系統(tǒng)參數(shù)優(yōu)化和怎樣增強(qiáng)系統(tǒng)安全性，系統(tǒng)默認(rèn)的一些參數(shù)都是比較保守的，所以我們可以通過(guò)調(diào)整系統(tǒng)參數(shù)來(lái)提高系統(tǒng)內(nèi)存、CPU、內(nèi)核資源的占用，通過(guò)禁用不必要的服務(wù)、端口，來(lái)提高系統(tǒng)的安全性，更好的發(fā)揮系統(tǒng)的可用性。通過(guò)自己對(duì)Linux了解。首先在系統(tǒng)優(yōu)化之前需要秉循的四個(gè)最小化原則：

a 安裝軟件最小化

b 目錄文件權(quán)限最小化

c 用戶權(quán)限最小化

d 程序運(yùn)行權(quán)限最小化 ----------------------------------------------------------------------------------------------------------------------------------------------------------- 1、系統(tǒng)安裝最小化 在搭建服務(wù)器的linux系統(tǒng)的時(shí)候，盡量不要安裝那些不需要的服務(wù)，一個(gè)是安裝越多風(fēng)險(xiǎn)越大，其次是安裝的越多，對(duì)服務(wù)器資源的消耗越大。 所以安裝服務(wù)器linux，選擇最小化安裝，需要一些基礎(chǔ)的安裝包即可，后期需要什么，通過(guò)yum等工具都可以安裝。 2、修改主機(jī)名 [root@ladeng~]#?vi?/etc/sysconfig/network? HOSTNAME=test.com? [root@ladeng~]#?hostname?test.com??#臨時(shí)生效?

3、關(guān)閉SELinux

[root@ladeng~]# vi /etc/selinux/config
SELINUX=disabled
[root@ladeng~]# setenforce 0 #臨時(shí)生效
[root@ladeng~]# getenforce #查看selinux狀態(tài)

4、添加普通用戶并進(jìn)行sudo授權(quán)管理

[root@ladeng~]# useradd user
[root@ladeng~]# echo "123456" | passwd --stdin user #設(shè)置密碼
[root@ladeng~]# vi /etc/sudoers #或visudo打開(kāi)，添加user用戶所有權(quán)限
root ALL=(ALL) ALL
user ALL=(ALL) ALL

5、修改ssh登錄端口號(hào)并禁用root遠(yuǎn)程登錄

[root@ladeng~]# vi /etc/ssh/sshd_config
Port 52113
PermitRootLogin no
PermitEmptyPasswords no #禁止空密碼登錄
PasswordAuthentication yes
GSSAPIAuthentication no
UseDNSno #關(guān)閉DNS查詢

?

6、定時(shí)自動(dòng)更新服務(wù)器時(shí)間

[root@moban ~]# crontab -l
#time sync by oldboy at 2010-2-1
*/5 * * * * /usr/sbin/ntpdate time.nist.gov >/dev/null 2>&1

?

7、配置yum更新源，從國(guó)內(nèi)更新源下載安裝rpm包

[root@c64 yum.repos.d]# /bin/mv CentOS-Base.repo CentOS-Base.repo.bak
[root@c64 yum.repos.d]# wget http://mirrors.163.com/.help/CentOS6-Base-163.repo

?

8、關(guān)閉iptables并重新制定iptables規(guī)則

?

9、調(diào)整文件描述符大小

[root@ladeng ~]# ulimit –n #默認(rèn)是1024
1024
[root@ladeng ~]# echo "ulimit -SHn 102400">> /etc/rc.local #設(shè)置開(kāi)機(jī)自動(dòng)生效

?

10、定時(shí)自動(dòng)清理/var/spool/clientmqueue/目錄垃圾文件，防止inodes節(jié)點(diǎn)被占滿（C5版本需要，C6不需要）

11、精簡(jiǎn)開(kāi)機(jī)自啟動(dòng)服務(wù)

?

12、刪除不必要的系統(tǒng)用戶

?

13、關(guān)閉重啟ctl-alt-delete組合鍵

[root@ladeng ~]# vi /etc/init/control-alt-delete.conf
#exec /sbin/shutdown -r now "Control-Alt-Deletepressed" #注釋掉

?

14、內(nèi)核參數(shù)優(yōu)化

[root@ladeng ~]# vi /etc/sysctl.conf #末尾添加如下參數(shù)
net.ipv4.tcp_syncookies = 1 #1是開(kāi)啟SYN Cookies，當(dāng)出現(xiàn)SYN等待隊(duì)列溢出時(shí)，啟用Cookies來(lái)處，理，可防范少量SYN攻擊，默認(rèn)是0關(guān)閉
net.ipv4.tcp_tw_reuse = 1 #1是開(kāi)啟重用，允許講TIME_AIT sockets重新用于新的TCP連接，默認(rèn)是0關(guān)閉
net.ipv4.tcp_tw_recycle = 1 #TCP失敗重傳次數(shù)，默認(rèn)是15，減少次數(shù)可釋放內(nèi)核資源
net.ipv4.ip_local_port_range = 4096 65000 #應(yīng)用程序可使用的端口范圍
net.ipv4.tcp_max_tw_buckets = 5000 #系統(tǒng)同時(shí)保持TIME_WAIT套接字的最大數(shù)量，如果超出這個(gè)數(shù)字，TIME_WATI套接字將立刻被清除并打印警告信息，默認(rèn)180000
net.ipv4.tcp_max_syn_backlog = 4096 #進(jìn)入SYN寶的最大請(qǐng)求隊(duì)列，默認(rèn)是1024
net.core.netdev_max_backlog = 10240 #允許送到隊(duì)列的數(shù)據(jù)包最大設(shè)備隊(duì)列，默認(rèn)300
net.core.somaxconn = 2048 #listen掛起請(qǐng)求的最大數(shù)量，默認(rèn)128
net.core.wmem_default = 8388608 #發(fā)送緩存區(qū)大小的缺省值
net.core.rmem_default = 8388608 #接受套接字緩沖區(qū)大小的缺省值（以字節(jié)為單位）
net.core.rmem_max = 16777216 #最大接收緩沖區(qū)大小的最大值
net.core.wmem_max = 16777216 #發(fā)送緩沖區(qū)大小的最大值
net.ipv4.tcp_synack_retries = 2 #SYN-ACK握手狀態(tài)重試次數(shù)，默認(rèn)5
net.ipv4.tcp_syn_retries = 2 #向外SYN握手重試次數(shù)，默認(rèn)4
net.ipv4.tcp_tw_recycle = 1 #開(kāi)啟TCP連接中TIME_WAIT sockets的快速回收，默認(rèn)是0關(guān)閉
net.ipv4.tcp_max_orphans = 3276800 #系統(tǒng)中最多有多少個(gè)TCP套接字不被關(guān)聯(lián)到任何一個(gè)用戶文件句柄上，如果超出這個(gè)數(shù)字，孤兒連接將立即復(fù)位并打印警告信息
net.ipv4.tcp_mem = 94500000 915000000 927000000
net.ipv4.tcp_mem[0]:低于此值，TCP沒(méi)有內(nèi)存壓力；
net.ipv4.tcp_mem[1]:在此值下，進(jìn)入內(nèi)存壓力階段；
net.ipv4.tcp_mem[2]:高于此值，TCP拒絕分配socket。內(nèi)存單位是頁(yè)，可根據(jù)物理內(nèi)存大小進(jìn)行調(diào)整，如果內(nèi)存足夠大的話，可適當(dāng)往上調(diào)。上述內(nèi)存單位是頁(yè)，而不是字節(jié)。

?

15、去除系統(tǒng)相關(guān)信息

[root@ladeng ~]# >/etc/issue
[root@ladeng ~]# >/etc/redhat-release

?

16、鎖定關(guān)鍵系統(tǒng)文件

chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow

做完之后重啟、搞定收工。

?

轉(zhuǎn)載于:https://www.cnblogs.com/ladeng/p/4838438.html

總結(jié)

以上是生活随笔為你收集整理的Linux系统初级优化的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。