浅谈Linux优化及安全配置的个人体会

转载 2007年09月30日 18:13:00

原贴:http://articles.e-works.net.cn/Articles/411/Article29224.htm?S_TACT=105AGX52&S_CMP=tag-csdn

首先我们要明确一个观点:在服务器上作任何操作,升级和修改任何配置文件或软件,都必须首要考虑安全性,不是越新的东西就越好,这也是为什么linux管理感觉上和windows有所不同的地方。
 

    前言:

    很久没有写过文章了,最近收到不少朋友来信,提及了有关优化配置和一些新的安全问题,在此我想和大家浅显讨论一下这些问题,有什么不准确和有更好的方式,请给我来信共同讨论提高。在网上看到不少有关linux优化方面的好文章,在此我也不赘述这些文章了,我只想从我自己的体会来谈谈这方面的问题。

    作为一个系统管理员,我下面说的都是基于服务器应用的linux来谈的,由于个人电脑上使用linux也许不是像服务器上一样,优先追求安全和稳定,因此个人电脑使用的朋友只做个参考吧。本文提及的系统,如没有特别声明,均采用redhat公司的redhat linux系统。

    关于优化

    说起优化,其实最好的优化就是提升硬件的配置,例如提高cpu的运算能力,提高内存的容量,个人认为如果你考虑升级硬件的话,建议优先提高内存的容量,因为一般服务器应用,对内存的消耗使用要求是最高的。当然这都是题外话了。这里我们首要讨论的,是在同等硬件配置下(同一台服务器,不提升硬件的情况下)对你的系统进行优化。

    作为系统管理员,我认为,首先我们要明确一个观点:在服务器上作任何操作,升级和修改任何配置文件或软件,都必须首要考虑安全性,不是越新的东西就越好,这也是为什么linux管理感觉上和windows有所不同的地方,windows首先推荐大家去使用它的最新版本软件和操作系统,其实我个人认为这是一种商业行为,作为从系统管理上来讲,这是很不好的,使用新的软件和系统可能带来新的问题,有些甚至是致命的。因此,作为管理,我们还是应该考虑稳定的长期使用的软件版本来作为我们的版本,具体的好处我就不多说了。相信作为管理员的你应该知道的。其实个人使用的linux最直接的一个优化就是升级内核,自己编译的内核是根据自己的系统编译而来,将得到最大的性能和最小的内核。

    但是,服务器就不太一样了,当然我们也希望每一台服务器都是自己手工编译的内核,高效而精巧。但是实际和愿望是有差距的,试想一下,如果你管理100来台linux主机,而每一台也许配置都不一样,那编译内核的一个过程将是一个浩大工程,而且从实际考虑,工作量大得难以想象。我想你也不会愿意做这种事情吧。因此,个人建议,采用官方发布的内核升级包是很好的选择。

    首先,我们对新安装的系统,将做一系列升级,包括软件和内核,这是很重要的步骤,(这方面的详细情况欢迎察看我另一篇关于升级方面的文章)。

    在升级好所有软件后,基本的防火墙和配置都做好以后,我们开始优化一些细节配置,如果你是老系统,那么在作本问题及的一些操作和优化你系统之前,务必被备份所有数据到其他介质。

    1、虚拟内存优化

    首先查看虚拟内存的使用情况,使用命令

    # free

    查看当前系统的内存使用情况。

    一般来说,linux的物理内存几乎是完全used。这个和windows非常大的区别,它的内存管理机制将系统内存充分利用,并非windows无论多大的内存都要去使用一些虚拟内存一样。这点需要注意。

    Linux下面虚拟内存的默认配置通过命令

    # cat /proc/sys/vm/freepages

    可以查看,显示的三个数字是当前系统的:最小内存空白页、最低内存空白页和最高内存空白。

    注意,这里系统使用虚拟内存的原则是:如果空白页数目低于最高空白页设置,则使用磁盘交换空间。当达到最低空白页设置时,使用内存交换(注:这个是我查看一些资料得来的,具体应用时还需要自己观察一下,不过这个不影响我们配置新的虚拟内存参数)。

    内存一般以每页4k字节分配。最小内存空白页设置是系统中内存数量的2倍;最低内存空白页设置是内存数量的4倍;最高内存空白页设置是系统内存的6倍。这些值在系统启动时决定。

    一般来讲在配置系统分配的虚拟内存配置上,我个人认为增大最高内存空白页是一种比较好的配置方式,以1G的内存配置为例:

    可将原来的配置比例修改为:

    2048 4096 6444

    通过命令

    # echo “2048 4096 6444” > /proc/sys/vm/freepages

    因为增加了最高空白页配置,那么可以使内存更有效的利用。

    2、硬盘优化

    如果你是scsi硬盘或者是ide阵列,可以跳过这一节,这节介绍的参数调整只针对使用ide硬盘的服务器。

    我们通过hdparm程序来设置IDE硬盘,使用DMA和32位传输可以大幅提升系统性能。使用命令如下:

    # /sbin/hdparm -c 1 /dev/hda

    此命令将第一个IDE硬盘的PCI总线指定为32位,使用 -c 0参数来禁用32位传输。

    在硬盘上使用DMA,使用命令:

    # /sbin/hdparm -d 1 /dev/hda

    关闭DMA可以使用 -d 0的参数。

    更改完成后,可以使用hdparm来检查修改后的结果,使用命令:

    # /sbin/hdparm -t /dev/had

    为了确保设置的结果不变,使用命令:# /sbin/hdparm -k 1 /dev/hda

    Hdparm命令的一些常用的其他参数功能

    -g 显示硬盘的磁轨,磁头,磁区等参数。

    -i 显示硬盘的硬件规格信息,这些信息是在开机时由硬盘本身所提供。

    -I 直接读取硬盘所提供的硬件规格信息。

    -p 设定硬盘的PIO模式。

    -Tt 评估硬盘的读取效率和硬盘快取的读取效率。

     -u <0或1> 在硬盘存取时,允许其他中断要求同时执行。

    -v 显示硬盘的相关设定。

    3、其他优化

    关闭不需要的服务,关于系统自动启动的服务,网上有很多资料,在此我就不赘述了;

    关于安全

    1、安全检查

    作为一个系统管理员来说,定期对系统作一次全面的安全检查很重要的,最近遇到一些朋友来信说出现了一些莫名其妙的问题,例如最大的一个问题就是明显感觉网络服务缓慢,这极有可能是被攻击的现象。

    实践证明,无论是那种系统,默认安装都是不安全的,实际不管你用windows也好,linux,bsd或其他什么系统,默认安装的都有很多漏洞,那怎么才能成为安全的系统呢,这正是我们系统管理人员需要做的事情。配置配置再配置。

    任何系统,只要细心的配置,堵住已知的漏洞,可以说这个系统是安全的,其实并非很多朋友说的那样,安装了系统,配置了防火墙,安装了杀毒软件,那么就安全了,其实如果对系统不作任何安全设置,那就等于向黑客敞开一扇纸做的大门,数十分钟就能完全控制!

    这并非骇人听闻。

    作为linux系统,同样存在很多漏洞,黑可能利用这些漏洞控制你的整个系统,要防止这些问题,我们需要做以下步骤:

    1、 升级系统中所有软件包的最新版本;

    2、 设置较为强壮的防火墙;

    3、 定期检查关键记录文件,配置杀毒软件

    4、 多关心一下发布安全信息警告的网站,掌握一些最新的病毒和黑客程序的特点,这些都利于系统的正常运作。

    这篇文章主要以优化为主,为了配合这一主题,安全部分我们只讨论一下日常的一些维护工作。除了上面列出的4条是管理员必修之课外,对一些linux系统细节的维护也很重要。

    包括:

    1、配置日志轮训工具,定期下载备份日志,是个非常好的习惯,这样不但能减少日志的消耗的磁盘空间,提高系统效率,更能及时发现问题,linux下有些很好的系统日志分析器,能直接提取日志中的特殊项目,省去了阅读日志的烦恼;

    2、使用命令lsof –i ,netstat –a ,ps–e等命令,定期检查系统服务端口监听等情况,也可制作一个定期执行的脚本,将这些命令定期执行后发到邮箱中;

    3、定期检查root用户的history列表,last列表,vipw用户列表是否正常;

    4、定期备份文件,用tar命令就能很好的备份了,当然需要下载这些备份并转移介质;

    如一点发现有任何特别的没见过的情况或端口,那么要引起足够的重视,切勿因小失大。

    以上是我对linux系统安全和优化的一些浅显认识,希望大家都能安全高效的使用linux为你的工作生活带来方便。

 

安全圈个人认识浅谈

个人介绍本人技术名CV,是个安全从业人员,具有一定的研发,测试和运维能力。于2012年9月,开始在电子科技大学就读网络安全专业;于2016年8月,机缘巧合进入网络安全圈。因此从一个对网络安全有较好理论...

实例浅谈Linux环境下搭建Web服务器与创建个人主页

版权声明:对于本博客所有原创文章,允许个人、教育和非商业目的使用,但务必保证文章的完整性且不作任何修改地以超链接形式注明原始作者、出处及本声明。     博客地址:http://blog.csdn....

Linux系统安全加固浅谈

对于企业来说,安全加固是一门必做的安全措施。安全问题可以总结为4A(统一安全管理平台解决方案),账号管理、认证管理、授权管理、审计管理。...

服务器安全狗Linux版本之使用一二浅谈

最近用了下www.safedog.cn的服务器安全狗,使用半个月,把使用心得与大家分享。 为什么要用这个软件,源于一个偶然的事件;年前,发现一个项目,在访问的时候变得很慢,但tomcat日志显示没有...

浅谈个人SQL语句优化经验总结

(1) 选择最有效率的表名顺序(只在基于规则的seo/' target='_blank'>优化器中有效): ORACLE 的解析器按照从右到左的顺序处理FROM子句中的表名,FROM子句中写在最后的...
  • zxae86
  • zxae86
  • 2014年12月18日 13:09
  • 209

浅谈Web站点优化、安全

一、删除功能:重要数据伪删除,删除校验用户(避免A用户可以删除任何人数据)。文件上传预览删除功能不能做服务器文件删除,不要为了节省服务器资源给用户留下接口。如果要资源有限,那么在删除的时候也需要做用户...

浅谈Linux下VIM配置

vim是从 vi 发展出来的一个文本编辑器。代码补全、编译及错误跳转等方便编程的功能特别丰富,在程序员中被广泛使用,和Emacs并列成为类Unix系统用户最喜欢的文本编辑器。初识Linux,对于很多东...

浅谈软件安全设计(一)

  • 2007年03月21日 20:00
  • 205KB
  • 下载

浅谈网络安全

  • 2012年04月20日 09:26
  • 19KB
  • 下载

Linux服务器安全优化及配置

众所周知,网络安全是一个非常重要的课题,而服务器是网络安全中最关键的环节。Linux被认为是一个比较安全的Internet服务器,作为一种开放源代码操作系统,一旦Linux系统中发现有安全漏洞,Int...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:浅谈Linux优化及安全配置的个人体会
举报原因:
原因补充:

(最多只允许输入30个字)