linux系統優化

前面我們說了下Windows系統的優化，今天我接着給大家說說Linux系統的優化，具體如下;

一：Linux系統的更新

今天我們說說yum系統，我們知道linux系統自帶的工具up2date可以用來更新，卻要用yum呢。其實大家知道，up2date 慢且經常失去響應；當機的情況。是以我們還是試一試yum來進行更新下載下傳。yum是yellowdog updater modified 的縮寫。yellowdog是一個Linux 的distributionRH 将這種更新技術利用到自己的distribution 形成了現在的yum。

我來說說yum系統的選項與參數

選項：       -y                                               自動回答yes

                --installroot=/路徑                       指定安裝路徑

參數：    yum install 包名                          指定安裝包

              yum update 包名                         更新包

              yum –y update                           更新系統所有的包

              yum search 包名                         查詢這個包依賴的所有包

              yum remove 包名                        删除某個包

              yum clean                                  清楚已安裝過下載下傳包

工具集的安裝；

                    yum grouplist                                    查詢系統工具集

                 yum groupinstall  “工具集名”               安裝工具集

                 yum groupinfo     “工具集名”               查詢工具集中有哪些包

二：禁用Linux系統不必要的服務

我們先檢視一下自啟動狀态；chkconfig –list

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/19/539796_12454309291ZHj.jpg"></a>

查詢結果，

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/19/539796_12454309370RAF.jpg"></a>

接下來就可以禁止不必要的服務了。。。

１》chkconfig –level 2345 伺服器守護程序名 off （rpm包安裝的，源碼包安裝的不支援）

那麼有人問了2345是？呵呵，這裡就給簡單串講一下linux系統中的雲新級别

0——————停機

1——————單使用者模式，用于root使用者對系統進行維護

2——————多使用者模式，此模式下不能使用NFS

3——————完全多使用者模式，主機作為伺服器使用時通常在此運作級别

4——————未配置設定使用

5——————圖形登入的多使用者模式，使用者在該模式下可進行圖形界面登入

6——————重新啟動

2》在指令行中鍵入“setup”在system services中進行設定

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/19/539796_1245430943KWBh.jpg"></a>

進去看看，具體的服務清單

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/19/539796_1245430947Rz2s.jpg"></a>

檢視也可以用netstat –an

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/19/539796_12454309516jy7.jpg"></a>

做了更改之後記得重新啟動機器。下面是我淘的一些具體服務講解，給大家列舉出來～～

服務清單（按字母順序排列）

服務名

必需（是/否）

用途描述

注解

acon

否

語言支援

特别支援左手書寫語言:阿拉伯語,波斯語和希伯萊語

acpi

電源管理

手提電腦電池電扇監控器

acpid

監聽精靈程序

此程序監聽并配置設定核心中的acpi事件

adsl

内部ADSL開關控制

隻有你的計算機内部有網際網路連接配接adsl開關時才用到此服務

alsa

這個單獨的聲音系統實際包含在核心中

anacron

一個任務排程工具

apmd

手提電腦電源管理

apmiser

另一手提電腦電池延長器

arpwatch

以太網IP位址配對監控器

用主機名監控并記錄遠端IP位址

atd

周期指令排程程式

autofs

自動安裝服務

幾個指令服務檔案系統自動安裝之一.一些此類服務專門針對發行配套軟體,如果你使用的發行配套軟體擁有自己的自動安裝系統,不要用這一個.

bluetooth

藍牙技術核心

用于所有藍牙服務

bootparamd

導入服務

以前導入無盤用戶端/瘦用戶端的方法.最新型的方法為零配置系統(zeroconf system).

canna

日語轉換引擎

capi4linux

基本CAPI子系統

cpqarrayd

硬體服務

康柏獨立備援磁盤陣列(Raid Array)監控器

cpufreq

控查并配置CPU頻率精靈程式子產品

cpufreqd

此服務自動衡量CPU頻率來減少過熱情況.在超頻時有用.

crond

是

Cups-lpd

使舊式Lunux或商業Unix系統連接配接到列印主機上.

隻有在允許舊式系統通路列印機時才有用

cups

公共Unix列印系統

進行列印的必要功能

cvs

并發版本系統

用于管理多使用者文檔

devfsd

系統維護

此服務隻清除動态桌面目錄,除非你的系統經常崩潰,否則不需要此服務.

dhcpd

DHCP伺服器

diald

撥号網絡智能自動撥号器

此服務一經請求,即連接配接上網絡.你一旦輸入電子郵件,點選發送,它就自動連接配接,發送電郵并斷開.

dkms

DKMS自安裝導入

發行配套軟體專用工具,用于OEM類型安裝.它允許管理者密碼的最初導入設定以及正常應用的使用者名密碼,系統的最後配置.

dm

顯示管理器

X伺服器的核心,使用圖形使用者界面(GUI)時必需.

dnbc

數字網絡綁定Chrooter

這是一個簡單的bash腳本,它将一個BIND伺服器放入一個chroot牢籠中.安裝BIND,釋出腳本并重新開機.

Drakxtools-http

小型服務管理伺服器

遠端系統管理的發行配套軟體專用工具.

dund

藍牙撥号網絡

fam

檔案系統變更監控器

檔案系統所有改變的記錄器

finger

資料遠端通路

此服務允許你遠端通路使用者登入日期,最後登入日期與時間.用于不在辦公室時監控雇員的工作習慣,主要的安全違反,因為你正有效地線上釋出公司機密資料.

freshclam

ClamAV更新器

用于自動更新ClamAV

gpm

滑鼠

滑鼠驅動器控制台模式

haldaemon

硬體監控系統

此服務監控硬體改變,為你改變新的或更改過的硬體.

harddrake

發行配套軟體專用硬體探測與配置

heartbeat

高可用性服務

此服務旨在增加重要服務與伺服器的優先級

hidd

藍牙H.I.D.伺服器

hplip

惠普Linux列印與成像

舊版惠普整成産品供應驅動器

hpoj

Pital?init,惠普辦公噴墨列印機驅動器

惠普辦公噴墨列印機舊式驅動器.新式驅動器包含在列印機的列印驅動器内.

httpd

Apache網絡伺服器

在系統上應用此服務有兩個原因,一是要用它作為網絡伺服器,二是用它作為網址開發器.如果沒有此二項,則不必安裝Apache.

hylafax?server

企業傳真機?調制調解器服務

此服務僅用于1類與2類傳真機.如果你想用hylafax通過調制調解器發送傳真,必須運作此服務.它并不是唯一有效的傳真工具.

ibod

按需ISDN MPPP帶寬

與撥号網絡一同使用,按需連接配接到網絡.

identd

TCP連接配接鑒定

imaps

安全IMAP伺服器

IMAP伺服器

iplog

用主機名或遠端主機記錄TCP,UDP,ICMP.

有用的網絡監控工具

ipop2

POP2郵件伺服器

ipop3

POP3郵件伺服器

ipsec

加密與驗證通信

iptables

基于Packet過濾防火牆核心

所有優秀的Linux防火牆都基于此項服務

ipvsadmin

Linux核心IP虛拟伺服器

最早的Linux網絡系統之一,已不常用.

irda

紅外線裝置界面

以前的無線裝置支援

keytable

鍵盤映射

此服務明确告訴系統你正在使用哪種鍵盤

kheader

此服務自動重建核心頭導入

lads

登入異常探測系統

跟蹤登入企圖并警告入侵企圖的工具

laptop mode

減少電力耗費,延長手提電腦電池壽命的工具

leafnode

X? INETD NNTP服務

lisa

區域網路資訊伺服器

三：保證系統密碼檔案的安全

/etc/shadow                                         不允許複制

/etc/passwd                                         有些linux中有，必需開啟shadow

如：/etc/shadow                                   權限

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/19/539796_1245430954B6EW.jpg"></a>

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/19/539796_1245430958B8z1.jpg"></a>

四：使用SSH實作遠端登入

五：關閉多餘的控制台

我們知道在按F1———F6時候是進入控制台的熱鍵

/etc/inittab                                               超級守護程序檔案          把多餘的控制台停止掉，其實就是注釋掉

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/19/539796_12454309619LnA.jpg"></a>

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/19/539796_1245430964oZ4b.jpg"></a>

列如我們就使用倆個控制台，把其他的都給禁掉

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/19/539796_12454309749Dg9.jpg"></a>

六：關閉IPV6

1》修改配置檔案 /etc/sysconfig/network

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/19/539796_1245430977nQ26.jpg"></a>

把NETWORKING_IPV6=no掉

2》vi /etc/modprobe.conf進入後加入兩句話來把IPV6關掉

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/19/539796_1245430981L7Xs.jpg"></a>

七：禁止普通使用者關機,重新開機權限（控制權限）

1》修改vi /etc/inittab

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/19/539796_1245430984tjNZ.jpg"></a>

注釋掉ca::ctrlaltdel;/sbin/shutdown –t3 –r now（禁止熱啟動）

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/19/539796_12454309873Lz7.jpg"></a>

２》删除一些熱起檔案

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/19/539796_1245430990pZcc.jpg"></a>

八：使用者通路控制

１》vi /etc/hosts.deny

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/19/539796_1245430992NGji.jpg"></a>

添加；ALL:ALL                                 任何一個IP位址通路我都不允許通路

2》vi /etc/hosts.allow

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/19/539796_1245430996Mk2H.jpg"></a>

sshd:192.168.12.100                      允許100ssh登入

九：修改别名檔案

vi /etc/aliases

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/19/539796_1245430997J8Mc.jpg"></a>

注釋掉以下内容：

games  ingres  system  toor uucp  manager  dumper  operator  decode  root

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/19/539796_1245431000PwaO.jpg"></a>

十：禁止ping

在禁止ping前，我們先看是否可以相通，虛機的IP是192.168.0.14

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/19/539796_1245431006nBkm.jpg"></a>

echo 1 &amp;gt; /proc/sys/net/ipv4/icpm_echo_ignore_all（不是用vi打開的，直接敲進去運作就可以）

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/19/539796_1245431009llny.jpg"></a>

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/19/539796_1245431011zUKG.jpg"></a>

我們在把它改回去，改回去很簡單，直接把echo 1改為echo 0

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/19/539796_1245431014YFbr.jpg"></a>

在來測試一下~~~ 

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/19/539796_1245431017wCy0.jpg"></a>

十一：禁止源路由

echo 0 &amp;gt; /proc/sys/net/ipv4/conf/*/accept_source_route(系統預設的是禁止的)

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/19/539796_12454310212Bye.jpg"></a>

十二：防止SYN攻擊

SYN攻擊大家都知道，就是A給B發包，正常的包是三次握手，但是A給B之後最後一次不進行确認。然後一直不停的給B發包，B接收後确認延遲預設30秒，但是A會一直給B發包，以緻阻塞掉路由。。。

echo 1 &amp;gt;  /proc/sys/net/ipv4/tcp_syncookies

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/19/539796_1245431022PXZB.jpg"></a>

本文轉自yangjunfeng 51CTO部落格，原文連結:http://blog.51cto.com/yangjunfeng/168333