說明:經常玩linux系統的朋友多多少少也知道些系統參數優化和怎樣增強系統安全性,系統預設的一些參數都是比較保守的,是以我們可以通過調整系統參數來提高系統記憶體、cpu、核心資源的占用,通過禁用不必要的服務、端口,來提高系統的安全性,更好的發揮系統的可用性。通過自己對linux了解,對系統調優做了如下小結:
作業系統:centos6.5_x64(最小化安裝)
1、主機名設定
1
2
3
<code>[root@localhost~]</code><code># vi /etc/sysconfig/network</code>
<code>hostname=</code><code>test</code><code>.com</code>
<code>[root@localhost~]</code><code># hostname test.com #臨時生效</code>
2、關閉selinux
4
<code>[root@localhost~]</code><code># vi /etc/selinux/config</code>
<code>selinux=disabled</code>
<code>[root@localhost~]</code><code># setenforce #臨時生效</code>
<code>[root@localhost~]</code><code># getenforce #檢視selinux狀态</code>
3、清空防火牆并設定基本規則
5
6
7
8
9
10
11
12
<code>[root@localhost~]</code><code># iptables -f #清楚防火牆規則</code>
<code>[root@localhost~]</code><code># iptables -l #檢視防火牆規則</code>
<code>[root@localhost~]</code><code># iptables -i input -m state --state related,established -j accept #檢查狀态,防止無效的資料包</code>
<code>[root@localhost~]</code><code># iptables -a input -p tcp --dport 80 -j accept</code>
<code>[root@localhost~]</code><code># iptables -a input -p tcp --dport 22 -j accept</code>
<code>[root@localhost~]</code><code># iptables -a input -p tcp --dport 53 -j accept</code>
<code>[root@localhost~]</code><code># iptables -a input -p udp --dport 53 -j accept</code>
<code>[root@localhost~]</code><code># iptables -a input -p udp --dport 123 -j accept</code>
<code>[root@localhost~]</code><code># iptables -a input -p icmp -j accept</code>
<code>[root@localhost~]</code><code># iptables -a input -s 127.0.0.1 -d 127.0.0.1 -j accept</code>
<code>[root@localhost~]</code><code># iptables -p input drop</code>
<code>[root@localhost~]</code><code># /etc/init.d/iptables save</code>
#根據需求開啟相應端口
4、添加user使用者并進行sudo授權管理
<code>[root@localhost~]</code><code># useradd user</code>
<code>[root@localhost~]</code><code># echo "123456" | passwd --stdin user #設定密碼</code>
<code>[root@localhost~]</code><code># vi /etc/sudoers #或visudo打開,添加user使用者所有權限</code>
<code>root all=(all) all</code>
<code>user all=(all) all</code>
5、禁用root遠端登入
<code>[root@localhost~]</code><code># vi /etc/ssh/sshd_config</code>
<code>permitrootlogin no</code>
<code>permitemptypasswords no </code><code>#禁止空密碼登入</code>
<code>usedns no </code><code>#關閉dns查詢</code>
6、關閉不必要開機自啟動服務
7、删除不必要的系統使用者
8、關閉重新開機ctl-alt-delete組合鍵
<code>[root@localhost ~]</code><code># vi /etc/init/control-alt-delete.conf</code>
<code>#exec /sbin/shutdown -r now "control-alt-deletepressed" #注釋掉</code>
9、調整檔案描述符大小
<code>[root@localhost ~]</code><code># ulimit –n #預設是1024</code>
<code>1024</code>
<code>[root@localhost ~]</code><code># echo "ulimit -shn 102400">> /etc/rc.local #設定開機自動生效</code>
10、修改系統顯示資訊
<code>[root@localhost ~]</code><code># echo "welcome to server" >/etc/issue</code>
<code>[root@localhost ~]</code><code># echo "welcome to server" >/etc/redhat-release</code>
11、修改history記錄
<code>[root@localhost ~]</code><code># vi /etc/profile #修改記錄10個</code>
<code>histsize=10</code>
12、同步系統時間
<code>[root@localhost ~]</code><code># yum install -y ntp</code>
<code>[root@localhost ~]</code><code># cp /usr/share/zoneinfo/asia/shanghai /etc/localtime #設定shanghai時區</code>
<code>[root@localhost ~]</code><code># ntpdate cn.pool.ntp.org ;hwclock–w #同步時間并寫入blos硬體時間</code>
<code>[root@localhost ~]</code><code># crontab –e #設定任務計劃每天零點同步一次</code>
<code>0 * * * * </code><code>/usr/sbin/ntpdate</code> <code>cn.pool.ntp.org ; hwclock -w</code>
13、核心參數優化
13
14
15
16
17
18
19
20
21
22
<code>[root@localhost ~]</code><code># vi /etc/sysctl.conf #末尾添加如下參數</code>
<code>net.ipv4.ip_local_port_range </code><code>=</code> <code>4096</code> <code>65000</code> <code>#向外可使用應用程式端口範圍</code>
<code>net.ipv4.tcp_fin_timeout </code><code>=</code> <code>2</code> <code>#表示如果套接字由本端要求關閉,保持在fin-wait-2狀态的時間,預設值是60秒。</code>
<code>net.ipv4.tcp_syncookies </code><code>=</code> <code>1</code> <code>#當有大量syn包,等待隊列溢出時,就會啟用cookies來處理,可防範少量syn攻擊,預設是1,開啟</code>
<code>net.ipv4.tcp_tw_reuse </code><code>=</code> <code>1</code> <code>#1是開啟複用,允許将time_wait sockets重新用于新的tcp連接配接,預設是0,表示關閉</code>
<code>net.ipv4.tcp_tw_recycle </code><code>=</code> <code>1</code> <code>#開啟tcp連接配接中time_wait sockets的快速回收,預設是0關閉</code>
<code>net.ipv4.tcp_max_tw_buckets </code><code>=</code> <code>5000</code> <code>#系統同時保持time_wait套接字的最大數量,如果超出這個數字,time_wati套接字将立刻被清除并列印警告資訊,預設180000</code>
<code>net.ipv4.tcp_max_syn_backlog </code><code>=</code> <code>4096</code> <code>#進入syn隊列的最大長度,預設是1024,加大隊列長度可容納更多的等待連接配接</code>
<code>net.core.netdev_max_backlog </code><code>=</code> <code>10240</code> <code>#網絡接口接受資料包的隊列,允許送到隊列的資料包最大裝置隊列,預設值1000</code>
<code>net.core.somaxconn </code><code>=</code> <code>2048</code> <code>#調節系統同時發起的tcp連接配接數,預設值128</code>
<code>net.core.wmem_default </code><code>=</code> <code>4096000</code> <code>#發送緩存區大小的預設值</code>
<code>net.core.rmem_default </code><code>=</code> <code>4096000</code> <code>#接受套接字緩沖區大小的預設值(以位元組為機關)</code>
<code>net.core.rmem_max </code><code>=</code> <code>4096000</code> <code>#最大接收緩沖區大小的最大值</code>
<code>net.core.wmem_max </code><code>=</code> <code>4096000</code> <code>#發送緩沖區大小的最大值</code>
<code>net.ipv4.tcp_syn_retries </code><code>=</code> <code>2</code> <code>#syn握手重試次數,當超過這個數,此連接配接就會從syn_backlog中删除</code>
<code>net.ipv4.tcp_synack_retries </code><code>=</code> <code>2</code> <code>#syn-ack握手狀态重試次數</code>
<code>net.ipv4.tcp_max_orphans </code><code>=</code> <code>3276800</code> <code>#系統中最多有多少個tcp套接字不被關聯到任何一個使用者檔案句柄上,如果超出這個數字,孤兒連接配接将立即複位并列印警告資訊</code>
<code>net.ipv4.tcp_mem </code><code>=</code> <code>94500000</code> <code>915000000</code> <code>927000000</code>
<code>net.ipv4.tcp_mem[</code><code>0</code><code>]:低于此值,tcp沒有記憶體壓力;</code>
<code>net.ipv4.tcp_mem[</code><code>1</code><code>]:在此值下,進入記憶體壓力階段;</code>
<code>net.ipv4.tcp_mem[</code><code>2</code><code>]:高于此值,tcp拒絕配置設定socket。記憶體機關是頁,可根據實體記憶體大小進行調整,如果記憶體足夠大的話,可适當往上調。上述記憶體機關是頁,而不是位元組。</code>
<code>[root@localhost ~]</code><code># sysctl -p #生效配置</code>
主要根據網絡狀态優化:開啟time_wait複用、time_wait快速回收、開啟syn cookies、加大syn隊列最大長度、網絡接口接受資料包的最大隊列、接受和發送緩沖區的值調整等。
至此centos6.5_x64最小化安裝系統基本優化調整完畢,最好重新開機下系統。