標籤:linux系統最佳化
1 迷你安裝(自訂選包:最基本為:Bash;Compatibillty librarles;Debugging Tools;Development tools)
最小化啟動:
for oldboy in `chkconfig --list | grep "3:on"|awk ‘{print $1}‘| grep -vE "crond|network|sshd|rsyslog|xinetd"`;do chkconfig $oldboy off;done
2 ulimit:
ulimit -n 如果系統進程比預設開啟檔案數還多,那麼資源就不夠用了。
臨時更改:ulimit -HSn 65535 永久更改:echo "* - nofile 65535" >/etc/security/limits.conf
3 tcp/ip:
用戶端與伺服器端建立TCP/IP串連後關閉SOCKET後,伺服器端串連的連接埠狀態為TIME_WAIT如發現系統存在大量TIME_WAIT狀態的串連,通過調整核心參數解決,vim /etc/sysctl.conf編輯檔案,加入以下內容:net.ipv4.tcp_syncookies = 1net.ipv4.tcp_tw_reuse = 1net.ipv4.tcp_tw_recycle = 1net.ipv4.tcp_fin_timeout = 30然後執行 /sbin/sysctl -p 讓參數生效。也就是TCP/IP設計者本來是這麼設計的主要有兩個原因1。防止上一次串連中的包,迷路後重新出現,影響新串連(經過2MSL,上一次串連中所有的重複包都會消失)2。可靠的關閉TCP串連在主動關閉方發送的最後一個 ack(fin) ,有可能丟失,這時被動方會重新發fin, 如果這時主動方處於 CLOSED 狀態 ,就會響應 rst 而不是 ack。所以主動方要處於 TIME_WAIT 狀態,而不能是 CLOSED 。TIME_WAIT 並不會佔用很大資源的,除非受到攻擊。
4 字元集最佳化:
cat /etc/sysconfig/i18n 字元集設定檔路徑sed -i ‘s/LANG="en_US.UTF-8"/LANG="zh_CN.GB18030"/g‘ i18n
5 ssh登入最佳化:
vim /etc/ssh/sshd_config42 PermitRootLogin no 允許root登入65 PermitEmptyPasswords no 允許空密碼登入80 GSSAPIAuthentication no sshp122 UseDNS no DNS搜尋關閉ssh服務X11轉寄功能#vi /etc/ssh/sshd_config設定下面為noX11Forwarding no
6 記錄,主機等待時間
echo ‘HISTSIZE=5‘ >>/etc/profileecho ‘TMOUT=300‘ >>/etc/profile
7 chattr 安全目錄鎖定
chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab隱藏目錄 駭客來的不是走ssh來的,所以有必要chattr -i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab解鎖lsattr /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab查看鎖定mv /usr/bin/chattr /usr/bin/oldboy1 將命令改名
8 隱藏系統版本
cat /dev/null >/etc/issue
9 最佳化Ctrl+Alt+Del快速鍵重啟伺服器
sed -i "s/ca::ctrlaltdel:/sbin/shutdown -t3 -r now/#ca:(www.111cn.net):ctrlaltdel:/sbin/shutdown -t3 -r now/g" ‘/etc/inittab‘from:http://www.111cn.net/sys/linux/59969.htm
10 selinux 關閉
查看SELinux狀態:1、/usr/sbin/sestatus -v ##如果SELinux status參數為enabled即為開啟狀態SELinux status: enabled2、getenforce ##也可以用這個命令檢查關閉SELinux:1、臨時關閉(不用重啟機器):setenforce 0 ##設定SELinux 成為permissive模式##setenforce 1 設定SELinux 成為enforcing模式2、修改設定檔需要重啟機器:修改/etc/selinux/config 檔案將SELINUX=enforcing改為SELINUX=disabled重啟機器即可
11 區域網路yum源配置,區域網路NTP配置
12 自己封裝rpm包,區域網路內部使用
本文出自 “晴空” 部落格,謝絕轉載!
linux系統最佳化