Linux生产优化实践基础笔记

1、Linux对分区的要求。
（1）至少要有根/分区；
（2）swap分区的作用：虚拟内存，内存的1.5倍；
（3）/boot 100M.

2、添加一个普通用户账号。

[root@lvtong data]# useradd studyboy
[root@lvtong data]# passwd sutudyboy
Changing password for user studyboy.
New password:
BAD PASSWORD: it is too simplistic/systematic
BAD PASSWORD: is too simple
Retype new password:
passwd: all authentication tokens updated successfully.

切换用户。

[root@lvtong data]#   <==超级用户提示符
[studyboy@lvtong ~]$  <==普通用户提示符
su - studyboy
su - root             <== 切换用户

修改密码。

echo 123456|passwd --stdin studyboy
Changing password for user studyboy.
passwd: all authentication tokens updated successfully.
history -d 468  # 删除第几行历史记录
history -c   # 清空历史记录

3、使用更新源的国内镜像。

cat /etc/yum.repos.d/CentOS-Base.repo # 查看安装源路径
# 先备份，再修改
cp /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup  #备份
wget http://mirrors.163.com/.help//CentOS6-Base-163.repo  #下载
cp CentOS6-Base-163.repo CentOS-Base.repo  #替换即可
yum install tree telnet dos2unix sysstat lrzsz -y # sysstat 性能监控，lrzsz 上传下载
yum upgradc  #更新补丁,一般不建议更新，更新容易出问题。
yum grouplist #查看已经安装的包
yum groupinstall "Development Tools" 安装软件包

4、安装后的基本调优。
（1）关闭Selinux是美国国家安全局对于强制访问控制的实现。一般90%企业关闭这个。

[root@ltong selinux]# sed -i s#SELINUX=enforcing#SELINUX=disabled#g /etc/selinux/config # 修改配置文件则永久生效，但是必须要重启系统
[root@ltong selinux]# grep disabled /etc/selinux/config # 查看修改已否
#     disabled - No SELinux policy is loaded.
SELINUX=disabled
[root@ltong selinux]# getenforce # 查看状态
Enforcing
[root@ltong selinux]# setenforce 0 # 临时生效命令
[root@ltong selinux]# getenforce
Permissive

（2）设定runlevel为3.

init 3 # 切换命令启动模式
grep 3:initdefault /etc/inittab

（3）精简开机系统启动的服务
命令内处理方法：1）ntsysv; 2)setup-system service; 3)脚本一键完成处理。

LANG=en
#假如留四个启动：crond(定时任务),network,rsyslog,sshd
chkconfig --list|grep "3:on"  #查看命令行启动的软件集
abrt-ccpp      	0:off	1:off	2:off	3:on	4:off	5:on	6:off
abrtd          	0:off	1:off	2:off	3:on	4:off	5:on	6:off
acpid          	0:off	1:off	2:on	3:on	4:on	5:on	6:off
atd            	0:off	1:off	2:off	3:on	4:on	5:on	6:off
auditd         	0:off	1:off	2:on	3:on	4:on	5:on	6:off
blk-availability	0:off	1:on	2:on	3:on	4:on	5:on	6:off
cpuspeed       	0:off	1:on	2:on	3:on	4:on	5:on	6:off
crond          	0:off	1:off	2:on	3:on	4:on	5:on	6:off
haldaemon      	0:off	1:off	2:off	3:on	4:on	5:on	6:off
ip6tables      	0:off	1:off	2:on	3:on	4:on	5:on	6:off
iptables       	0:off	1:off	2:on	3:on	4:on	5:on	6:off
irqbalance     	0:off	1:off	2:off	3:on	4:on	5:on	6:off
kdump          	0:off	1:off	2:off	3:on	4:on	5:on	6:off
lvm2-monitor   	0:off	1:on	2:on	3:on	4:on	5:on	6:off
mcelogd        	0:off	1:off	2:off	3:on	4:off	5:on	6:off
mdmonitor      	0:off	1:off	2:on	3:on	4:on	5:on	6:off
messagebus     	0:off	1:off	2:on	3:on	4:on	5:on	6:off
netfs          	0:off	1:off	2:off	3:on	4:on	5:on	6:off
network        	0:off	1:off	2:on	3:on	4:on	5:on	6:off
postfix        	0:off	1:off	2:on	3:on	4:on	5:on	6:off
rsyslog        	0:off	1:off	2:on	3:on	4:on	5:on	6:off
sshd           	0:off	1:off	2:on	3:on	4:on	5:on	6:off
sysstat        	0:off	1:on	2:on	3:on	4:on	5:on	6:off
udev-post      	0:off	1:on	2:on	3:on	4:on	5:on	6:off

for st in `chkconfig --list|grep "3:on"|awk '{print $1}'`;do chkconfig $st off;done
# 3的先全部关闭
for st in crond network sshd rsyslog;do chkconfig $st on;done #open

for st in `chkconfig --list|grep "3:on"|awk '{print $1}'|grep -vE "crond|network|rsyslog|sshd"`;do chkconfig $st off;done  #一条命令解决

（4）、更改ssh服务远程登陆的配置

/etc/ssh/sshd_config  修改此文件的端口号，禁止远程使用root操作
Port 52113
PermitRootLogin no  # root用户黑客都知道的，禁止它远程登陆
PermitEmptyPasswords no # 禁止空密码登录
UseDNS no #不使用DNS
 /etc/init.d/sshd restart   #重启生效
Stopping sshd:                                             [  OK  ]
Starting sshd:                                             [  OK  ]
 /etc/init.d/iptables stop   #关闭防火墙

（5）、让普遍用户拥有指定角色root权限。

visudo --》98gg -->yy-->p 98行，复制，粘贴

（6）、修改中文显示。

vi /etc/sysconfig/i18n
LANG="zh_CN.GB18030"
source /etc/sysconfig/i18n  #生效：

（7）、服务器时间同步。
Linux时间服务同步的方法：ntp服务时间同步

yum install ntpdate -y   #安装ntpdate
ntpdate  time.nist.gov  #将从time.nist.gov同步时间

若上面的时间服务器不可用，也可以选择以下服务器同步时间
time.nist.gov
time.nuri.net
0.asia.pool.ntp.org
1.asia.pool.ntp.org
2.asia.pool.ntp.org
3.asia.pool.ntp.org
使用crontab计划任务定时更新网络时间，修改crontab文件，在末尾增加*/5 * * * * /usr/sbin/ntpdate time.nist.gov，每隔5分钟同步一次时间。

echo '#time syne by studyboy at 2018-09-24' >>/var/spool/cron/root
echo '*/5 * * * * /usr/sbin/ntpdate time.nist.gov>>/var/spool/cron/root
crontab -l
#time syne by studyboy at 2018-09-24
*/5 * * * * /usr/sbin/ntpdate time.nist.gov
date       #使用date命令查看当前时间
hwclock --systohc #系统时间同步到硬件，防止系统重启后时间呗还原

（8）、文件描述符。

ulimit -n #查看大小
ulimit -HSn 65535 #临时修改，重新登陆失效
echo '* - nofile 65535'>>/etc/security/limits.conf #修改配置
tail -1 /etc/security/limits.conf #查看
source /etc/security/limits.conf #启动生效

（9）、锁定系统关键文件。

chattr +i /etc/passwd /etc/shadow /etc/group /etc/inittab /etc/gshadow
chattr -i  #解锁
mv /usr/bin/chattr /usr/bin/studyboy1 #隐藏命令
 lsattr /etc/passwd   #查看是否锁定
----i--------e- /etc/passwd

（10）、清空/etc/issue,去除系统及内核版本登陆前的屏幕显示。

>/etc/issue
cat /dev/null >/etc/issue