linux 服务装机前的优化工作。
- echo “>/etc/udev/rules.d/70-persistent-net.rules” >/etc/rc.local 开机自动执行
2.关闭SELINUX sed -i ‘s#SELINUX=enforcing#SELINUX=disabled#g’ /etc/selinux/config
getenforce (查看SELINUX) setenforce 0(允许) setenforce 1(拒绝)
3.chkconfig | egrep -v “crond|sshd|network|rsyslog|sysstat” | awk ‘{print “chkconfig”,$1,”off”}’ | bash(精简开机自启动服务)
4.清理多余用户,添加用户,并添加sudo 授权
useradd zhou
cp /etc/sudoers /etc/sudoers.ori
echo “zhou ALL=(ALL) NOPASSWD:ALL” >>/etc/sudoers
tail -1 /etc/sudoers
visudo -c(检查语法是否正确)
5.中文字符集
cp /etc/sysconfig/i18n /etc/sysconfig/i18n.ori
echo ‘LANG=“zh_CN.UTF.8”’ >/etc/sysconfig/i18n
source /etc/sysconfig/i18n(使上文生效)。
echo $LANG - 时间同步
echo “#time sync by zhou at 2018-7-24” >>var/spool/cron/root
echo “/5 * /usr/sbin/ntpdate time.nist.gov >/dev/null 2>&1” >>var/spool/cron/root
crontab -l (查看)(做好的话需要配置时间同步服务器ntp) - 命令行安全
echo “export TMOUT=300” >>/etc/profile
echo “export HISTSIZE=5” >>/etc/profile
echo “HISTFILESIZE=5” >>/etc/profile
tail -3 /etc/profile
source /etc/profile - 加大文件描述符(内核利用文件描述符来访问文件。打开现存文件或新建文件时,内核会返回一个文件描述符。读写文件也需要使用文件描述符来指定待读写的文件)
echo “* - nofile 65535” >>/etc/security/limits.conf
tail -1 /etc/security/limits.conf(高并发环境下需要加大文件描述符) - 内核优化
优化方法是 cat >>vi /etc/sysctl.conf<<EOF
net.ipv4.tcp_fin_timeout = 2
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_keepalive_time = 600
net.ipv4.ip_local_port_range = 4000 65000
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.tcp_max_tw_buckets = 36000
net.ipv4.route.gc_timeout = 100
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_synack_retries = 1
net.core.somaxconn = 16384
net.core.netdev_max_backlog = 16384
net.ipv4.tcp_max_orphans = 16384
#以下参数是对防火墙的优化,防火墙不开会提示,可以忽略不理
net.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_tcp_timeout_established = 180
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_fine_wait = 120
EOF
10.更改默认的远程链接ssh服务端口,禁止root用户远程登陆,甚至要更改SSH
服务只监听内网ip 【vim /etc/ssh/sshd.conf(服务端配置文件),/et/ssh/ssh.conf(客户端配置文件)】
11.配置yum更新源,从国内更新源下载安装软件包。【vim /etc/yum.repos.d/CentOS-Base.repos.d(修改前都做好备份) 只修改其中{baseurl} {addons}{extras}{centosplus}这几项中的baseurl和gpgkey为相应源地址即可。修改完成后,清空yum缓存,并重建yum缓存(yum clean all &&yum clean &&yum cl)】
【国内更新源1.上海交大 http://ftp.sjtu.edu.cn/centos - 中国科技大学 http://centos.ustc.edu.cn
- sohu的开源镜像服务器 http://mirrors.sohu.com
- 网易的开源服务器镜像:http://mirrors.163.com/centos
】
12.定时自动清理邮件临时目录垃圾文件,防止磁盘inodes数被小文件占满(邮件临时存放地点 /var/spool/postfix/maildrop)
13锁定关键系统文件如/etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab
14 >/etc/issue(隐藏系统版本信息)
15禁止主机被ping{iptables -A INPUT -p icmp –icmp-type 8 -j DROP
iptables -A INPUT -p icmp –icmp-type 0 -j ACCEPT
iptables -A INPUT -p icmp –icmp-type 3 -j ACCEPT
iptables -A INPUT -p icmp -j DROP}
16打补丁升级有已知漏洞的软件