在運維工作中,我們發現Linux系統安裝之後並不能立即投入生產環境使用,往往需要先經過我們運維人員的優化才行
優化條目:
修改ip地址、網關、主機名、DNS等
關閉selinux,清空iptables
添加普通用戶並進行sudo授權管理
更新yum源及必要軟件安裝
定時自動更新服務器時間
精簡開機自啓動服務
定時自動清理/var/spool/clientmqueue/目錄垃圾文件,放置inode節點被佔滿
變更默認的ssh服務端口,禁止root用戶遠程連接
鎖定關鍵文件系統
調整文件描述符大小
調整字符集,使其支持中文
去除系統及內核版本登錄前的屏幕顯示
內核參數優化
1、修改ip地址、網關、主機名、DNS等
root@localhost ~]# vi /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0 #網卡名字
BOOTPROTO=static #靜態IP地址獲取狀態 如:DHCP表示自動獲取IP地址
IPADDR=192.168.1.113 #IP地址
NETMASK=255.255.255.0 #子網掩碼
ONBOOT=yes #引導時是否激活
GATEWAY=192.168.1.1
[root@localhost ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
BOOTPROTO=static
IPADDR=192.168.1.113
NETMASK=255.255.255.0
ONBOOT=yes
GATEWAY=192.168.1.1
[root@localhost ~]# vi /etc/sysconfig/network
HOSTNAME=c64 #修改主機名,重啓生效
GATEWAY=192.168.1.1 #修改默認網關,如果上面eth0裏面不配置網關的話,默認就使用這裏的網關了。
[root@localhost ~]# cat /etc/sysconfig/network
HOSTNAME=c64
GATEWAY=192.168.1.1
我們也可以用 hostname c64 來臨時修改主機名,重新登錄生效
修改DNS
[root@localhost ~]# vi /etc/resolv.conf #修改DNS信息
nameserver 114.114.114.114
nameserver 8.8.8.8
[root@localhost ~]# cat /etc/resolv.conf #查看修改後的DNS信息
nameserver 114.114.114.114
nameserver 8.8.8.8
[root@localhost ~]# service network restart #重啓網卡,生效
重啓網卡,也可以用下面的命令
[root@localhost ~]# /etc/init.d/network restartysconfig/network-scripts/ifcfg-eth0
2.關閉selinux,清空iptables
關閉selinux
[root@c64 ~]# sed –i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config #修改配置文件則永久生效,但是必須要重啓系統。
[root@c64 ~]# grep SELINUX=disabled /etc/selinux/config
SELINUX=disabled #查看更改後的結果
[root@c64 ~]# setenforce 0 #臨時生效命令
[root@c64 ~]# getenforce #查看selinux當前狀態
Permissive
清空iptables
[root@c64 ~]# iptables –F #清理防火牆規則
[root@c64 ~]# iptables –L #查看防火牆規則
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[root@c64 ~]#/etc/init.d/iptables save #保存防火牆配置信息
3.添加普通用戶並進行sudo授權管理
[root@c64 ~]# visudo
在root ALL=(ALL) ALL此行下,添加如下內容
sunsky ALL=(ALL) ALL
4、更新yum源及必要軟件安裝
yum安裝軟件,默認獲取rpm包的途徑從國外官方源,改成國內的源。
國內較快的兩個站點:搜狐鏡像站點、網易鏡像站點
接下來執行如下命令,檢測yum是否正常
1.[root@c64 yum.repos.d]# yum clean all #清空yum緩存
2.[root@c64 yum.repos.d]# yum makecache #建立yum緩存m repolist
然後使用如下命令將系統更新到最新
1 2 | [root@c64 yum.repos.d]# rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY* #導入簽名KEY到RPM [root@c64 yum.repos.d]# yum upgrade-y #更新系統內核到最新 |
接下來就要安裝幾個必要的軟件了
1 | [root@c64 yum.repos.d]# yum install lrzsz ntpdate sysstat -y |
lrzsz是一個上傳下載的軟件
sysstat是用來檢測系統性能及效率的工具
5、定時自動更新服務器時間
[root@c64 ~]# echo '*/5 * * * * /usr/sbin/ntpdate time.windows.com >/dev/null 2 >&1' >>/var/spool/cron/root
[root@c64 ~]# echo '*/10 * * * * /usr/sbin/ntpdate time.nist.gov >/dev/null 2>&1' >>/var/spool/cron/root
提示:CentOS 6.4的時間同步命令路徑不一樣
6是/usr/sbin/ntpdate
5是/sbin/ntpdate
擴展:在機器數量少時,以上定時任務同步時間就可以了。如果機器數量大時,可以在網內另外部署一臺時間同步服務器NTP Server。此處僅提及,不做部署。
6、精簡開機自啓動服務
剛裝完操作系統可以只保留crond,network,syslog,sshd這四個服務。(Centos6.4爲rsyslog)
for sun in `chkconfig --list|grep 3:on|awk '{print $1}'`;do chkconfig --level 3 $sun off;done
for sun in crond rsyslog sshd network;do chkconfig --level 3$sun on;done
chkconfig --list|grep 3:on
7、定時自動清理/Var/Spool/Clientmqueue/目錄垃圾文件,放置Inode節點被佔滿
[root@c64 ~]# mkdir /server/scripts -p
[root@c64 ~]# vi /server/scripts/spool_clean.sh
#!/bin/sh
find /var/spool/clientmqueue/ -type f -mtime +30|xargs rm -f
然後將其加入到crontab定時任務中
[root@c64 ~]# echo '*/30 * * * * /bin/sh /server/scripts/spool_clean.sh >/dev/null 2>&1' >>/var/spool/cron/root
8、變更默認的Ssh服務端口,禁止Root用戶遠程連接
[root@c64 ~]# cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
[root@c64 ~]# vim /etc/ssh/sshd_config
Port 52113 #ssh連接默認的端口
PermitRootLogin no #root用戶***都知道,禁止它遠程登錄
PermitEmptyPasswords no #禁止空密碼登錄
UseDNS no #不使用DNS
[root@c64 ~]# /etc/init.d/sshd reload #從新加載配置
[root@c64 ~]# netstat -lnt #查看端口信息
[root@c64 ~]# lsof -i tcp:52113 //lsof(list open files)是一個列出當前系統打開文件的工具
9、鎖定關鍵文件系統
[root@c64 ~]# chattr +i /etc/passwd
[root@c64 ~]# chattr +i /etc/inittab
[root@c64 ~]# chattr +i /etc/group
[root@c64 ~]# chattr +i /etc/shadow
[root@c64 ~]# chattr +i /etc/gshadow
使用chattr命令後,爲了安全我們需要將其改名
[root@c64 ~]# /bin/mv /usr/bin/chattr /usr/bin/任意名稱
10、調整文件描述符大小
[root@localhost ~]# [root@localhost ~]# ulimit –n #查看文件描述符大小 1024 [root@localhost ~]# echo '* - nofile 65535' >> /etc/security/limits.conf
配置完成後,重新登錄即可查看。
提示:也可以把ulimit -SHn 65535命令加入到/etc/rc.local,然後每次重啓生效
[root@c64 ~]# cat >>/etc/rc.local<
擴展:文件描述符
文件描述符在形式上是一個非負整數。實際上,它是一個索引值,指向內核爲每一個進程所維護的該進程打開文件的記錄表。當程序打開一個現有文件或者創建一個新文件時,內核向進程返回一個文件描述符。在程序設計中,一些涉及底層的程序編寫往往會圍繞着文件描述符展開。但是文件描述符這一概念往往只適用於Unix、Linux這樣的操作系統。
習慣上,標準輸入(standard input)的文件描述符是 0,標準輸出(standard output)是 1,標準錯誤(standard error)是 2。儘管這種習慣並非Unix內核的特性,但是因爲一些 shell 和很多應用程序都使用這種習慣,因此,如果內核不遵循這種習慣的話,很多應用程序將不能使用。
11、調整字符集,使其支持中文
sed -i 's#LANG="en_US.UTF-8"#LANG="zh_CN.GB18030"#' /etc/sysconfig/i18n source /etc/sysconfig/i18n
擴展:什麼是字符集?
簡單的說就是一套文字符號及其編碼。常用的字符集有:
GBK 定長雙字節不是國際標準,支持系統不少
UTF-8 非定長 1-4字節廣泛支持,MYSQL也使用UTF-8
12、去除系統及內核版本登錄前的屏幕顯示
[root@c64 ~]# >/etc/redhat-release[root@c64 ~]# >/etc/issue
13、內核參數優化
說明:本優化適合apache,nginx,squid多種等web應用,特殊的業務也可能需要略作調整。
[root@c64 ~]# vi /etc/sysctl.conf
#by sun in 20131001
net.ipv4.tcp_fin_timeout = 2
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_keepalive_time =600
net.ipv4.ip_local_port_range = 4000 65000
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.tcp_max_tw_buckets = 36000
net.ipv4.route.gc_timeout = 100
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_synack_retries = 1
net.core.somaxconn = 16384
net.core.netdev_max_backlog = 16384
net.ipv4.tcp_max_orphans = 16384
#一下參數是對iptables防火牆的優化,防火牆不開會有提示,可以忽略不理。
net.ipv4.ip_conntrack_max = 25000000
net.ipv4.netfilter.ip_conntrack_max = 25000000
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 180
net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait = 120
net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait = 60
net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait = 120
[root@localhost ~]# sysctl –p #使配置文件生效
提示:由於CentOS6.X系統中的模塊名不是ip_conntrack,而是nf_conntrack,所以在/etc/sysctl.conf優化時,需要把net.ipv4.netfilter.ip_conntrack_max 這種老的參數,改成net.netfilter.nf_conntrack_max這樣纔可以。
即對防火牆的優化,
在5.8上是
net.ipv4.ip_conntrack_max = 25000000
net.ipv4.netfilter.ip_conntrack_max = 25000000
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 180
net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait = 120
net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait = 60
net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait = 120
在6.4上是
net.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_tcp_timeout_established = 180
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120
另外,在此優化過程中可能會有報錯:
1、5.8版本上
error: "net.ipv4.ip_conntrack_max" is an unknown key
error: "net.ipv4.netfilter.ip_conntrack_max" is an unknown key
error: "net.ipv4.netfilter.ip_conntrack_tcp_timeout_established" is an unknown key
error: "net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait" is an unknown key
error: "net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait" is an unknown key
error: "net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait" is an unknown key
這個錯誤可能是你的防火牆沒有開啓或者自動處理可載入的模塊ip_conntrack沒有自動載入,解決辦法有二,一是開啓防火牆,二是自動處理開載入的模塊ip_conntrack
modprobe ip_conntrack
echo "modprobe ip_conntrack" >> /etc/rc.local
2、6.4版本上
error: "net.nf_conntrack_max" is an unknown key
error: "net.netfilter.nf_conntrack_max" is an unknown key
error: "net.netfilter.nf_conntrack_tcp_timeout_established" is an unknown key
error: "net.netfilter.nf_conntrack_tcp_timeout_time_wait" is an unknown key
error: "net.netfilter.nf_conntrack_tcp_timeout_close_wait" is an unknown key
error: "net.netfilter.nf_conntrack_tcp_timeout_fin_wait" is an unknown key
這個錯誤可能是你的防火牆沒有開啓或者自動處理可載入的模塊ip_conntrack沒有自動載入,解決辦法有二,一是開啓防火牆,二是自動處理開載入的模塊ip_conntrack
modprobe nf_conntrack
echo "modprobe nf_conntrack" >> /etc/rc.local
3、6.4版本上
error: "net.bridge.bridge-nf-call-ip6tables" is an unknown key
error: "net.bridge.bridge-nf-call-iptables" is an unknown key
error: "net.bridge.bridge-nf-call-arptables" is an unknown key
這個錯誤是由於自動處理可載入的模塊bridge沒有自動載入,解決辦法是自動處理開載入的模塊ip_conntrack
modprobe bridge
echo "modprobe bridge" >> /etc/rc.local