优化最小化原则
1 安装系统最小化
2 开启程序服务最小化
3 操作最小化原则。例如:rm -f test.txt
4 登录最小化原则。例如:平时没有需求不用root登录
5 权限最小化
6 配置参数合理,不用最大化
关闭selinux
第一步:
cd /etc/selinux
第二步:
sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config #修改配置文件重启系统后永久生效
第三步:
setenforce 0 #使用命令关闭当前状态的selinux
getenforce #查看当前selinux状态
注意:生产环境中主机不可能随便重启动,所以2,3两步既可以让现在状态临时下关闭selinux,也可以满足重启动后也是关闭的
将运行级别设为3
centos6运行级别设置
系统运行级别配置文件在/etc/inittab
Default runlevel.The runlevels used are:
0 - halt
1 - Single user mode
2 - Multiuser,withouts NFS
3 - Full multiuser mode
4 - unused
5 - X11
6 - reboot (Do Not set initdefault to this)
即:
# 0 - 停机 ,机器关闭。
# 1 - 单用户模式 。就像Win9x下的安全模式类似
# 2 - 多用户,但是没有NFS 进入无网络服务的多用户模式
# 3 - 完全多用户模式 ,是标准的运行级。
# 4 - 没有用到 ,一般不用,在一些特殊情况下可以用它来做一些事情。例如在笔记本 电脑的电池用尽时,可以切换到这个模式来
# 5 - X11 ,进到X Window系统了。
# 6 - 重新启动 ,运行init 6机器就会重启
runlevel 查看运行级别
centos7运行级别设置
#查看默认运行级别的方式为
systemctl get-default
#设置默认运行级别的方式
systemctl set-default TARGET.target
清理开机服务
centos6:
#关闭除crond|network|sshd|rsyslog 之外的其他所有服务
for i in `chkconfig --list|grep "3:on"|awk '{print $1}' | grep -vE "crond|network|sshd|rsyslog"`
do
chkconfig $i off
done
chkconfig --list | grep "3:on"
centos7:
systemctl list-unit-files | grep enabled | sort
------
auditd.service enabled # 安全审计 保留
chronyd.service enabled # 时间同步服务器,如果安装NTP,则关闭
crond.service enabled # 定时任务 保留
dbus-org.fedoraproject.FirewallD1.service enabled # 防火墙依赖组件,关闭防火墙则自动关闭
dbus-org.freedesktop.NetworkManager.service enabled # 桌面网卡管理,关闭 NetworkManager则自动关闭
dbus-org.freedesktop.nm-dispatcher.service enabled # 网卡管理组件,关闭 NetworkManager则自动关闭 自定
NetworkManager-dispatcher.service enabled # 网卡守护进程 关闭
NetworkManager.service enabled # 网卡管理 自定
default.target enabled # 默认启动项 multi-user.target的软连接,如果关闭则进不了命令行界面 保留
dm-event.socket enabled ------------
firewalld.service enabled -----------------
getty@.service enabled # tty控制台相关 保留
irqbalance.service enabled # 优化系统中断分配 保留
kdump.service enabled # 内核崩溃信息捕获 自定内核崩溃信息捕获 自定
lvm2-lvmetad.socket enabled # lvm卷管理 保留
lvm2-lvmpolld.socket enabled # lvm卷管理 保留
lvm2-monitor.service enabled # lvm卷管理 保留
microcode.service enabled # 处理器稳定性增强 保留
multi-user.target enabled # 启动用户命令环境 保留
postfix.service enabled # 邮件服务 关闭
remote-fs.target enabled # 集合远程文件挂载点 自定
rsyslog.service enabled # 日志服务 保留
sshd.service enabled # ssh登陆 保留
systemd-readahead-collect.service enabled # 内核调用--预读取 保留
systemd-readahead-drop.service enabled -----------保留
systemd-readahead-replay.service enabled ----------保留
tuned.service enabled --------------------
例如:
systemctl enable tuned.service #将tuned服务设置为开机自启
systemctl disable tuned.service #取消tuned服务为开机自启
更改ssh服务登录的配置(/etc/ssh/sshd_config)
1 Port 51224 #修改默认端口
2 PermitRootLogin no #禁用root 账号远程登陆,但是本地能够登陆
3 PermitEmptyPasswords no #禁止空密码登陆
4 UseDNS no 不使用DNS
5 GSSAPIAuthentication no #是否允许使用基于 GSSAPI 的用户认证。默认值为"no"。仅用于SSH-2。修改这个 GSSAPIAuthentication 为 no,可以加快 SSH 登录。
#注:重启服务后生效service sshd restart 或systemctl restart sshd
用户角色切换
前言
生产环境下一般操作都使用普通账户,只有特殊命令才使用root账户,以保证系统安全无误操作
在知道root密码的情况下:
使用su - root 切换到root权限
在不知道root密码的情况下:
使用sudo 进行root权限下命令的执行 >>> 执行sudo的前提是,管理员要事先为普通用户设置sudo
sudo -l 查看自己的权限
注意:
su - # 该命令是真正的用户角色转换命令(默认是切换到root),输入的是root密码
su - 与su - root # 一个意思:都是切换到root下
su - wu # 完全切换(包括环境变量)到wu这个账号上,需要输入wu账号的密码
sudo # 该命令是通过sudo权限进行角色转换(默认是切换到root)输入的是执行该命令当时执行命令的账号的密 码,非root密码。创建用户设置sudo权限,普通用户可以通过sudo命令来执行root权限才可以执行的命令, sudo可以执行的命令需要root用户预先设定,可以在配置文件/etc/sudoers,如果没有该配置文件,则需要安 装sudo工具 "yum insatll -y sudo"
vim /etc/sudoers # 编辑/etc/sudoers文件加入如下内容
#下面第一个例子表示:Allow root to run any commands anywhere,第一个ALL是用来限定hanhq用户可以切换的用户身份,第二个(ALL)是用来限定test用户IP地址,第三个ALL是可以使用的命令(这里全部使用的ALL就是不限制)。
用户 机器=(授权哪个角色的权利) 命令
admin ALL=(ALL) ALL
test ALL=(ALL) /usr/bin/touch, /usr/sbin/useradd #允许test用户使用touch和useradd命令
test1 ALL=(ALL) NOPASSWD: ALL #NOPASSWD表示使用sudo时不需要输入认证
字符集调整
centos6:
cat /etc/sysconfig/i18n
LANG="en_US.UTF-8"
# 字符集变量存储文件:/etc/sysconfig/i18n
centos7:
vim /etc/locale.conf
LANG="en_US.UTF-8" 或 LANG="zh_CN.UTF-8" #前面为英文后面为中文,二选一
# 查看现在字符集格式
cat /etc/locale.conf 或 echo $LANG
#修改完,执行source /etc/locale.conf 使其生效,centos7存储位置:/etc/locale.conf
注意:编辑/etc/locale.conf修改字符集可永久生效,需重启系统
服务器时间同步
#临时同步ntp
/usr/sbin/ntpdate time.nist.gov
#设置 crontab 实时同步
echo "0 */8 * * * /usr/sbin/ntpdate time.nist.gov > /dev/null 2>&1" >> /var/spool/cron/root
注:如果服务器很多,可以自己搭建NTP服务器
加大服务器文件描述符
文件描述符在形式上是一个非负整数。实际上,它是一个索引值,指向内核为每一个进程所维护的该进程打开文件的记录表。当程序打开一个现有文件或者创建一个新文件时,内核向进程返回一个文件描述符。在程序设计中,一些涉及底层的程序编写往往会围绕着文件描述符展开。但是文件描述符这一概念往往只适用于UNIX、Linux这样的操作系统
#临时加大,但重启后失效:
ulimit -HSn 65535
#永久生效:
echo "* - nofile 65535" >>/etc/security/limits.conf
#退出登录在重新登录设置生效
内核参数的基本调优
内核参数 | 参数详解 |
net.ipv4.tcp_fin_timeout = 2 | 表示如果套接字由本端要求关闭,这个参数决定了它保持在FIN-WAIT-2状态的时间。 |
net.ipv4.tcp_tw_reuse = 1 | 表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接,默认为0,表示关闭。 |
net.ipv4.tcp_tw_recycle = 1 | 表示开启TCP连接中TIME-WAIT sockets的快速回收,默认为0,表示关闭。
|
net.ipv4.tcp_syncookies = 1 | 表示开启SYN Cookies。当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击,默认为0,表示关闭。 |
net.ipv4.tcp_keepalive_time = 600 | 表示当keepalive起用的时候,TCP发送keepalive消息的频度。缺省是2小时,改为30分钟。 |
net.ipv4.ip_local_port_range = 4000 65000 | 表示用于向外连接的端口范围。缺省情况下很小:32768到61000,改为4000到65000。 |
net.ipv4.tcp_max_syn_backlog = 16384 | 表示SYN队列长度,默认1024,改成16384,可以容纳更多等待连接的网络连接数。 |
net.ipv4.tcp_max_tw_buckets = 36000 | 表示系统同时保持TIME_WAIT套接字的最大数量。 |
net.ipv4.route.gc_timeout = 100 | 路由缓存刷新频率,当一个路由失败后多长时间跳到另一个路由,默认是300。 |
net.ipv4.tcp_syn_retries = 1 | 在内核放弃建立连接之前发送SYN包的数量。 |
net.ipv4.tcp_synack_retries = 1 | syn-ack握手状态重试次数,默认5,遭受syn-flood攻击时改为1或2。 |
net.core.somaxconn = 16384 | Linux kernel参数,表示socket监听的backlog(监听队列)上限。 |
net.core.netdev_max_backlog = 16384 | 该参数决定了,网络设备接收数据包的速率比内核处理这些包的速率快时,允许送到队列的数据包的最大数目。 |
net.ipv4.tcp_max_orphans = 16384 | 最大孤儿套接字(orphan sockets)数,单位是个。注意:当cat /proc/net/sockstat看到的orphans数量达到net.ipv4.tcp_max_orphans的约一半时,就会报:Out of socket memory。 |