故障排查与优化深入:生产环境服务器安全策略与系统性能优化评估

最新推荐文章于 2024-06-10 15:31:03 发布
最新推荐文章于 2024-06-10 15:31:03 发布
阅读量3.3k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43304804/article/details/86545886
版权
本文分享了Linux运维经验,包括精简安装策略、网络设置、Selinux和iptables配置、SSH安全策略、系统更新与NTP时钟服务、内核参数优化、系统故障排查思路与性能优化方法。详细讲解了如何确保服务器安全并提升性能。
摘要由CSDN通过智能技术生成
Linux运维经验分享与故障排查思路
  1. 线上服务器安装基本策略和经验
    精简安装策略:
  • 仅安装需要的,按需安装,不用不装
  • 开发包,基本网络包,基本应用包
    CentOS6.x
    在这里插入图片描述在这里插入图片描述CentOS7.x
    在这里插入图片描述系统盘按照默认分区方式
    数据盘单独挂载
  1. 线上服务器网络设置经验和技巧

2.1 Centos7.x下最好关闭的服务
该服务专门用来管理网络,如果不关闭该服务,当我们修改IP地址后可能会出现IP地址为改变的情况
在这里插入图片描述

#关闭NetworkManager服务,并关闭开机启动
[root@localhost ~]# systemctl stop NetworkManager
[root@localhost ~]# systemctl disable NetworkManager
Removed symlink /etc/systemd/system/multi-user.target.wants/NetworkManager.service.
Removed symlink /etc/systemd/system/dbus-org.freedesktop.NetworkManager.service.
Removed symlink /etc/systemd/system/dbus-org.freedesktop.nm-dispatcher.service.
[root@localhost ~]# systemctl status NetworkManager
● NetworkManager.service - Network Manager
   Loaded: loaded (/usr/lib/systemd/system/NetworkManager.service; disabled; vendor preset: enabled)
   Active: inactive (dead)
     Docs: man:NetworkManager(8)

如果不关闭此服务,那么此服务会接管Linux的网络设置。有时候会导致修改了网卡配置文件IP,但是网卡的IP不变的情况

2.2 关于DNS的设置
(1)临时修改DNS设置,修改立即生效,重启服务器或重启网络后恢复

[root@localhost ~]# cat /etc/resolv.conf 
; generated by /usr/sbin/dhclient-script
search localdomain
nameserver 192.168.100.2					#修改此条配置,DNS即可被修改。立即生效

修改/etc/resolv.conf文件里的nameserver,DNS即可被修改,立刻生效
但是重启网络或者重启服务器/etc/resolv.conf里的nameserver设置会被网卡配置文件的设置覆盖

[root@localhost ~]# vim /etc/resolv.conf
; generated by /usr/sbin/dhclient-script
search localdomain
nameserver 192.168.100.3			 #修改了此行配置
[root@localhost ~]# systemctl restart network
[root@localhost ~]# cat /etc/resolv.conf 
; generated by /usr/sbin/dhclient-script
search localdomain
nameserver 192.168.100.2				 #配置还原了

(2)永久修改DNS设置

[root@localhost ~]# cat /etc/sysconfig/network-scripts/ifcfg-ens33
TYPE=Ethernet
BOOTPROTO=static
NAME=ens33
DEVICE=ens33
ONBOOT=yes
IPADDR=192.168.100.112
NETMASK=255.255.255.0
GATEWAY=192.168.100.2
DNS1=192.168.100.2      #永久修改需要修改网卡配置文件本行
DNS2=202.106.0.20

2.3 关于服务器自身主机名的修改
Centos7.x

#永久修改主机名
[root@localhost ~]# cat /etc/hostname 
localhost.localdomain
[root@localhost ~]# vim /etc/hostname
#localhost.localdomain
Centos7.5
[root@localhost ~]# hostname Centos7.5
[root@localhost ~]# exit
logout
[root@Centos7 ~]#

2.4 关于服务器对自身主机名的映射

#映射服务器自身的主机名
[root@Centos7 ~]# echo "127.0.0.1 Centos7" >> /etc/hosts
[root@Centos7 ~]# cat /etc/hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
127.0.0.1 Centos7

请注意服务器映射自己的主机名,务必映射为127.0.0.1不要映射成网卡的IP
这是因为很多服务的运行都要验证自身的主机名是否被映射,不然会导致未知的故障

  1. 线上服务器Selinux,iptables策略设置

3.1 selinux配置(如何关闭selinux)

[root@Centos7 ~]# sestatus
SELinux status:                 disabled    #selinux 目前处于关闭状态

#永久关闭selinux开机自启动
[root@Centos7 ~]# cat /etc/selinux/config 

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=disabled        #当然selinux开启自启动不能(enforcing开启;disabled关闭)
# SELINUXTYPE= can take one of three two values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected. 
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted 

#临时关闭selinux
[root@Centos7 ~]# setenforce 0

3.2 iptables配置
如果我们的机房没有硬件防火墙的话,那么我们必须通过iptables对拥有公网网卡的服务器做安全

#防火墙配置文件/etc/sysconfig/iptables-config
#推荐配置
iptables -P INPUT ACCEPT
iptables -F
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 1.1.1.0/24 -p tcp -m tcp --dport 22 -j ACCEPT    		#放开公司内网环境 1.1.1.0/24网段的22端口给运维人员访问
iptables -A INPUT -s 2.2.2.2/32 -p tcp -m tcp --dport 22 -j ACCEPT			
iptables -A INPUT -i eth1 -j ACCEPT				#允许所用通过eth1进来的用户访问
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT				#以下是对web服务器的tcp连接做限制,防止tcp握手攻击
iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
  • 保存防火墙规则:iptables_save=“”
  • 禁止某个IP地址或网段访问
  • [ ](1)防火墙iptables -A INPUT -s1.1.1.0/24 -j DROP
  • [ ](2)nginx配置文件中location拒绝
  • [ ](3) nginx,deny
  • 允许所用通过eth1进来的用户访问:iptables -A INPUT -i eth1 -j ACCEPT
  • 可能出现的情况(web服务器):
    (1)不允许外网通过eth0网卡访问,但不限制内网通过eth1网卡出去
    (2)eth1为心跳线的网卡,允许心跳包通过
  • 企业防火墙规则:
  1. 打开所有内网,运维和开发各留两个内网网段
  2. web服务器打开tcp的80(8080)端口
  3. 存在心跳线的话,放开心跳线网卡
  4. 对数据包进行转发,是数据包能够从内网出外网,对外网进内网的数据包做限制
  5. 对web服务器的tcp连接做限制(模板)
  1. 线上服务器ssh登陆安全策略

4.1 ssh登陆策略
(1)登陆策略
备份:cp /etc/ssh/sshd_config{,.bak}

[root@www ~]# cat -n /etc/ssh/sshd_config.bak | sed -n '17p;38p;43p;47p;65p;79p;115p'
    17  #Port 22                    #修改ssh连接端口
    38  #PermitRootLogin yes        #是否允许root账号远程登陆
    43  #PubkeyAuthentication yes   #是否开启公钥连接认证
    47  AuthorizedKeysFile  .ssh/authorized_keys    #公钥文件的放置位置
    65  PasswordAuthentication yes  #是否开启密码验证登陆
    79  GSSAPIAuthentication yes    #是否关闭GSSAPI认证
   115  #UseDNS yes                 #是否关闭DNS反向解析
[root@www ~]# cat -n /etc/ssh/sshd_config | sed -n '17p;38p;43p;47p;65p;79p;115p'
    17  Port 22221                  #工作中需要设定到1万以上的端口,避免被扫描出来(生产环境),因为nmap能扫描1万一下的端口
    38  PermitRootLogin yes         #如果不是超大规模的服务器,为了方便我们可以暂时开启root远程登录
    43  PubkeyAuthentication yes    #开启公钥认证模式
    47  AuthorizedKeysFile  .ssh/authorized_keys    #公钥放置位置
    65  PasswordAuthentication no   #因为我们开启了root远程登录,因此为了安全我们关闭密码认证的方式
    79  GSSAPIAuthentication no     #关闭GSSAPI认证,极大提高ssh连接速度
   115  UseDNS no                   #关闭DNS反向解析,极大提高ssh连接速度

(2)设置xshell私钥登陆Linux

公钥在服务端,私钥在客户端,也就是说公钥只有一个,私钥可以有许多个;若想登陆对方服务器就需要把公钥给对方;
当用xshell登陆webA时,需要把私钥给xshell

#查看服务器端IP
[root@www .ssh]# hostname -I
192.168.200.174

#在Linux服务器端生成rsa密钥对
[root@www ~]# ssh-keygen 
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:royhAEKx9bhe4jLZ3SzfZ/yvhkzPgToDIx+1gSxoOLM root@www
The keys randomart image is:
+---[RSA 2048]----+
| . .             |
|  + o            |
| o..... .        |
|.+ o.. o o       |
|o =o .. S o .    |
|oE= +.o= . o .   |
|.+ +.ooo= = + .  |
| .o. +oo.+ * +   |
|  . . o. .= ooo. |
+----[SHA256]-----+

#将生成的公钥导入到服务器端的~/.ssh/authorized_keys文件里
[root@www ~]# cd .ssh/
[root@www .ssh]# ls
authorized_keys  id_rsa  id_rsa.p
最低0.47元/天 解锁文章
daisy_118
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
影响服务器运行的三点
09-09 177
服务器相对其他类型的主机稳定性更高,但其复杂的构造也导致不稳定的影响较多,主要表现在网站打不开或加载速度不一,后台需要重复登录等。 服务器设备运行复杂,在没有专业团队帮助的前提下站长最好不要擅自进行修复,但可以从以下几个方面先行判断: 一、硬件设备服务器上的硬件设备是否出现老化、陈旧或损坏的情况,这是出现服务器不稳定常见的原因之一。硬件设备的故障会导致传输速度、响应速度及处理速度等受到阻碍,其结果就是服务器端与网站客户端之间产生障碍,具体表现如网站加载速度时快时慢,响应客户请求慢等。 二、网站程序现在的页面
升级生产环境CentOS7的SSH,解决一些安全性问题
WSZJFNSM的博客
08-26 356
版权声明:本文为博主原创文章,遵循 CC 4.0 by-sa 版权协议,转载请附上原文出处链接和本声明。 本文链接: 升级生产环境SSH版本升级资源准备安装Telnet升级SSL升级SSH 升级资源准备 Telnet Telnet协议是TCP/IP协议族中的一员,是Internet远程登录服务的标准协议和主要方式。 SSL SSL(Secure Sockets Layer 安全套接...
centos网络配置方法(手动设置,自动获取)_generated by dhclient-script
最新发布
2401_85122799的博客
06-10 841
在面试前我花了三个月时间刷了很多大厂面试题,最近做了一个整理并分类,主要内容包括html,css,JavaScript,ES6,计算机网络,浏览器,工程化,模块化,Node.js,框架,数据结构,性能优化,项目等等。包含了腾讯、字节跳动、小米、阿里、滴滴、美团、58、拼多多、360、新浪、搜狐等一线互联网公司面试被问到的题目,涵盖了初中级前端技术点。HTML5新特性,语义化浏览器的标准模式和怪异模式xhtml和html的区别使用data-的好处meta标签canvasHTML废弃的标签。
Tomcat5.5.x配置整理
!Java
03-16 1万+
1.下载:http://www.eu.apache.org/dist/jakarta/tomcat-5/http://www.apache.org/dist/jakarta/tomcat-5/v5.5.x/bin/jakarta-tomcat-5.5.x-admin.ziphttp://www.apache.org/dist/jakarta/tomcat-5/v5.5.x/bin/jakarta-
【CentOS7 】yum安装出现[Errno 14] curl#6 - “Could not resolve host: download.fedoraproject.org时的解决办法
s_alted的博客
05-20 2707
今天学习Docker,打算新开一台虚拟机配置Docker环境。在安装相关包时出现了这么一条错误 错误如下: [Errno 14] curl#6 - "Could not resolve host: download.fedoraproject.org; Unknown error" 错误大概意思就是无法解析主机,通过百度和中文意思我觉得应该是dns配置的问题,砍下我的网络配置,没有添加DNS。 将DNS服务器地址添加上去: 成功解决! ...
OpenSSL 编程 二:搭建 CA
OnlyLove_的博客
06-26 8355
证书 – 为公钥加上数字签名证书是由认证机构颁发的,使用者需要对证书进行验证,因此如果证书的格式千奇百怪那就不方便了。于是,人们制定了证书的标准规范,其中使用最广泛的是由ITU(International TelecommumcationUnion,国际电信联盟)和ISO(IntemationalOrganizationforStandardization, 国际标准化组织)制定的X.509规范。很多应用程序都支持x.509并将其作为证书生成和交换的标准规范。X.509是一种非常通用的证书格式。所有的证书都
NTP时间服务器故障排查性能优化
NTP时间服务器故障排查 ## 1.1 NTP时间服务器原理和作用简介 网络时间协议(NTP)是一种用于同步计算机系统的时间的协议,它通过在计算机之间进行时间同步,确保整个网络中的计算机具有相同的时间。NTP时间服务器...
MySQL数据库日志分析实战:故障排查性能优化,让数据库问题无处遁形
[MySQL数据库日志分析实战:故障排查性能优化,让数据库问题无处遁形](https://stevenrombauts.be/images/posts/2018-03-02-summarize-mysql-slow-log-with-mysqldumpslow.png) # 1. MySQL数据库日志分析概述 ...
MySQL数据库故障排查与恢复指南:快速解决数据库问题
![MySQL数据库故障排查与恢复指南:快速解决数据库问题]...- **故障排查方法:**系统故障排查方法,包括问题定位、日志分析、性能监控等。 - **故障恢复:**常见故障的恢复步骤,如重置密码、修复表、恢复备份等
MySQL连接超时问题排查与解决:超时机制、原因分析和优化策略
[MySQL连接超时问题排查与解决:超时机制、原因分析和优化策略](https://img-blog.csdnimg.cn/direct/efde7e754c4940c58af07749725b9e62.png) # 1. MySQL连接超时概述** MySQL连接超时是指MySQL服务器与客户端之间...
服务器负载分析及问题排查
醒 木
11-08 2641
序言 平常的工作中,在衡量服务器的性能时,经常会涉及到几个指标,load、cpu、mem、qps、rt等。每个指标都有其独特的意义,很多时候在线上出现问题时,往往会伴随着某些指标的异常。大部分情况下,在问题发生之前,某些指标就会提前有异常显示。 对于这些指标的理解和查看、异常解决等,是程序员们重要的必备技能。本文,主要来介绍一下一个比较重要的指标——机器负载(Load),主要涉及负载的定义、查看负载方式、负载飙高排查思路等。 什么是负载 In UNIX computing, the system load
SSL安全证书生成及概念解释
weixin_42258128的博客
08-20 4577
SSL安全证书-概念解析   一、关于证书 数字证书是一种认证机制。简单点说,它代表了一种由权威机构颁发授权的安全标志。 由来 在以前,传统网站采用HTTP协议进行数据传输,所有的数据几乎都用的明文,很容易发生隐私泄露。为了解决安全问题,大家开始考虑采用加解密的方案,于是乎诞生了公钥加密(非对称加解密)及签名算法。浏览器从服务端得到公钥,经过协商并生成动态密钥,此后所有的请求响应都基于动...
克隆的linux没有网卡,解决centos创建完整克隆后 网卡无法使用问题
weixin_33122947的博客
05-01 286
1、登陆克隆的虚拟机2、确认网关地址命令:more /etc/resolv.conf; generated by /sbin/dhclient-scriptsearch localdomainnameserver 192.168.246.2 ## 网关地址3、修改配置文件:70-persistent-net.rules命令:vi /etc/udev/rules.d/70-persistent-...
http:/222.212.79/app/zscd.html,register.html
weixin_34644635的博客
06-21 1万+
账号注册//鼠标滑过显示$(function () {$(".dropdown").mouseover(function () {$(this).addClass("open");});$(".dropdown").mouseleave(function(){$(this).removeClass("open");})})ZTCK首页中文中文English登录|...
埋葬了我曾经的执着与思恋题记不过是所谓的世界末日
u011523820的专栏
07-27 7897
早就说明了此生的使命。我们明明都会料到事情的结局,却要走一段很远的行程去探索它的意义,我们的路途,不过是在毫无意义的上演一个闹剧。用生命去搏斗,到头来,我们一无所有,一败涂地。归结于宿命,这个游戏,人应当去感谢文字,毕竟我曾经懂得了什么才是真正的情感抒发。冰冷的月光停在了窗台边,她不再靠近,也许是怕惹起了未眠之人的伤心事。我轻轻的吸了一口气,缓缓呼出,这夜,仿佛更加静寞了,泛滥的思绪也愈加淫润了。
生产环境服务器安全策略系统性能优化评估
weixin_30755393的博客
07-03 1417
生产环境服务器安全策略系统性能优化评估 1. Linux的运维经验分享与故障排查思路 1.1 线上服务器安装基本策略和经验 精简安装策略: 仅安装需要的,按需安装,不用不装 开发包,基本网络包,基本应用包 1.1.1 CentOS-6.x 1.1.2 CentOS-7.x 盘系统-默认按照分区方式 数据盘单独挂载 1.2 线上服务器网络设置经验和技巧 1.2.1 Centos7...
nginx配置访问图片路径以及html静态页面的调取方法
热门推荐
kjsayn的博客
08-31 10万+
给大家讲一个快速配置nginx访问图片地址,以及访问html静态页面的配置。 1.实验环境 首先随便某个路径下创建相应的目录。如图下 2.在里面放自定义的html或者图片。 3.nginx配置 #user nobody; worker_processes 1; #error_log logs/error.log; #error_log logs/error.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值