系统优化 本文共有4091个字,关键词: 系统优化: ``` 1. sudo授权,采取集权分治,不使用root用户直接管理。 ~]# visudo #编辑/etc/sudoers 如果不希望sudo执行命令时确认身份,可以在授权文件中指明 USERNAME ALL=(ALL) NOPASSWD:ALL ~]# visudo -c #解析配置文件 2. 禁止ping主机,非必须 ~]# echo "net.ipv4.icmp_echo_ignore_all=1" >> /etc/sysctl.conf ~]# systemctl -p #使更改生效 或者 ~]# iptables -t filter -A INPUT -p icmp --icmp-type 0 -j ACCEPT 允许自己ping别人 ~]# iptables -t filter -A INPUT -p icmp --icmp-type 8 -j DROP 拒绝ping请求 设置指定的主机可ping iptables -t filter -I INPUT -p icmp --icmp-type 8 -i eth0 -s 10.0.0.0/24 -j ACCEPT 3. 关闭多余的控制台(非必须) 4. 清理多余的虚拟账号(非必须) 5. 配置iptables、SELinux 没有硬件防火墙需要开启,仅对外开启需要的提供的服务的端口 SELinux建议关闭,在配置服务的时候相对容易 6. grub加密,非必须 7. 配置yum源 ~]# uname -r #查看查看内核的版本号 ~]# rm -rf /etc/yum.repos.d/* ~]# wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo #国内使用阿里云yum源速度比较快 ~]# wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-6.repo 8. 禁止使用键盘重启 9. 设置账号的超时时间 ~]# echo 'export TMOUT=300' >>/etc/profile ~]# source /etc/profile 10. 修改命令历史的记录数: ~]# echo 'export HISTSIZE=5' >>/etc/profile ~]# echo 'export HISTFILESIZE=5' >>/etc/profile ~]# source /etc/profile 11. 删除登录信息,不显示内核版本、主机名、发行版本号,以及一些后台进程版本号,防止被探测(非必须) ~]# cat /dev/null >/etc/issue ~]# cat /dev/null >/etc/issue.net ~]# cat /dev/null >/etc/motd 12. 系统性能监控 ~]# yum -y install sysstat vmstat 报告系统内训信息 mpstat 检测CPU(包括多个CPU)性能 iostat 检测I/O性能 sar 系统活动情况报告 系统性能查看的主要命令分类: 内存:top、free、vmstat、mpstat、iostat、sar CPU:top、vmstat、mpstat、iostat、sar I/O:vmstat、mpstat、iostat、sar、dd、nmon、dstat 进程:ipcs、ipcrm、ps、lsof 网络:ethtool、ss、netstat、route、diag、ping、ip、lsof 配置:lscpu、lspci、lsscsi、udev 13. ntp时间同步,使用本地时间服务器或者公网同步时间 14. 磁盘的分区优化,避免不必要的分区 15. 服务器尽量少配置外网地址 16. 加大文件描述符 ~]# echo '* - nofile 65535' >>/etc/security/limits.conf ~]# tail -1 /etc/security/limits.conf 17. 内核参数优化: ~]# vim /etc/sysctl.conf net.ipv4.tcp_fin_timeout = 2 net.ipv4.tcp_tw_reuse = 1 net.ipv4.tcp_tw_recycle = 1 net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_keepalive_time = 600 net.ipv4.ip_local_port_range = 4000 65000 net.ipv4.tcp_max_syn_backlog = 16384 net.ipv4.tcp_max_tw_buckets = 36000 net.ipv4.route.gc_timeout = 100 net.ipv4.tcp_syn_retries = 1 net.ipv4.tcp_synack_retries = 1 net.core.somaxconn = 16384 net.core.netdev_max_backlog = 16384 net.ipv4.tcp_max_orphans = 16384 以下参数是对iptables防火墙的优化,防火墙不开会提示,可以忽略不理。 net.nf_conntrack_max = 25000000 net.netfilter.nf_conntrack_max = 25000000 net.netfilter.nf_conntrack_tcp_timeout_established = 180 net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120 net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60 net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120 18. 安装一些基础软件 yum -y install lrszs nmap tree dos2unix 等等 19. 锁定关键的系统文件,防止被篡改 ~]# chattr +i /etc/passwd /etc/shadow/ /etc/grop /etc/gshadow /etc/inittab ~]# lsattr #查看锁定的文件 ~]# chattr -i ... #解锁指定文件 20. 更改ssh服务端远程配置: ~]# vim /etc/ssh/sshd_conf #修改ssh连接的配置文件 port #ssh连接端口,建议修改 PermitEmptyPassword #是否允许空密码登录 UseDNS #指定sshd是否应该对远程主机进行反向解析,以检查主机名是否与其IP地址真实对应。默认yes,建议改为no,否则可能会导致SSH连接很慢 GSSAPIAuthentication no #解决linux之间使用SSH连接慢的问题 ListenAddress #监听指定的IP地址 21. 精简开机启动项 ~]# chkconfig --list |egrep -v "crond|sshd|network|rsyslog|sysstst" |awk '{print "chkconfig",$1,"off"}' |bash #关闭服务 服务器对温度、湿度、灰尘的要求很高,进机房需要先打招呼、等级等,还需要带鞋套等 1U=4.445cm=1.75英寸 宽48.26cm 19英寸,因此又叫19英寸机架 什么情况下去机房进行维护: 1. 上架新的服务器,,数量不多的话可以先拉到公司配置好,直接过去上架 服务器尽量不要人工搬来搬去,容易造成损坏 2. 服务器运行异常,无法远程进行维护,最好有远程独立控制卡,可以看到完整的启动过程,集成的很被动,看不到启动界面。 带宽费用:200-1000元/M/月 北京多线机房 20-200/M/月 外地的普通2/3线价格 机柜费用:一个机柜4-5W/年,单个机器2U的2000-3000元的价格 机柜的电力决定了放服务器的数量,两个电源要走两条电路 一般来说一个机柜是10-13A,电信机房10A、网通机房13A 机柜的双电源分别要走AB两路,服务器根据不同的业务尽可能放在不同的机柜,一个机柜一个保险丝 例如一主三从mysql服务器分别放在不同的机柜,从物理连线、摆放上确保业务的稳定性 一个机柜放置1U的服务器15台左右,2U服务器10台左右,每个2U之间间隔1U用于散热 BGP机房:bgp是边界网关协议,是一种用来在不同的运营商之间传递大量路由信息的路由协议。 BGP机房简单的说,就是将IDC机房和多个运营商互联起来,实现单个IP绑定多条线路,所有运营商的用户访问IDC的网络 都会只能的走相应运营商的线路,实现快速访问。 ``` 「一键投喂 软糖/蛋糕/布丁/牛奶/冰阔乐!」 赞赏 × 几人行 (๑>ڡ<)☆谢谢老板~ 2元 5元 10元 50元 100元 任意金额 2元 使用微信扫描二维码完成支付 版权声明:本文为作者原创,如需转载须联系作者本人同意,未经作者本人同意不得擅自转载。 调优文档 2018-07-04 评论 2467 次浏览