码问题。

10）锁定系统主要文件，处理后把chattr、lsattr改名，转移走，这样就安全多了。

11）清空/etc/issue、/etc/issue.net，去除系统及内核版本登录前的屏幕显示。

12）清除多余的系统虚拟用户账号。

13）为grub引导菜单加密码。

14）禁止主机被ping。echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

15）打补丁并升级有已知漏洞的软件。

1）禁止root用户远程连接，不用root登录管理系统，而以普通用户登录通过sudo授权管理。

2）更改默认的远程连接SSH服务端口，甚至要更改SSH服务只监听内网IP。

3）定时自动更新服务器的时间，使其和互联网时间同步。

4）配置yum更新源，从国内更新源下载安装软件包。

5）关闭SELinux及Firewalld（在工作场景中，如果有外部IP一般要打开Firewalld，高并发高流量的服务器可能无法开启）。

6）调整文件描述符的数量，进程及文件的打开都会消耗文件描述符数量。

7）定时自动清理邮件临时目录垃圾文件，防止磁盘的inodes数被小文件占满。

8）Linux内核参数优化。

9）更改系统字符集为“zh_CN.UTF-8”，使其支持中文，防止出现乱码问题。

10）锁定系统主要文件，处理后把chattr、lsattr改名，转移走，这样就安全多了。

11）清空/etc/issue、/etc/issue.net，去除系统及内核版本登录前的屏幕显示。

12）清除多余的系统虚拟用户账号。

13）为grub引导菜单加密码。

14）禁止主机被ping。echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

15）打补丁并升级有已知漏洞的软件。

一	二	三	四	五	六	日
« 3月
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30	31

技术笔记分享

Linux优化

更改Yum源和添加epel源

关闭SELinux

关闭防火墙（Firewalld）

关闭NetworkManager

同步系统时间

加大文件描述

别名及环境变量优化

内核优化

配置SSH远程管理服务

修改主机名和IP脚本

安装常用软件

Linux基础优化及安全小结

发表评论取消回复

You Are Here

Linux优化

更改Yum源和添加epel源

关闭SELinux

关闭防火墙（Firewalld）

关闭NetworkManager

同步系统时间

加大文件描述

别名及环境变量优化

内核优化

配置SSH远程管理服务

修改主机名和IP脚本

安装常用软件

Linux基础优化及安全小结

发表评论 取消回复

发表评论取消回复