centos7 初始系统优化+及目录讲解

CentOS 7系统安装后的基础优化

 

1、系统版本内核信息

[root@center ~]# cat /etc/redhat-release

CentOS Linux release 7.3.1611 (Core)

[root@center ~]# uname -a

Linux center 3.10.0-514.2.2.el7.x86_64 #1 SMP Tue Dec 6 23:06:41 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux

[root@center ~]# uname -m 系统信息

x86_64

[root@center ~]# uname -r 内核版本信息

3.10.0-514.2.2.el7.x86_64

2、修改主机名

 

[root@localhost ~]# hostnamectl --static set-hostname zhongshabi 须要退出当前用户登陆窗口再从新登陆后

 

3、配置yum源

 

https://mirrors.tuna.tsinghua.edu.cn/help/centos/ 清华源

http://mirrors.163.com/.help/centos.html 163 源

http://mirrors.aliyun.com/repo/Centos-7.repo 阿里云源

 

yum clean all 清空yum缓存

yum makecache

 

 

4、关闭SELinux及iptables

SELinux，它是一个 Linux 内核模块，也是 Linux 的一个安全子系统。

SELinux 主要由美国国家安全局开发。2.6 及以上版本的 Linux 内核都已经集成了 SELinux 模块。

SELinux 的结构及配置很是复杂，并且有大量概念性的东西，要学精难度较大。不少 Linux 系统管理员嫌麻烦都把 SELinux 关闭了。

注意：若是不关闭会致使不少服务及应用没法正常工做，都被拦截了

例子：上次重作高仿服务器时，就由于忽略了这个selinux致使本地host解析后网站就是打不开

关闭方法

1、当前关闭，服务器重启后失效

 

[root@zhongshabi ~]# getenforce 获取当前selinux

Enforcing

[root@zhongshabi ~]# setenforce 0 修改当前selinux 值设置成0或者1

[root@zhongshabi ~]# getenforce

Permissive # 宽松的

 

2、配置文件修改selinux，修改配置文件，重启服务器生效

SELINUX=disabled # 修改成disabled便可，默认为Enforcing

# SELINUXTYPE= can take one of three two values:

#     targeted - Targeted processes are protected,

#     minimum - Modification of targeted policy. Only selected processes are protected.

#     mls - Multi Level Security protection.

SELINUXTYPE=targeted

 

5、同步服务器时间

安装工具

yum install ntpdate -y  

ntpdate 时间服务器有不少，能够网上搜索一下

ntpdate 192.168.1.80 同步服务器时间。192.168.1.80 是咱们本身作的一个时间服务器

能够写入到crontab中按期同步

 

 

 

6、文件描述符

扩展：文件描述符

文件描述符在形式上是一个非负整数。实际上，它是一个索引值，指向内核为每个进程所维护的该进程打开文件的记录表。当程序打开一个现有文件或者建立一个新文件时，内核向进程返回一个文件描述符。在程序设计中，一些涉及底层的程序编写每每会围绕着文件描述符展开。

可是文件描述符这一律念每每只适用于Unix、Linux这样的操做系统。

习惯上，标准输入（standard input）的文件描述符是 0，

标准输出（standard output）是 1，

标准错误（standard error）是 2。

尽管这种习惯并不是Unix内核的特性，可是由于一些 shell 和不少应用程序都使用这种习惯，所以，若是内核不遵循这种习惯的话，不少应用程序将不能使用。

[root@localhost ~]# ulimit –n    

1024    #查看文件描述符大小1024

[root@localhost ~]# ulimit -n 65536

[root@localhost ~]# ulimit -n

65536 临时生效

 

[root@localhost ~]# echo '*  -  nofile  65536' >> /etc/security/limits.conf

 

配置完成后，从新登陆便可查看。

提示：也能够把ulimit -SHn 65535命令加入到/etc/rc.local，而后每次重启生效

[root@c64 ~]# cat >>/etc/rc.local<<EOF

#open files

ulimit -HSn 65535

#stack size

ulimit -s 65535

EOF

 

 

* -    nofile  65536  

* - nproc  65536  

 

或者

 

* soft    nofile  65536  

* hard    nofile  65536  

* soft nproc  65536

* hard nproc  65536

 

 

soft nproc: 可打开的文件描述符的最大数(软限制)

hard nproc： 可打开的文件描述符的最大数(硬限制)

soft nofile：单个用户可用的最大进程数量(软限制)

hard nofile：单个用户可用的最大进程数量(硬限制)

 

 

7、配置linux内核参数

 

[root@zhongshabi ~]# vim /etc/sysctl.conf 内核参数配置文件

#关闭ipv6

net.ipv6.conf.all.disable_ipv6 = 1

net.ipv6.conf.default.disable_ipv6 = 1

#避免放大攻击

net.ipv4.icmp_echo_ignore_broadcasts = 1

#开启恶意icmp错误消息保护

net.ipv4.icmp_ignore_bogus_error_responses = 1

#关闭路由转发

net.ipv4.ip_forward = 0 开起路由转发将0改成1便可

net.ipv4.conf.all.send_redirects = 0

net.ipv4.conf.default.send_redirects = 0

#开启反向路径过滤

net.ipv4.conf.all.rp_filter = 1

net.ipv4.conf.default.rp_filter = 1

#处理无源路由的包

net.ipv4.conf.all.accept_source_route = 0

net.ipv4.conf.default.accept_source_route = 0

#关闭sysrq功能

kernel.sysrq = 0

#core文件名中添加pid做为扩展名

kernel.core_uses_pid = 1

#开启SYN洪水攻击保护

net.ipv4.tcp_syncookies = 1 表示开启SYN Cookies。当出现SYN等待队列溢出时，启用cookies来处理，可防范少许SYN攻击，默认为1，表示开启的； 表示SYN队列的长度，默认为1024，加大队列长度为8192，能够容纳更多等待链接的网络链接数

net.ipv4.tcp_max_syn_backlog = 262144

#修改消息队列长度

kernel.msgmnb = 65536

kernel.msgmax = 65536

#设置最大内存共享段大小bytes

kernel.shmmax = 68719476736

kernel.shmall = 4294967296

#timewait的数量，默认180000

net.ipv4.tcp_max_tw_buckets = 6000

net.ipv4.tcp_sack = 1

net.ipv4.tcp_window_scaling = 1

net.ipv4.tcp_rmem = 4096  87380   4194304 TCP读buffer，可参考的优化值: 32768 436600 873200 net.ipv4.tcp_wmem = 4096  16384   4194304 tcp写buffer，可参考的优化值: 8192 436600 873200

net.core.wmem_default = 8388608 TCP写buffer的默认值

net.core.rmem_default = 8388608 TCP读buffer的默认值

net.core.rmem_max = 16777216 TCP写buffer的最大值

net.core.wmem_max = 16777216 TCP写buffer的最大值

#每一个网络接口接收数据包的速率比内核处理这些包的速率快时，容许送到队列的数据包的最大数目

net.core.netdev_max_backlog = 262144

#限制仅仅是为了防止简单的DoS 攻击

net.ipv4.tcp_max_orphans = 3276800

#未收到客户端确认信息的链接请求的最大值

net.ipv4.tcp_max_syn_backlog = 262144

net.ipv4.tcp_timestamps = 0

#内核放弃创建链接以前发送SYNACK 包的数量

net.ipv4.tcp_synack_retries = 1

#内核放弃创建链接以前发送SYN 包的数量

net.ipv4.tcp_syn_retries = 1

#启用timewait 快速回收 net.ipv4.tcp_tw_recycle = 1

#开启重用。容许将TIME-WAIT sockets 从新用于新的TCP 链接

net.ipv4.tcp_tw_reuse = 1

net.ipv4.tcp_mem = 94500000 915000000 927000000

net.ipv4.tcp_fin_timeout = 1

#当keepalive 起用的时候，TCP 发送keepalive 消息的频度。缺省是2 小时

net.ipv4.tcp_keepalive_time = 30

#容许系统打开的端口范围

net.ipv4.ip_local_port_range = 1024    65000

#修改防火墙表大小，默认65536

#net.netfilter.nf_conntrack_max=655350

#net.netfilter.nf_conntrack_tcp_timeout_established=1200

#确保无人能修改路由表

net.ipv4.conf.all.accept_redirects = 0

net.ipv4.conf.default.accept_redirects = 0

net.ipv4.conf.all.secure_redirects = 0

net.ipv4.conf.default.secure_redirects = 0

 

[root@zhongshabi ~]# sysctl -p  保存生效

 

8、服务器根目录文件名都表明什么意思

1.bin是系统有不少放置执行文件的目录，但/bin比较特殊。由于/bin放置的是在单人维护模式下还可以被操做的指令。/bin底下的指令能够被root与通常帐号所使用，主要有：cat,chmod,chown,date,mv,mkdir.cp,bash等经常使用的指令

2.boot这个目录主要在放置开机会使用到的档案，包括Linux核心档案以及开机选单与开机所需配置文件等等。Linux kernel经常使用的档名为：vmlinuz，若是使用的是gurb这个开机管理程序，则还会存在/boot/gurb这个目录

3.dev任何装置与接口设备都是以档案的型态存在于这个目录中的。

4.etc系统主要的配置文件几乎都放置在这个目录内，

5.home这是系统默认的用户家目录(home directory)。

6.lib放置的则是在开机时会用到的函式库

8.media底下放置的就是可移除的装置，包括软盘、光盘、DVD等等装置都暂时挂载于此。常见的档名有： /media/floppy, /media/cdrom等等。 

9.mnt暂时挂载某些额外的装置

10.opt这个是给第三方软件放置的目录。

11.proc这个目录自己是一个『虚拟文件系统(virtual filesystem)』，他放置的数据都是在内存当中，例如系统核心、行程信息(process)、周边装置的状态及网络状态等等。由于这个目录下的数据都是在内存当中，因此自己不占任何硬盘空间，比较重要的档案例如：/proc/cpuinfo, /proc/dma, /proc/interrupts, /proc/ioports, /proc/net/* 等等。 

12.root系统管理员(root)的家目录。

13.sbinLinux有很是多指令是用来设定系统环境的，

14.tmp这是让通常用户或者是正在执行的程序暂时放置档案的地方。这个目录是任何人都可以存取的，因此你须要按期的清理一下。

15.srv能够规为『service』的缩写，是一些网络服务吪启动后，这些服务所须要取用的数据目录。

16.sys这个目录其实跟/proc很是相似也是一个虚拟的文件系统，主要也是记录与核心的相关的信息。

17.usr是『Unix 操做系统软件资源』所放置的目录

18.var 是在系统运做后才会渐渐占用硬盘容量的目录。用于存储