Linux系統優化

CentOS6.7_x64系統優化：

1 關閉selinux

#Disable SElinu

setenforce 0

sed -i '/SELINUX=enforcing/cSELINUX=disabled' /etc/selinux/config

 

2 關閉防火牆

#Stop iptables

/etc/init.d/iptables stop

/etc/init.d/ip6tables stop

chkconfig ip6tables off

chkconfig ip6tables off

 

3 設置運行級別爲3，mini安裝方式默認爲3

sed -i 's/^id:[0-6]/id:3/' /etc/inittab

 

4 精簡開機啓動服務（iptables/ip6tables已經關閉）

#Stop services

chkconfig --list | grep "3:on"|grep -vE "crond|messagebus|network|rsyslog|sshd|sysstat"| awk '{print"chkconfig",$1,"off"}' |bash

 

運行級別爲3的服務

[root@localhost ~]# chkconfig --list | grep"3:on"

abrt-ccpp           0:off 1:off 2:off 3:on 4:off 5:on 6:off#ABRT進程，提供對c/c++問題分析報告

abrtd              0:off 1:off 2:off 3:on 4:off 5:on 6:off#ABRT( Automatic Bug Reporting Tool)守護進程，需要root權限並在後臺運行

acpid              0:off 1:off 2:on 3:on 4:on 5:on 6:off#電源管理進程

atd               0:off 1:off 2:off 3:on 4:on 5:on 6:off#任務調度進程（執行一次）

auditd             0:off 1:off 2:on 3:on 4:on 5:on 6:off#內核審計進程

blk-availability          0:off 1:on 2:on 3:on 4:on 5:on 6:off#塊設備管理工具

cpuspeed          0:off 1:on 2:on 3:on 4:on 5:on 6:off#CPU速度控制進程

crond             0:off 1:off 2:on 3:on 4:on 5:on 6:off #計劃任務進程（週期性執行）

haldaemon        0:off 1:off 2:off 3:on 4:on 5:on 6:off#硬件抽象層進程，主要收集硬件信息

irqbalance           0:off 1:off 2:off 3:on 4:on 5:on 6:off#CPU負載均衡管理進程

kdump           0:off 1:off 2:off 3:on 4:on 5:on 6:off#在系統崩潰是轉儲內核信息的進程

lvm2-monitor        0:off 1:on 2:on 3:on 4:on 5:on 6:off#lvm監視進程

mdmonitor        0:off 1:off 2:on 3:on 4:on 5:on 6:off#軟radi監視進程

messagebus       0:off 1:off 2:on 3:on 4:on 5:on 6:off#主要提供與dbus通信服務

netfs              0:off 1:off 2:off 3:on 4:on 5:on 6:off#文件系統自動掛載服務（NFS,samba）

network           0:off 1:off 2:on 3:on 4:on 5:on 6:off #網絡接口開啓/關閉守護進程

postfix              0:off 1:off 2:on 3:on 4:on 5:on 6:off#poxtfix郵件服務

rsyslog             0:off 1:off 2:on 3:on 4:on 5:on 6:off #日誌信息收集服務

sshd              0:off 1:off 2:on 3:on 4:on 5:on 6:off #ssh遠程登錄進程

sysstat             0:off 1:on 2:on 3:on 4:on 5:on 6:off #系統性能監視工具服務

udev-post           0:off 1:on 2:on 3:on 4:on 5:on 6:off#設備管理服務

5 SSH服務配置

#SSH

sed -ir '13i Port 22\nPermitRootLoginyes\nPermitEmptyPasswords no\nUseDNS no\nGSSAPIAuthentication no'/etc/ssh/sshd_config

 

6 創建普通管理員賬號並通過sudo授權管理

#sudo user

groupadd -g 601 admin

useradd -u 601 -g admin admin

\cp /etc/sudoers /etc/sudoers.ori

echo "admin ALL=(ALL)NOPASSWD:ALL" >>/etc/sudoers

 

7 系統字符集設置（默認選擇英文）

cat /etc/sysconfig/i18n

LANG="en_US.UTF-8"

SYSFONT="latarcyrheb-sun16"

中文需設置爲”zh_CN.UTF8”

 

8 NTP時間同步

在內網環境中，通常會部署1-2臺NTP時間服務器，進行與網絡時間同步，內網其他設備均通過內網NTP服務器進行時間同步

 

9 修改歷史記錄數

echo 'export HISTSIZE=1000'>>/etc/profile

echo 'export HISTFILESIZE=1000'>>/etc/profile

 

10 修改登錄超時

echo 'export TMOUT=300'>>/etc/profile

 

11 文件描述符修改

企業的生產部門可能報告系統文件無法打開的問題，此時需要注意是否是文件打開數量太少所致

#Open files

echo '*                        -        nofile                  65535'>>/etc/security/limits.conf

12 內核常用優化參數

#Kernel

cat >>/etc/sysctl.conf<<EOF

net.ipv4.tcp_fin_timeout=2

net.ipv4.tcp_tw_reuse=1

net.ipv4.tcp_tw_recycle=1

net.ipv4.tcp_syncookies=1

net.ipv4.tcp_keepalive_time=600

net.ipv4.ip_local_port_range = 4000  65000

net.ipv4.tcp_max_syn_backlog= 16384

net.ipv4.tcp_max_tw_buckets=36000

net.ipv4.route.gc_timeout=100

net.ipv4.tcp_syn_retries=1

net.ipv4.tcp_synack_retries=1

net.core.somaxconn=16384

net.core.netdev_max_backlog=16384

net.ipv4.tcp_max_orphans=16384

EOF

 

13 修改版本信息

通過修改/etc/issue與/etc/issue.net改變系統顯示的版本信息

 

14 清除多餘系統賬號

在瞭解公司具體業務後，可以禁用多餘的系統賬號。

 

16 爲grub菜單加密

除非安全要求非常高，否則通常管理員不會專門設置grub密碼

 

17 鎖定關鍵文件

chart +i /etc/passwd等，一般不會鎖定，除非安全性要求非常高

 

18 軟件升級

升降相關軟件，應該在本地搭建yum倉庫，內網設備從本地yum從庫進行更新