Linux系统优化

CentOS6.7_x64系统优化：

1 关闭selinux

#Disable SElinu

setenforce 0

sed -i '/SELINUX=enforcing/cSELINUX=disabled' /etc/selinux/config

 

2 关闭防火墙

#Stop iptables

/etc/init.d/iptables stop

/etc/init.d/ip6tables stop

chkconfig ip6tables off

chkconfig ip6tables off

 

3 设置运行级别为3，mini安装方式默认为3

sed -i 's/^id:[0-6]/id:3/' /etc/inittab

 

4 精简开机启动服务（iptables/ip6tables已经关闭）

#Stop services

chkconfig --list | grep "3:on"|grep -vE "crond|messagebus|network|rsyslog|sshd|sysstat"| awk '{print"chkconfig",$1,"off"}' |bash

 

运行级别为3的服务

[root@localhost ~]# chkconfig --list | grep"3:on"

abrt-ccpp           0:off 1:off 2:off 3:on 4:off 5:on 6:off#ABRT进程，提供对c/c++问题分析报告

abrtd              0:off 1:off 2:off 3:on 4:off 5:on 6:off#ABRT( Automatic Bug Reporting Tool)守护进程，须要root权限并在后台运行

acpid              0:off 1:off 2:on 3:on 4:on 5:on 6:off#电源管理进程

atd               0:off 1:off 2:off 3:on 4:on 5:on 6:off#任务调度进程（执行一次）

auditd             0:off 1:off 2:on 3:on 4:on 5:on 6:off#内核审计进程

blk-availability          0:off 1:on 2:on 3:on 4:on 5:on 6:off#块设备管理工具

cpuspeed          0:off 1:on 2:on 3:on 4:on 5:on 6:off#CPU速度控制进程

crond             0:off 1:off 2:on 3:on 4:on 5:on 6:off #计划任务进程（周期性执行）

haldaemon        0:off 1:off 2:off 3:on 4:on 5:on 6:off#硬件抽象层进程，主要收集硬件信息

irqbalance           0:off 1:off 2:off 3:on 4:on 5:on 6:off#CPU负载均衡管理进程

kdump           0:off 1:off 2:off 3:on 4:on 5:on 6:off#在系统崩溃是转储内核信息的进程

lvm2-monitor        0:off 1:on 2:on 3:on 4:on 5:on 6:off#lvm监视进程

mdmonitor        0:off 1:off 2:on 3:on 4:on 5:on 6:off#软radi监视进程

messagebus       0:off 1:off 2:on 3:on 4:on 5:on 6:off#主要提供与dbus通讯服务

netfs              0:off 1:off 2:off 3:on 4:on 5:on 6:off#文件系统自动挂载服务（NFS,samba）

network           0:off 1:off 2:on 3:on 4:on 5:on 6:off #网络接口开启/关闭守护进程

postfix              0:off 1:off 2:on 3:on 4:on 5:on 6:off#poxtfix邮件服务

rsyslog             0:off 1:off 2:on 3:on 4:on 5:on 6:off #日志信息收集服务

sshd              0:off 1:off 2:on 3:on 4:on 5:on 6:off #ssh远程登陆进程

sysstat             0:off 1:on 2:on 3:on 4:on 5:on 6:off #系统性能监视工具服务

udev-post           0:off 1:on 2:on 3:on 4:on 5:on 6:off#设备管理服务

5 SSH服务配置

#SSH

sed -ir '13i Port 22\nPermitRootLoginyes\nPermitEmptyPasswords no\nUseDNS no\nGSSAPIAuthentication no'/etc/ssh/sshd_config

 

6 建立普通管理员帐号并经过sudo受权管理

#sudo user

groupadd -g 601 admin

useradd -u 601 -g admin admin

\cp /etc/sudoers /etc/sudoers.ori

echo "admin ALL=(ALL)NOPASSWD:ALL" >>/etc/sudoers

 

7 系统字符集设置（默认选择英文）

cat /etc/sysconfig/i18n

LANG="en_US.UTF-8"

SYSFONT="latarcyrheb-sun16"

中文需设置为”zh_CN.UTF8”

 

8 NTP时间同步

在内网环境中，一般会部署1-2台NTP时间服务器，进行与网络时间同步，内网其余设备均经过内网NTP服务器进行时间同步

 

9 修改历史记录数

echo 'export HISTSIZE=1000'>>/etc/profile

echo 'export HISTFILESIZE=1000'>>/etc/profile

 

10 修改登陆超时

echo 'export TMOUT=300'>>/etc/profile

 

11 文件描述符修改

企业的生产部门可能报告系统文件没法打开的问题，此时须要注意是不是文件打开数量太少所致

#Open files

echo '*                        -        nofile                  65535'>>/etc/security/limits.conf

12 内核经常使用优化参数

#Kernel

cat >>/etc/sysctl.conf<<EOF

net.ipv4.tcp_fin_timeout=2

net.ipv4.tcp_tw_reuse=1

net.ipv4.tcp_tw_recycle=1

net.ipv4.tcp_syncookies=1

net.ipv4.tcp_keepalive_time=600

net.ipv4.ip_local_port_range = 4000  65000

net.ipv4.tcp_max_syn_backlog= 16384

net.ipv4.tcp_max_tw_buckets=36000

net.ipv4.route.gc_timeout=100

net.ipv4.tcp_syn_retries=1

net.ipv4.tcp_synack_retries=1

net.core.somaxconn=16384

net.core.netdev_max_backlog=16384

net.ipv4.tcp_max_orphans=16384

EOF

 

13 修改版本信息

经过修改/etc/issue与/etc/issue.net改变系统显示的版本信息

 

14 清除多余系统帐号

在了解公司具体业务后，能够禁用多余的系统帐号。

 

16 为grub菜单加密

除非安全要求很是高，不然一般管理员不会专门设置grub密码

 

17 锁定关键文件

chart +i /etc/passwd等，通常不会锁定，除非安全性要求很是高

 

18 软件升级

升降相关软件，应该在本地搭建yum仓库，内网设备从本地yum从库进行更新