linux之系统基本优化

关闭selinux功能

SElinux是美国国家安全局（NSA）对于强制访问控制的实现。在实际工作中通常会选择关闭，采用其他的安全手段实施。

在/etc/selinux/config文件里面修改SELINUX变量的值，改为disabled。

可以vim/etc/selinux/config在文件里面手动替换。也可以seq  –i ‘s/SELINUX=enforcing/SELINUX=disabled/g’ /etc/selinux/config

这样改后需要重启服务器后才永久生效。但实际工作中，linux服务器通常是不允许随便重启的，我们就可以在手动的临时关闭此功能，临时关闭selinux功能可以用setenforce  0来设置。这样结合使用，就可以达到，重启前和重启后都生效。

 

运行级别

/etc/inittab这是系统启动的重要文件，也可以修改启动的级别。

runlevel是查看当前系统运行级别。init N是切换运行级别（N是对应的运行级别0-6，共7种）。

运行级别0：系统停机状态，系统默认运行级别不能设为0，否则不能正常启动
运行级别1：单用户工作状态，root权限，用于系统维护，禁止远程登陆
运行级别2：多用户状态(没有NFS)
运行级别3：完全的多用户状态(有NFS)，登陆后进入控制台命令行模式
运行级别4：系统未使用，保留
运行级别5：X11控制台，登陆后进入图形GUI模式
运行级别6：系统正常关闭并重启，默认运行级别不能设为6，否则不能正常启动

#linux系统启动流程

 

精简开机启动

常见方法：

第一种：ntsysv命令进入设置界面，空格键是控制关闭/开启，tab键切换到退出/确认。还可以通过chkconfig --list命令查看或关闭系统所有服务的运行级别，显示内容也就是对应相应的系统启动级别而选择默认启动或者默认关闭服务。

第二种：利用setup工具，在system service里面修改该，其后操作同第一种

第三种：利用脚本一次性关闭

chkconfig  –list |grep 3:on | awk ‘{print $1}’ | sed ‘s/\(.*\)/chkconfig \1 off/g’ | bash

此命令会把所有系统启动级别为3的所有默认开启的服务改为默认关闭。

命令解释：列出所有服务，过滤出包含3:on的行（系统启动3级别下默认打开），打印第一列（服务的名字），将其替换成chkconfig服务名 off，再用bash执行各个命令语句。

 

关闭iptables防火墙

关闭防火墙是为了学习方便，以后在统一关闭。企业环境一般只有外网IP的服务器才需要开启防火墙，但是高并发的业务服务又不能开，会有较大性能损失，只能在前端加硬件防火墙。

命令：

/etc/init.d/iptables  stop

同样可以用setup工具去关闭。

 

更改ssh服务端远程登录的配置

Windows服务器的默认远程管理端口是3389，管理员用户是administrator，普通用户guset。

Linux的管理用户是root，普通用户很多，远程连接默认端口port 22，因为这些都是默认的（黑客都知道），为了系统安全，我们要隐藏或者更改默认的配置才行。

/etc/ssh/sshd_config这个文件就是服务器（ssh_config是客户端的）ssh连接的配置文件，修改前为了安全起见，建议先备份下。

用vi打开这个文件：

改默认端口：#port 22一行去掉注释符号将22改为你要的端口，或者在新的一行写 port 你修改的端口号（后面的修改同理）。

是否允许空密码：#PermitEmptyPasswords 确保后面值是no

是否允许远程登录使用DNS：#UseDNS确保后面值是no

是否允许root远程登录：#PermitRootLogin 确保后面值是no

#GSSAPIAuthentication改为no可以解决远程连接慢的问题

/etc/init.d/sshd  restart 来重启ssh服务让修改的配置生效，当前已登录的用户不会受到影响，下次登录才会有影响。

Netstat？？？？？

 

sudo命令管理

sudo命令是让用户以其他用户的身份执行没有权限执行的命令。

visudo 命令可以用vi来打开sudo配置文件。

正常情况下在98行(普通模式输入98g直接跳转)有root    ALL=(ALL)       ALL在本行下添加lilei         ALL=(ALL)       /bin/touch 一行，保存退出。切换到lilei 用户（命令：su - lilei），现在可以在root的家目录下面touch文件了，

如：sudo  touch/root/hehe.txt

每次执行sodu命令都要输入root密码，可以将添加的行内容第三列改为NOPASSWD:ALL，这样以后执行sudo命令时，就无需输入密码了。

我们需要增加lilei用户的可执行sudo的命令时，只要在最后加命令路径就行了，用逗号分隔开。如：/bin/touch,/bin/ls,/bin/cat

 

一些关于配置的命令和变量

which 查找命令所在路径

whereis 查找命令、帮助、源文件

locate 根据数据库查找，updatedb可以更新这个库

ulimit –n 查看文件描述符上限。

变量HISTAIZE是控制history的上限

变量TMOUT是控制连接超时

 

隐藏linux版本信息提示

/etc/issue文件存放的是本地主机登录的提示信息

可以清空， > /etc/issue，主要是防止所用系统基本信息泄露

利用chattr –i 文件名 是给指定文件上锁，防止别人修改文件内容。chattr –i是解锁

最后更新：

2015.10.21