Linux系统基础优化_linux优化

3、关闭SElinux功能



> 
> SELinux（Security-Enhanced Linux）是美国国家安全局（NSA）对于强制访问控制的实现，这个功能让系统管理员又爱又恨，这里我们还是把它关闭了吧，至于安全问题，后面通过其他手段来解决，这也是大多数生产环境的做法。关闭方式如下：
> 
> 
> 


* 修改配置文件，使关闭SElinux永久生效：


![](https://imgconvert.csdnimg.cn/aHR0cHM6Ly9tbWJpei5xcGljLmNuL21tYml6X3BuZy9jYkNMZ2ZKWmlicHJVREVuc2FKUDNra25vbkxKSVJIRk5zSG5Sb2liWDNzNDN1aWFORGJpYlluaWJyZ2p4Vjh1WWlhMWUwb2J4MHo2eFZpYzREZ3NEbHV5cXlpYzB3LzY0MA?x-oss-process=image/format,png)
* 临时关闭SElinux，可在命令行执行如下命令：


`setenforce 0`


![](https://imgconvert.csdnimg.cn/aHR0cHM6Ly9tbWJpei5xcGljLmNuL21tYml6X3BuZy9jYkNMZ2ZKWmlicHJVREVuc2FKUDNra25vbkxKSVJIRk5FempZaFV3TGs5ZWV4bFAza2ljMmliVVJLbFRSOElMOXcyZ2c3NkVmSEZJc0lQRno3SWd3MHljUS82NDA?x-oss-process=image/format,png)

> 
> **提示**：修改配置SElinux后，要想使生效，必须要重启系统。因此，可配合使用`setenforce 0`这个临时关闭的命令，这样在重启前后都可以使得SElinux关闭生效了，也就是说无需立刻重启服务器了，在生产环境下Linux机器是不能随意重启的。
> 
> 
> 


4、关闭防火墙



> 
> 关闭防火墙的目的是为了让初学者学习更方便，将来在学了iptables技术后可再统一开启。在企业环境中，一般只有配置外网IP的linux服务器才需要开启防火墙，但即使是有外网IP，对于高并发高流量的业务服务器仍是不能开的，因为会有较大性能损失，导致网站访问很慢，这种情况下只能在前端加更好的硬件防火墙了。
> 
> 
> 

[root@qll251 ~]# iptables -F
[root@qll251 ~]# /etc/init.d/iptables stop
iptables：将链设置为政策 ACCEPT：filter [确定]
iptables：清除防火墙规则：[确定]
iptables：正在卸载模块：[确定]
[root@qll251 ~]# chkconfig iptables off
[root@qll251 ~]# service iptables stop

5、精简开机系统启动的服务



> 
> Linux服务器在运行过程中，会有很多默认的服务在运行，而且这些服务通常是没用的，这些服务占用了系统资源，存在安全隐患，因此关闭这些没用的服务
> 
> 
> 


**系统必须开启的5个服务**


**1）sshd**


远程连接服务，需要开启，要不然无法远程连接Linux


**2）crond**


一次性计划任务：at


周期计划任务：crontab


**3）rsyslog**


是操作系统中提供的一种机制，系统的守护程序通常会使用rsyslog 将各种信息写到系统日志文件中


**4）sysstat**


该服务包括监控系统性能及效率的一组工具。这些工具对于收集系统的性能数据很有帮助：核心工具包：


iostat : cpu使用率及硬盘吞吐效率工具


mpstat：提供单个或者多个处理器的数据


sar 负责收集，报告并存储系统活跃的信息


**5）network**


系统启动时，若想关闭或者激活各个网络接口，就必须启动该服务


验证以上5个服务是否开机自启：


![](https://imgconvert.csdnimg.cn/aHR0cHM6Ly9tbWJpei5xcGljLmNuL21tYml6X3BuZy9jYkNMZ2ZKWmlicHJVREVuc2FKUDNra25vbkxKSVJIRk5qbjBxdlRXWTZ5N1M0dGVuc2cyMGdwWlkyY2RPT2ljYXFZSVpPR1dINnFlaDJ5aEQwZUNkclZ3LzY0MA?x-oss-process=image/format,png)
一条命令关闭其他所有不必要的服务：


![](https://imgconvert.csdnimg.cn/aHR0cHM6Ly9tbWJpei5xcGljLmNuL21tYml6X3BuZy9jYkNMZ2ZKWmlicHJVREVuc2FKUDNra25vbkxKSVJIRk5pYmNWT2xxam40WGtpYXZVSExzU3FsQmtCNDd3UzQxNFBET21GYm5Ob3psVzlzaDNLTUNMeXlDUS82NDA?x-oss-process=image/format,png)
6、最小化原则安装



> 
> **最小化原则**对Linux系统安全来说极其重要：即**多一事不如少一事**。具体包括如下几个基本方面：
> 
> 
> 


* 安装Linux系统最小化，即选包最小化，yum安装软件包也要最小化，无用的包不装
* 开机自启动服务最小化，即无用的服务不开启。
* 操作命令最小化。例如：能用“rm -f test.txt” 就不用“rm -fr test.txt”.
* 登陆linux用户最小化。平台没有特殊需求不登陆root，用普通用户登录即可。
* 普通用户授权权限最小化，即只给用户必须的管理系统的命令，不能啥都可以干。
* Linux 系统文件及目录的权限设置最小化，禁止随意创建，更改，删除文件
* 程序服务运行最小化，即程序服务运行应尽量不用root身份运行。


7、更改SSH服务端远程登录的配置


1） 端口不要使用22



![img](https://img-blog.csdnimg.cn/img_convert/83d2e65ff6be1a031e123733f980f7d7.png)
![img](https://img-blog.csdnimg.cn/img_convert/15a0db162cdea51cd7b58007a2abece9.png)
![img](https://img-blog.csdnimg.cn/img_convert/9f1b91d58777de93b804031b3b120327.png)

**既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上运维知识点，真正体系化！**
加入社区》https://bbs.csdn.net/forums/4304bb5a486d4c3ab8389e65ecb71ac0
1725708725179)]

**既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上运维知识点，真正体系化！**
加入社区》https://bbs.csdn.net/forums/4304bb5a486d4c3ab8389e65ecb71ac0