Linux 優化
一、最小化原則
(1)安裝最小化
(2)開機啟動服務最小化
(3)操作最小化
(4)權限最小化
(5)配置參數合理,不要最大化
二、端口優化
遠程登錄的端口默認是22號端口,這是大家都知道的。所以為了安全著想,我們要修改服務器遠程連接端口,這樣黑客就不好破解你的linux服務器。同時,默認登錄的用戶名為root,我們可以修改配置,使遠程不能使用root登錄。方法,更改ssh服務遠程登錄的配置。
vim /etc/ssh/sshd_config #更改前先備份 Port 22 #修改端口(隨便改為其他的,自己記住) PermitRootLogin yes #yes改為no,不允許root登錄 PermitEmptyPasswords no #靜止空密碼登錄 UseDns no #不使用DNS service sshd restart 重啟ssh服務
臨時關閉防火墻
service iptables stop
永久關閉防火墻
chkconfig --level 35 iptables off
三、sudo讓普通用戶可以擁有定制的root權限功能
sudo+命令 普通用戶使用root授予普通用戶的特定權限
普通用戶模式下 sudo-l查看你擁有什麽權限
visudo 修改sudo權限(本質是修改/etc/sudoers)
四、內核的優化
vim /etc/sysctl.conf net.ipv4.tcp_fin_timeout=2 net.ipv4.tcp_tw_reuse=1 net.ipv4.tcp_tw_recycle=1 net.ipv4.tcp_syncookiies=1 net.ipv4.tcp_keepalive_time=600 net.ipv4.ip_local_port_range=4000 65000 net.ipv4.tcp_max_syn_backlog=16384 net.ipv4.tcp_max_tw_buckets=36000 net.ipv4.route.gc_timeout=100 net.ipv4.tcp_syn_retries=1 net.ipv4.tcp_synack_retries=1 net.core.somaxconn=16384 net.core.netdev_max_backlog=16384net.ipv4.tcp_max_orphans=16384 net.nf_conntrack_max=25000000 net.netfilter.nf_conntrack_max=25000000 net.netfilter.nf_conntrack_tcp_timeout_established=180 net.netfilter.nf_conntrack_tcp_timeout_time_wait=120 net.netfilter.nf_conntrack_tcp_timeout_close_wait=60 net.netfilter.nf_conntrack_tcp_timeout_fin_wait=120
將以上的配置信息加入文件的最後即可。
五、防火墻的優化
也是以上的文件內,加入以下代碼
net.nf_conntrack_max = 25000000 net.netfilter.nf_conntrack_max = 25000000 net.netfilter.nf_conntrack_tcp_timeout_established = 180 net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120 net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60 net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120
sysctl -p使上面加入的代碼生效。
六、增加系統安全
隱藏系統版本:
[[email protected] ~]# >/etc/issue [[email protected] ~]# cat /dev/null
鎖定關鍵文件系統:
[[email protected] ~]# chattr +i /etc/passwd /etc/gshadow /etc/inittab
七、linux優化總結
1)不用root,添加普通用戶,通過sudo授權管理(visudo)
2)更改默認的遠程連接ssh端口及靜止root遠程登錄
3)定時更新服務器時間
4)配置yum更新源,從國內更新源下載安裝rpm包(阿裏雲比163要好一點)
5)關閉selinux及iptables(iptables工作場景如果wan ip一般要打開,高開發除外)
6)調整文件描述符數量
7)定時清理/var/spool/clientmqene/目錄垃圾文件,防止inodes節點被沾滿(centos6.5有默認清理不需要設置)
8)精簡開機自啟動服務(crond,ssh,network,syslog)
9)以上有
八linux系統安裝包安裝方式
以安裝apache為例
1)源碼編譯安裝apache:比較靈活,只編譯你想要的參數(中小公司常用)
2)yum或rpm安裝:簡單,但是不夠靈活
3)高級安裝結合了編譯和yum、rpm的雙重優點:通過源碼(根據自己業務需求)制作符合自己的rpm放入自己的yum倉庫中,然後在全網服務端通過yum實現批量部署、管理、升級。
Linux 優化