linux系統優化

本文 centos 6.5 優化 的項有18處:

本文 centos 6.5 優化 的項有18處:1、centos6.5最小化安裝後啟動網卡2、ifconfig查詢IP進行SSH連結3、更新系統源并且更新系統4、系統時間更新和設定定時任5、修改ip位址、網關、主機名、DNS6、關閉selinux，清空iptables7、建立普通使用者并進行sudo授權管理8、修改SSH端口号和屏蔽root賬号遠端登陸9、鎖定關鍵檔案系統（禁止非授權使用者獲得權限）10、精簡開機自啟動服務11、調整系統檔案描述符大小12、設定系統字元集13、清理登陸的時候顯示的系統及核心版本14、核心參數優化15、定時清理/var/spool/clientmqueue16、删除不必要的系統使用者和群組17、關閉重新開機ctl-alt-delete組合鍵18、設定一些全局變量19.禁止使用Ctrl+Alt+Del快捷鍵重新開機伺服器(是為了防止機房人員誤操作重新開機伺服器)20.清空防火牆并設定規則1、啟動網卡

#centos6.x最小化安裝後，網卡預設不是啟動狀态ifup eth02、SSH連結 ifconfig 檢視IP後SSH終端連接配接。3、更新源 最小化安裝是沒有wget工具的，必須先安裝在修改源)

yum install wget備份原系統更新源

進入yum.repos.d目錄

cd /etc/yum.repos.d下載下傳網易鏡像源或者搜狐鏡像源

#下載下傳網易鏡像源：

#或者#下載下傳搜狐鏡像源：

網易搜狐的源可能有問題。

清空yum緩存

生存緩存

開始更新系統以及核心

必備軟體

4、系統時間更新和設定定時任務 第一種：更新時間并且寫入BOIS

或者：檢視時間伺服器的時間:

設定時間和時間伺服器同步:

第二種：更新時間并且寫入定時任務

第三種：每間隔5分鐘和10分鐘同步一次時間

提示：CentOS 6.x的時間同步指令路徑不一樣 6是/usr/sbin/ntpdate 5是/sbin/ntpdate5、修改ip位址、網關、主機名、DNS #eth0 網卡設定

檢查網卡配置

網關配置

#表示系統是否使用網絡，一般設定為yes。如果設為no，則不能使用網絡，而且很多系統服務程式将無法啟動

#設定本機的主機名，這裡設定的主機名要和/etc/hosts中設定的主機名對應

#設定本機連接配接的網關的IP位址。例如，網關為10.0.0.1或者192.168.1.1

修改主機DNS

修改HOSTS

#使用DNS域名伺服器來解析名字

#一台主機是否存在多個IP

#如果用逆向解析找出與指定的位址比對的主機名，對傳回的位址進行解析以确認它确實與您查詢的位址相配。為了防止“騙取”IP位址

重新開機網卡生效設定兩種方法

或者

6、關閉selinux，清空iptables 在伺服器配置完全成功後各項服務正常後，在開啟selinux檢視selinux狀态

第一種方法：/usr/bin/setstatus -v #如果顯示：SELinux status: enabled 就是開啟狀态第二種方法：cat /etc/selinux/config #如果顯示：SELINUX=enforcing 則是開啟狀态permissive有提醒的狀态 disabled是關閉第三種方法：grep SELINUX=disabled /etc/selinux/config第四種方法：getenforce修改selinux狀态 如果修改配置檔案則永久生效，但是必須要重新開機系統

第一種：vi /etc/selinux/config 修改 SELINUX=disabled第二種：sed –i ‘s/SELINUX=enforcing/SELINUX=disabled/g’ /etc/selinux/config如果想立即生效（如果想臨時性的改變） setenforce 0setenforce 1 設定SELinux 成為enforcing模式 setenforce 0 設定SELinux 成為permissive模式 檢視狀态 getenforceiptables防火牆規則清理了，根據需求定制

#清空iptables規則

#檢視iptables規則

#儲存規則，注意，雖然清空了，不儲存的話，重新開機後，又會有規則。

7、建立普通使用者并進行sudo授權管理 建立普通使用者 useradd lvtao 修改使用者密碼 passwd lvtao另一種方式：一次性建立使用者和設定密碼 echo "123456"|passwd --stdin lvtao&&history –c其中lvtao為你建立的使用者名sudo授權管理 打開sudo配置檔案 visudo

#按:set nu 檢視行，找到99行

#添加

8、修改SSH端口号和屏蔽root賬号遠端登陸

#備份SSH配置 

#修改SSH安全配置 

#SSH連結預設端口

#禁止root賬号登陸

#禁止空密碼

#不使用DNS

重新載入SSH配置 /etc/init.d/sshd reload 檢視端口裡面是否有剛才修改過的端口号52113

或者反查端口是那個程序

centos6.5最小化安裝沒有lsof工具需要 yum install lsof9、鎖定關鍵檔案系統（禁止非授權使用者獲得權限）

10、精簡開機自啟動服務注意: 剛裝完作業系統一般可以隻保留crond，network，syslog，sshd這四個服務。 後期根據業務需求制定自啟服務 #（Centos6.x為rsyslog Cetnos5.x為syslog） 如果是中文的話。可能會需要LANG=en 或者替換 3:on 成 3:啟用

#關閉全部服務

#或者

#開啟需要的服務

#或者需要使用防火牆的話可以開啟iptables和ip6tables

查詢下開啟的服務 chkconfig –list | grep 3:on 或者 chkconfig –list|grep 3:啟用

11、調整檔案描述符大小

#檢視檔案描述符大小

第一種：#這裡參考的是阿裡雲主機預設設定。

第二種：

第三種：把ulimit -SHn 65535指令加入到/etc/rc.local，然後每次重新開機生效 追加指令到rc.local配置檔案裡面

第四種：如果不修改limits配置檔案，直接立即生效，但重新開機後又恢複之前的預設。 ulimit -SHn 6553512、設定系統字元集第一種：

如果想用中文提示：LANG=”zh_CN.UTF-8″ 如果想用英文提示：LANG=”en_US.UTF-8″ 如果臨時切換也可以.UTF-8第二種：使用sed快速替換

13、清理登陸的時候顯示的系統及核心版本

#檢視登陸資訊 

#清理登陸資訊

14、核心參數優化 vi /etc/sysctl.conf

#以下參數是對centos6.x的iptables防火牆的優化，防火牆不開會有提示，可以忽略不理。#如果是centos5.X需要吧netfilter.nf_conntrack替換成ipv4.netfilter.ip

立即生效 /sbin/sysctl -p centos6.5可能會報錯

出現這個的原因是，沒有自動載入bridge橋接子產品

檢視橋接 lsmod|grep bridgecentos5.X可能會報錯 這個錯誤可能是你的防火牆沒有開啟或者自動處理可載入的子產品ip_conntrack沒有自動載入，解決辦法有二，一是開啟防火牆，二是自動處理開載入的子產品ip_conntrack

centos5.X解決方法：

centos6.X可能會報錯 這個錯誤可能是你的防火牆沒有開啟或者自動處理可載入的子產品ip_conntrack沒有自動載入，解決辦法有二，一是開啟防火牆，二是自動處理開載入的子產品ip_conntrack

centos6.X解決方法：

modprobe nf_conntrackecho "modprobe nf_conntrack">> /etc/rc.local注意：筆者在整理這篇centos6.5核心優化的時候發現，如果不開啟ip6tables去優化nf_conntrack子產品去執行上面的解決方法會依舊提示上面的error。是以在優化服務的時候，可以選擇留下iptables和ip6tables。當然如果不用iptables的話，在核心優化的時候就要去掉對nf_conntrack的設定，在進行/sbin/sysctl -p 是不會有錯誤提示的。15、如果安裝sendmail必須定時自動清理/var/spool/clientmqueue/下檔案防止inode節點被占滿

#centos6.5已經不自動安裝sendmail了是以沒必要走這一步優化

16、删除不必要的系統使用者和群組

#删除不必要的使用者

#删除不必要的群組

17、關閉重新開機ctl-alt-delete組合鍵

#注釋掉

18、設定一些全局變量

#設定自動退出終端，防止非法關閉ssh用戶端造成登入程序過多，可以設定大一些，機關為秒

#曆史指令記錄數量設定為10條(具體根據在即來定義)

#立即生效

19.禁止使用Ctrl+Alt+Del快捷鍵重新開機伺服器(是為了防止機房人員誤操作重新開機伺服器)

20.清空防火牆并設定規則

防火牆先要先放行端口然後再全部dport掉,不能先全部dport掉然後再accept,這樣如果我們是遠端連上的裝置的話會導緻我們無法連接配接到裝置上,隻能跑到機房裡面去弄裝置了.