一:关闭selinux
第一步:
cd /etc/selinux
第二步:
sed -i 's/selinu=enforcing/selinux=disabled/g' config 修改配置文件重启后 永久生效
第三步:
setenforce 0 关闭当前状态的selinux
注意:生产环境中主机不可能随便重启动,所以2,3两步既可以让现在状态临时下关闭selinux,也可以满足重启动后也是关闭的
getenforce 查看当前selinux状态
二:将运行级别设为3
runlevel 查看运行级别
三:清理开机服务
for i in `chkconfig --list|grep "3:on"|awk '{print $1}' | grep -ve "crond|network|sshd|rsyslog"`
do
chkconfig $i off;chkconfig --list |grep "3:on"
done
关闭除crond|network|sshd|rsyslog 之外的其他所有服务
四:最小化原则
1 安装系统最小化
2 开启程序服务最小化
3 操作最小化原则,rm -f test.txt
4 登录最小化原则,平时没有需求不用root登录
5 权限最小化
6 配置参数合理,不用最大化
五:更改sshf服务登录的配置
1 port 51224 修改默认端口
2 permitrootlogin no 禁用root 账号远程登陆,但是本地能够登陆
3 permitemptypasswords no 禁止空密码登陆
4 usedns no 不使用dns
5 gssapiauthentication no
service sshd restart 重启服务后生效
部分可能需要开通防火墙才可以连接或者关闭防火墙 /etc/init.d/iptables stop
六:用户角色切换
生产环境下一般操作都使用普通账户,只有特殊命令才使用root账户,以保证系统安全无误操作
在知道root密码的情况下:使用su - root 切换到root权限
在不知道root密码的情况下:使用sudo 进行root权限下命令的执行 》执行sudo的前提是,管理员要事先为普通用户设置sudo
sudo -l 查看自己的权限
注意:
su - 该命令是真正的用户角色转换命令(默认是切换到root),输入的是root密码
su - 与su - root 是一个意思:都是切换到root下
su - wu 是 完全切换到wu这个账号上,需要输入wu账号的密码
------------------------------
sudo 该命令是通过sudo权限进行角色转换(默认是切换到root)输入的是执行该命令当时执行命令的账号的密码, 非root密码。
七:字符集调整
lang="en_us.utf-8"
八:服务器时间同步
1 /usr/sbin/ntpdate time.nist.gov 临时同步ntp
2 设置 crontab 实时同步
如果服务器很多,可以自己搭建ntp服务器
九:加大服务器文件描述符
1 临时加大,但重启后失效:ulimit -hsn 65535
2 永久生效: echo "* - nofile 65535" >>/etc/security/limits.conf
退出登录在重新登录设置生效
十:内核参数的基本调优
vim /etc/sysctl.conf
sysctl -p 生效
net.ipv4.tcp_fin_timeout = 2
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_keepalive_time = 600
net.ipv4.ip_local_port_range = 400065000
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.tcp_max_tw_buckets = 36000
net.ipv4.route.gc_timeout = 100
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_synack_retries = 1
net.core.somaxconn = 16384
net.core.netdev_max_backlog = 16384
net.ipv4.tcp_max_orphans = 16384
![linux-svn卸载与安装[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)