linux 系统优化参考

Linux的使用环境也日趋成熟，各种开源产品络绎不绝，大有百花齐放的盛景，那么当Linux落地企业，回归工作时，我们还要面对这Linux运维方面的诸多问题，今天我们特意组织一场有关Linux 在企业运用当中交流分享活动。本次活动内容丰富，在此我们进行一下系统的梳理。

一 Linux选择

选择一个适合自身企业的Linux版本系列和主流版本还是相对不容易的，下面我们来介绍一下在选择时各企业所参考的依据：

RedHat和CentOS

选择红帽子系列产品，以centos为主，主要考虑有几个方面：
1. centos是redhat的编译版本，基本上没有什么大的变动
2. 现在很多环境都是集群环境，包括web集群，中间件集群，rac群集等等，OS层面本身的高可用系数已经不是100%要求那么高了。
3. 主流版本生命周期比较长，比较适合一个硬件的生命周期管理，基本上安装一次直到设备报废了。
4. 批量安装部署方便，硬件和软件兼容性都挺好。
5. 版本主要使用6版本，新上应用可以全面考虑升级使用7版本

SuSe

使用的Suse Linux Enterprise版，主要考虑因素如下：
1、该发行版本性能和稳定性比较突出
2、对客户的技术支持体系较为完备，服务响应较快（这基本上是最重要的因素）
3、对开源社区如openstack等生态拥抱得也较好。
4、版本主要是SUSE11 较多。

二 安装部署

方式：U盘，光盘和网络安装
其中网络安装已经成为了目前批量部署的首选方式：主要工具有Cobbler和PXE+kickstart
可以参考如下链接内容：
http://www.cnblogs.com/mchina/p/centos-pxe-kickstart-auto-install-os.html

三 初始化配置

禁用服务

 
 
 

  
chkconfig --level 35 iptables off
  
chkconfig --level 35 ip6tables off
  
service iptables stop
  
chkconfig --level 35 postfix off
 

禁用SeLinux

 
 
 

  
vi /etc/selinux/config SELINUX=disabled
 

配置YUM源配置

 
 
 

  
[root@rhel63 yum.repos.d]# vi local.repo 
  
[local]
  
name=local
  
baseurl=file:///mnt/Server
  
enabled=1
  
gpgcheck=0
 

可以配置为光盘，内部YUM源或EPEL等

常用软件安装

 
 
 

  
# yum install ftp telnet make imake gcc compat-libstdc++-33 gcc-c++ libstdc++ libXp kernel kernel-devel kernel-headers rsh ksh lsof openssh-clients -y
  
# yum install iptraf.x86_64 unzip.x86_64 libaio.x86_64 eject sysfsutils dmidecode pciutils dstat lsscsi -y
 

安装xwindows

 
 
 

  
# yum groupinstall "X Window System" -y
  
# yum groupinstall Desktop -y (可以不安装桌面） 
  
# yum install xorg-x11-apps -y (包含xclock）
 

配置ntp

 
 
 

  
*/10 * * * * /usr/sbin/ntpdate 10.0.0.1
 

Crontab 添加如上记录，指定内部ntp服务器

SSH 登录设置

修改ssh 禁用DNS 选项:

 
 
 

  
echo "UseDNS no" >> /etc/ssh/sshd_config service sshd restart
 

添加允许指定用户登录：

 
 
 

  
echo "AllowUsers user1" >> /etc/ssh/sshd_config
  
service sshd restart
 

上传扫描工具

 
 
 

  
rescan-scsi-bus.sh
 

网络上有该脚本，下载自行使用

修改历史记录格式

 
 
 

  
echo "export HISTTIMEFORMAT='%F %T'" >> /etc/profile
 

四 安全加固

本次安全加固内容主要参考的是Redhat和Centos系列版本系统：
参考链接
http://www.centoscn.com/CentosSecurity/CentosSafe/2015/0315/4881.html

注释掉系统不需要的用户和用户组

注意：不建议直接删除，当你需要某个用户时，自己重新添加会很麻烦。

 
 
 

  
cp  /etc/passwd  /etc/passwdbak   #修改之前先备份
  
vi /etc/passwd  #编辑用户，在前面加上#注释掉此行
  
#adm:x:3:4:adm:/var/adm:/sbin/nologin
  
#lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
  
#sync:x:5:0:sync:/sbin:/bin/sync
  
#shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
  
#halt:x:7:0:halt:/sbin:/sbin/halt
  
#uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
  
#operator:x:11:0:operator:/root:/sbin/nologin
  
#games:x:12:100:games:/usr/games:/sbin/nologin
  
#gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
  
#ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin#注释掉ftp匿名账号 
  
cp /etc/group   /etc/groupbak   #修改之前先备份
  
vi /etc/group  #编辑用户组，在前面加上#注释掉此行
  
#adm:x:4:root,adm,daemon
  
#lp:x:7:daemon,lp
  
#uucp:x:14:uucp
  
#games:x:20:
  
#dip:x:40:
 

关闭系统不需要的服务

 
 
 

  
service acpid stop  chkconfig acpid off   #停止服务，取消开机启动  #电源进阶设定，常用在 Laptop 上
  
service autofs stop  chkconfig autofs off  #停用自动挂载档桉系统与週边装置
  
service bluetooth stop  chkconfig  bluetooth  off #停用Bluetooth蓝芽
  
service cpuspeed stop  chkconfig  cpuspeed  off   #停用控制CPU速度主要用来省电
  
service cups stop   chkconfig cups off    #停用 Common UNIX Printing System 使系统支援印表机
  
service ip6tables stop  chkconfig ip6tables off   #禁止IPv6
  
如果要恢复某一个服务，可以执行下面操作
  
service acpid start  chkconfig acpid on
  
## 禁止非root用户执行/etc/rc.d/init.d/下的系统命令禁止非root用户执行/etc/rc.d/init.d/下的系统命令
  
chmod -R 700 /etc/rc.d/init.d/*
  
chmod -R 777 /etc/rc.d/init.d/*    #恢复默认设置
 

给下面的文件加上不可更改属性，从而防止非授权用户获得权限

 
 
 

  
chattr +i /etc/passwd
  
chattr +i /etc/shadow
  
chattr +i /etc/group
  
chattr +i /etc/gshadow
  
chattr +i /etc/services    #给系统服务端口列表文件加锁,防止未经许可的删除或添加服务  
  
lsattr  /etc/passwd   /etc/shadow  /etc/group  /etc/gshadow   /etc/services   #显示文件的属性 
  
注意：执行以上权限修改之后，就无法添加删除用户了。
  
如果再要添加删除用户，需要先取消上面的设置，等用户添加删除完成之后，再执行上面的操作  
  
chattr -i /etc/passwd     #取消权限锁定设置
  
chattr -i /etc/shadow
  
chattr -i /etc/group
  
chattr -i /etc/gshadow
  
chattr -i /etc/services   #取消系统服务端口列表文件加锁
  
现在可以进行添加删除用户了，操作完之后再锁定目录文件
 

限制不同文件的权限

 
 
 

  
chattr +a .bash_history           #避免删除.bash_history或者重定向到/dev/null
  
chattr +i .bash_history 
  
chmod 700 /usr/bin                恢复  chmod 555 /usr/bin 
  
chmod 700 /bin/ping              恢复  chmod 4755 /bin/ping
  
chmod 700 /usr/bin/vim         恢复  chmod 755 /usr/bin/vim
  
chmod 700 /bin/netstat          恢复  chmod 755 /bin/netstat
  
chmod 700 /usr/bin/tail          恢复  chmod 755 /usr/bin/tail
  
chmod 700 /usr/bin/less         恢复  chmod 755 /usr/bin/less
  
chmod 700 /usr/bin/head       恢复  chmod 755 /usr/bin/head
  
chmod 700 /bin/cat                恢复  chmod 755 /bin