linux服务日常优化

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了linux服务日常优化相关的知识,希望对你有一定的参考价值。

linux 服务装机前的优化工作。

  1. echo “>/etc/udev/rules.d/70-persistent-net.rules” >/etc/rc.local 开机自动执行
    2.关闭SELINUX sed -i ‘s#SELINUX=enforcing#SELINUX=disabled#g’ /etc/selinux/config
    getenforce (查看SELINUX) setenforce 0(允许) setenforce 1(拒绝)
    3.chkconfig | egrep -v “crond|sshd|network|rsyslog|sysstat” | awk ‘{print “chkconfig”,$1,”off”}’ | bash(精简开机自启动服务)
    4.清理多余用户,添加用户,并添加sudo 授权
    useradd zhou
    cp /etc/sudoers /etc/sudoers.ori
    echo “zhou ALL=(ALL) NOPASSWD:ALL” >>/etc/sudoers
    tail -1 /etc/sudoers
    visudo -c(检查语法是否正确)
    5.中文字符集
    cp /etc/sysconfig/i18n /etc/sysconfig/i18n.ori
    echo ‘LANG=“zh_CN.UTF.8”’ >/etc/sysconfig/i18n
    source /etc/sysconfig/i18n(使上文生效)。
    echo $LANG
  2. 时间同步
    echo “#time sync by zhou at 2018-7-24” >>var/spool/cron/root
    echo “/5 * /usr/sbin/ntpdate time.nist.gov >/dev/null 2>&1” >>var/spool/cron/root
    crontab -l (查看)(做好的话需要配置时间同步服务器ntp)
  3. 命令行安全
    echo “export TMOUT=300” >>/etc/profile
    echo “export HISTSIZE=5” >>/etc/profile
    echo “HISTFILESIZE=5” >>/etc/profile
    tail -3 /etc/profile
    source /etc/profile
  4. 加大文件描述符(内核利用文件描述符来访问文件。打开现存文件或新建文件时,内核会返回一个文件描述符。读写文件也需要使用文件描述符来指定待读写的文件)
    echo “* - nofile 65535” >>/etc/security/limits.conf
    tail -1 /etc/security/limits.conf(高并发环境下需要加大文件描述符)
  5. 内核优化
    优化方法是 cat >>vi /etc/sysctl.conf<<EOF
    net.ipv4.tcp_fin_timeout = 2
    net.ipv4.tcp_tw_reuse = 1
    net.ipv4.tcp_tw_recycle = 1
    net.ipv4.tcp_syncookies = 1
    net.ipv4.tcp_keepalive_time = 600
    net.ipv4.ip_local_port_range = 4000 65000
    net.ipv4.tcp_max_syn_backlog = 16384
    net.ipv4.tcp_max_tw_buckets = 36000
    net.ipv4.route.gc_timeout = 100
    net.ipv4.tcp_syn_retries = 1
    net.ipv4.tcp_synack_retries = 1
    net.core.somaxconn = 16384
    net.core.netdev_max_backlog = 16384
    net.ipv4.tcp_max_orphans = 16384
    #以下参数是对防火墙的优化,防火墙不开会提示,可以忽略不理
    net.nf_conntrack_max = 25000000
    net.netfilter.nf_conntrack_max = 25000000
    net.netfilter.nf_conntrack_tcp_timeout_established = 180
    net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
    net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
    net.netfilter.nf_conntrack_tcp_timeout_fine_wait = 120
    EOF
    10.更改默认的远程链接ssh服务端口,禁止root用户远程登陆,甚至要更改SSH
    服务只监听内网ip 【vim /etc/ssh/sshd.conf(服务端配置文件),/et/ssh/ssh.conf(客户端配置文件)】
    11.配置yum更新源,从国内更新源下载安装软件包。【vim /etc/yum.repos.d/CentOS-Base.repos.d(修改前都做好备份) 只修改其中{baseurl} {addons}{extras}{centosplus}这几项中的baseurl和gpgkey为相应源地址即可。修改完成后,清空yum缓存,并重建yum缓存(yum clean all &&yum clean &&yum cl)】
    【国内更新源1.上海交大 http://ftp.sjtu.edu.cn/centos
  6. 中国科技大学 http://centos.ustc.edu.cn
  7. sohu的开源镜像服务器 http://mirrors.sohu.com
  8. 网易的开源服务器镜像:http://mirrors.163.com/centos

    12.定时自动清理邮件临时目录垃圾文件,防止磁盘inodes数被小文件占满(邮件临时存放地点 /var/spool/postfix/maildrop)
    13锁定关键系统文件如/etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab
    14 >/etc/issue(隐藏系统版本信息)
    15禁止主机被ping{iptables -A INPUT -p icmp –icmp-type 8 -j DROP
    iptables -A INPUT -p icmp –icmp-type 0 -j ACCEPT
    iptables -A INPUT -p icmp –icmp-type 3 -j ACCEPT
    iptables -A INPUT -p icmp -j DROP}
    16打补丁升级有已知漏洞的软件

以上是关于linux服务日常优化的主要内容,如果未能解决你的问题,请参考以下文章

linux运维的工作内容都有啥

拉勾Linux运维实战训练营

拉勾Linux运维实战训练营

Linux运维每天都做啥工作

linux下nginx服务应用总结--突破10万高并发的nginx性能优化经验(含内核参数优化

Linux简篇