众所周知,linux操作系统的调优越来越受到重视,网上各种资料也是数不胜数,思路不一,在此,我也将我这几年来使用linux的经验整理一下,也希望能够帮助到大家。
按照我的思路,linux系统优化分为两个方向:linux安全和性能调优
方向一:linux安全
1.关闭selinux
sed -i ‘s/SELINUX=enforcing/SELINUX=disabled/’ /etc/selinux/config
重启生效,selinux非常强大,但是也会给我们带来各种问题,所以,一般情况下,会把它禁用掉
2.更改ssh服务远程登录的配置
Port 2222 #ssh连接默认端口22,一般会改成其他端口
PermitRootLogin no # root用户是否禁止远程登录
PermitEmptyPasswords no #禁止空密码登录
UseDNS no #不使用DNS
GSSAPIAuthentication no #让ssh连接更快
Systemctl restart sshd # 重启生效
3.将普通帐号加入到sudo管理
不同用户有不同的权限,这个要根据公司需求,开发运维权限各不相同,此处只给一些例子
vim /etc/sudoers
1. root ALL=(ALL) ALL
2. steve ALL=(ALL) NOPASSWD:ALL # 拥有全部的权限但不需要密码
3. %dev ALL=(ALL) 指定权限 # 给指定的组指定的权限
su - steve
sudo useradd abc
tail -1 /etc/passwd
sudo ss -anptu | grep ssh
4.锁定关键文件系统
chattr +i /etc/passwd
chattr +i /etc/inittab
chattr +i /etc/group
chattr +i /etc/shadow
chattr +i /etc/gshadow
使用chattr命令后,为了安全我们需要将其改名
/bin/mv /usr/bin/chattr /usr/bin/xxx (改名为其他)
还可以将其他危险的命令进行改名
5.去除系统及内核版本登录的提示信息
cat /dev/null >/etc/issue
6.用户登录日志备份处理:
last # 查看用户登录信息
lastlog # 不管用户登录没登录,都可以看
lastb # 用户登录失败的日志
用户登录日志及时备份处理,防止内容被篡改
安全方面的优化不止这几项,大家还可以再做补充