Linux系统基础优化

一、关闭防火墙iptables： （1）关闭 /etc/init.d/iptables stop （2）检查 /etc/init.d/iptables status （3）设置开机不自动启动 chkconfig iptables off （4）检查 chkconfig --list iptables 二、关闭selinux（安全）： 说明：永久生效，需要重启计算机。 （1）检查配置文件 cat /etc/selinux/config # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=enforcing # SELINUXTYPE= can take one of these two values: # targeted - Targeted processes are protected, # mls - Multi Level Security protection. SELINUXTYPE=targeted （2）修改配置文件 sed -i "s#SELINUX=enforcing#SELINUX=disabled#g" /etc/selinux/config （3）不重启系统的临时生效办法 setenforce 0 #设置Permissive模式 getenforce #查生效情况 （4）参数说明 # enforcing - SELinux security policy is enforced. 正常开启 # permissive - SELinux prints warnings instead of enforcing. 打印警告，但是也是禁止了。 # disabled - No SELinux policy is loaded. 禁止状态。 三、更改yum源： （1）创建备份目录 mkdir -p /etc/yum.repos.d/{default,back} ###记住，每次操作之前一定要备份！备份！备份！重要的事说三遍 （2）备份所有默认的配置文件 \mv /etc/yum.repos.d/repo /etc/yum.repos.d/default （3）获取yum源 wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo （4）备份yum源 \cp /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/default 四、精简开机自启动服务： （1）只保留重要的基础服务，其余全部关闭 chkconfig --list|egrep -v "sysstat|crond|sshd|network|rsyslog"|awk '{print "chkconfig "$1,"off"}'|bash （2）检查 chkconfig --list|grep 3:on 五、修改Linux服务器字符集： （1）检查配置文件 cat /etc/sysconfig/i18n 里面默认应该有以下2行内容： LANG="en_US.UTF-8" ###默认每次提示为英文，如果不熟悉英语的小伙伴可以进行下列操作 SYSFONT="latarcyrheb-sun16" （2）备份配置文件 cp /etc/sysconfig/i18n{,.back} （3）修改（此步选做） 说明：可以将字符集修改为中文的，也可以不修改。 echo 'LANG="zn_CN.UTF-8"' > /etc/sysconfig/i18n echo 'SYSFONT="latarcyrheb-sun16"' >> /etc/sysconfig/i18n （4）生效 source /etc/sysconfig/i18n （5）检查 echo $LANG 六、内核优化： （1）修改配置文件/etc/sysctl.conf，添加如下内容（直接一次性复制以下所有内容，在命令行里粘贴执行即可） cat >>/etc/sysctl.conf<<EOF net.ipv4.tcp_fin_timeout = 2 net.ipv4.tcp_tw_reuse = 1 net.ipv4.tcp_tw_recycle = 1 net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_keepalive_time = 600 net.ipv4.ip_local_port_range = 4000 65000 net.ipv4.tcp_max_syn_backlog = 16384 net.ipv4.tcp_max_tw_buckets = 36000 net.ipv4.route.gc_timeout = 100 net.ipv4.tcp_syn_retries = 1 net.ipv4.tcp_synack_retries = 1 net.core.somaxconn = 16384 net.core.netdev_max_backlog = 16384 net.ipv4.tcp_max_orphans = 16384 #以下参数是对iptables防火墙的优化，防火墙不开会提示，可以忽略不理。 net.nf_conntrack_max = 25000000 net.netfilter.nf_conntrack_max = 25000000 net.netfilter.nf_conntrack_tcp_timeout_established = 180 net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120 net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60 net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120 EOF （2）生效 sysctl -p 七、时间同步：（工作中时间同步很重要，非常重要！） （1）配置 echo '#time sync by oldboy at 2018-04-26' >> /var/spool/cron/root echo '/5 * * * * /usr/sbin/ntpdate ntp1.aliyun.com >/dev/null 2>&1' >> /var/spool/cron/root
###一般以阿里云时间服务器为基准，以下地址可自己选择： ntp1.aliyun.com ntp2.aliyun.com ntp3.aliyun.com ntp4.aliyun.com ntp5.aliyun.com ntp6.aliyun.com ntp7.aliyun.com （2）检查 crontab -l （3）备份 \cp /var/spool/cron/root{,.back} 八、加大文件描述： （1）配置 echo '* - nofile 65535 ' >>/etc/security/limits.conf （2）检查 tail -1 /etc/security/limits.conf （3）备份 \cp /etc/security/limits.conf{,.back} 九、下载安装系统基础软件： yum install -y lrzsz nmap tree dos2unix nc ###一些基础软件会在集群架构中经常用到 十、配置hosts文件： 说明：期中集群架构的域名解析均使用内网IP，基础服务共涉及差不多9台服务器 （1）修改 cat >/etc/hosts<<EOF 127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 172.16.1.5 lb01 172.16.1.6 lb02 172.16.1.7 web01 172.16.1.8 web02 172.16.1.9 web03 172.16.1.51 db01 172.16.1.31 nfs01 172.16.1.41 backup 172.16.1.61 m01 EOF （2）备份 \cp /etc/hosts{,.back} 十一、处理/etc/bashrc以及/root/.bashrc： （1）备份配置文件 \cp /etc/bashrc{,.back} （2）处理/etc/bashrc 编辑配置文件/etc/bashrc（vim /etc/bashrc）， 把这个文件的第36行注释掉， 然后在刚刚注释掉的第36行下面另起一行，添加以下内容： [ "$PS1" = "\s-\v\$ " ] && PS1="[[\e[34;1m]\u@\H[\e[0m] [\e[31;1m]\w[\e[0m] [\e[32;1m]\t[\e[0m]]\$ " 注意，上面那一行很长，必须要一点不差的复制粘贴进去，并且中间不能出现回车，只能有空格，一定要注意检查！！！ 使之生效：source /etc/bashrc 查看效果：按组合键ctrl+d，然后重新登录系统。 ###咯，差不多就上面这样，我一老师写的，感觉挺方便的，不用随时pwd看路径和位置，在企业中尤其管用 （3）处理/etc/bashrc 修改配置文件/root/.bashrc（vim /root/.bashrc）， 在最后一行alias下面添加以下2行内容： alias grep='grep --color' alias egrep='egrep --color' 保存并退出； 使之生效：. /root/.bashrc 注意：此处的点号（.）是一个命令，此命令等价于source命令。 十二、添加一个用户： （1）添加 useradd oldboy （2）检查 id oldboy （3）设置密码 echo 123456|passwd --stdin oldboy 十三、提权给新建的用户（解释一下，因为root 用户知道的人太多了，都知道是超级管理员，为了企业的安全，重新设置一个用户） 将oldboy添加到sudo管理，以后oldboy就相当于管理员 （1）备份 \cp /etc/sudoers{,.back} （2）修改 echo "oldboy ALL=(ALL) NOPASSWD: ALL " >> /etc/sudoers （3）检查 tail -1 /etc/sudoers （4）生效 visudo -c ###此时的oldboy权限相当于root用户 十四、优化SSH远程连接： （1）备份配置文件 cp /etc/ssh/sshd_config{,.back} （2）修改配置文件 编辑ssh服务的配置文件（vim /etc/ssh/sshd_config），在第12行下面添加如下内容： ####Start by oldboy#2018-04-26### Port 52113 ###同样为了安全，更改登录端口 PermitRootLogin no PermitEmptyPasswords no UseDNS no GSSAPIAuthentication no ####End by oldboy#2018-04-26### （3）检查 grep -A 5 -i 'Start by oldboy' /etc/ssh/sshd_config （4）重启ssh服务 /etc/init.d/sshd restart （5）检查 netstat -lntup | grep ssh （6）配置说明 ####Start by oldboy#2018-04-26### Port 52113 #使用大于10000的端口号 PermitRootLogin no #禁止root远程登录 PermitEmptyPasswords no #禁止空密码登录 UseDNS no #不使用dns解析 GSSAPIAuthentication no #连接慢的解决配置 ####End by oldboy#2018-04-26### 十五、xshell连接 ######################################################################################################## 企业中：如果学习的话上面优化差不多了，当然企业实战中还可以做隐藏Linux版本信息展示；锁定关键系统文件，防止被提权篡改；为grub菜单加密码；禁ping等