作为系统管理员,新服务器到手,都需要调整哪些参数?有些参数不需要调整就能正常使用,那我为什么调优?如何调整?如何调优,怎么选择参数,这就是本篇文章的目的!
selinux优化
selinux全称 Security-Enhanced Linux 即安全增强型 Linux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源。
selinux三种工作模式如下:
1. enforcing:强制模式,违反 SELinux 规则的行为将被阻止并记录到日志中。
2. permissive:宽容模式,违反 SELinux 规则的行为只会记录到日志中。一般为调试用。SELinux Permissive 模式主要用于审核当前的 SELinux 策略规则;它还能用于测试新应用程序,将 SELinux 策略规则应用到程序时会有什么效果;以及用于解决某一特定服务或应用程序在 SELinux 下不再正常工作的故障
3. disabled:关闭 SELinux。
1. getenforce #查看selinux状态 2. setenforce 0 #临时关闭(1严格的;0宽容的) 3. vim /etc/sysconfig/selinux #永久关闭 4. SELINUX=disabled #修改selinux状态为disabled
系统主机名优化
1. hostname #查看主机名,临时修改主机名 2. hostnamectl #查看主机配置信息 3. hostnamectl set-hostname 新主机名 #永久修改主机名 4. vim /etc/hostname #永久修改主机名
命令提示符优化
1. PS1='[\u@\h \t \W]\$' #临时修改日期提示 2. 3. vim /etc/profile #永久修改日期提示 4. 添加末尾: 5. PS1='[\u@\h \t \W]\$'
系统时间同步优化
1. date #查看当前日期时间 2. date -s '2023-02-22' #默认修改日期,时间自动修改为00:00:00 3. date -s '2023-03-01 13:00:00' #修改当前时间日期 4. timedatectl #系统时间配置查看 5. timedatectl list-timezones #查看时区列表 6. timedatectl set-timezone Asia/Shanghai #设置上海时区 7. timedatectl set-ntp 1 #开启网络时间同步功能 8. ntpdate ntp1.aliyun.com #手动同步时间服务器(ntp1..7) 9. timedatectl set-time '2023-03-01 12:00:00' #手动调整时间
系统字符编码优化
1. echo $LANG #查看当前字符编码 2. localectl list-locales #查看系统支持的字符编码 3. 4. LANG=zh_CN.utf8 #临时设置字符编码 5. vim /etc/locale.conf #永久修改字符编码 6. 或 7. localectl set-locale LANG=zh_CN.utf8
系统远程连接优化
1. [root@localhost ~]# vim /etc/ssh/sshd_config 2. GSSAPIAuthentication no #修改79行 3. UseDNS no #修改115行 4. [root@localhost ~]# systemctl restart sshd
或者使用sed命令修改
1. [root@localhost ~]# sed -i '79s#yes#no#g' /etc/ssh/sshd_config 2. [root@localhost ~]# sed -i 's@#UseDNS yes@UseDNS no@g' /etc/ssh/sshd_config 3. [root@localhost ~]# systemctl restart sshd
系统资源限制优化
查看限制
ulimit -a #查看系统限制值
核心文件大小(块,-c)0
数据段大小(kbytes,-d)不受限制 计划优先级0
文件大小(块,-f)不受限制
挂起信号(-i)7788
最大锁定内存(KB,-l)64
最大内存大小(kbytes,-m)不受限制
打开文件(-n)1024
管道大小(512字节,-p)8
POSIX消息队列(字节,-q)819200 实时优先级0
堆栈大小(kbytes,-s)8192
cpu时间(秒,-t)无限制
最大用户进程(-u)7788
虚拟内存(KB,-v)不受限制
文件锁定(-x)不受限制
1. ulimit -n #查看用户同时打开的文件数 2. ulimit -n 65535 #临时设置打开文件数 3. 4. cat /proc/sys/fs/file-max #查看系统级最大打开文件数限制
设置资源限制
1. [root@localhost ~]# vim /etc/security/limits.conf 2. 添加末行: 3. * soft nofile 65535 4. * hard nofile 65535 5. * soft nproc 65535 6. * hard nproc 65535
解释: noproc 是代表最大进程数;nofile 是代最大文件打开数
"*" 是表示修改所有用户的限制
生产环境修改建议如下(如果公司有一定需求,请根据公司需求调整)
1. [root@localhost ~]# vim /etc/security/limits.conf 2. * soft core unlimit 3. * hard core unlimit 4. * soft fsize unlimited 5. * hard fsize unlimited 6. * soft data unlimited 7. * hard data unlimited 8. * soft nproc 65535 9. * hard nproc 63535 10. * soft stack unlimited 11. * hard stack unlimited 12. * soft nofile 409600 13. * hard nofile 409600
系统内核优化
1. [root@localhost ~]# vim /etc/sysctl.d/99-sysctl.conf 2. 添加: 3. 4. #关闭ipv6 5. net.ipv6.conf.all.disable_ipv6 = 1 6. net.ipv6.conf.default.disable_ipv6 = 1 7. 8. #避免放大攻击 9. net.ipv4.icmp_echo_ignore_broadcasts = 1 10. 11. #开启恶意icmp错误消息保护 12. net.ipv4.icmp_ignore_bogus_error_responses = 1 13. 14. #关闭路由转发 15. net.ipv4.ip_forward = 0 16. net.ipv4.conf.all.send_redirects = 0 17. net.ipv4.conf.default.send_redirects = 0 18. 19. #开启反向路径过滤 20. net.ipv4.conf.all.rp_filter = 1 21. net.ipv4.conf.default.rp_filter = 1 22. 23. #关闭sysrq功能 24. kernel.sysrq = 0 25. 26. #core文件名中添加pid作为扩展名 27. kernel.core_uses_pid = 1 28. net.ipv4.tcp_syncookies = 1 29. 30. #修改消息队列长度 31. kernel.msgmnb = 65536 32. kernel.msgmax = 65536 33. 34. #设置最大内存共享段大小bytes 35. kernel.shmmax = 68719476736 36. kernel.shmall = 4294967296 37. 38. #timewait的数量,默认180000 39. net.ipv4.tcp_max_tw_buckets = 6000 40. net.ipv4.tcp_sack = 1 41. net.ipv4.tcp_window_scaling = 1 42. net.ipv4.tcp_rmem = 4096 87380 4194304 43. net.ipv4.tcp_wmem = 4096 16384 4194304 44. net.core.wmem_default = 8388608 45. net.core.rmem_default = 8388608 46. net.core.rmem_max = 16777216 47. net.core.wmem_max = 16777216 48. net.core.netdev_max_backlog = 262144 49. 50. 51. #限制仅仅是为了防止简单的DoS 攻击 52. net.ipv4.tcp_max_orphans = 3276800 53. 54. #未收到客户端确认信息的连接请求的最大值 55. net.ipv4.tcp_max_syn_backlog = 262144 56. net.ipv4.tcp_timestamps = 0 57. 58. #内核放弃建立连接之前发送SYNACK 包的数量 59. net.ipv4.tcp_synack_retries = 1 60. 61. #内核放弃建立连接之前发送SYN 包的数量 62. net.ipv4.tcp_syn_retries = 1 63. 64. #启用timewait 快速回收 65. net.ipv4.tcp_tw_recycle = 1 66. 67. #开启重用。允许将TIME-WAIT sockets 重新用于新的TCP连接 68. net.ipv4.tcp_tw_reuse = 1 69. net.ipv4.tcp_mem = 94500000 915000000 927000000 70. net.ipv4.tcp_fin_timeout = 1 71. 72. #当keepalive 起用的时候,TCP 发送keepalive 消息的频度。缺省是2 小时 73. net.ipv4.tcp_keepalive_time = 30 74. 75. #允许系统打开的端口范围 76. net.ipv4.ip_local_port_range = 1024 65000 77. 78. #修改防火墙表大小,默认65536 79. net.netfilter.nf_conntrack_max=655350 80. net.netfilter.nf_conntrack_tcp_timeout_established=1200 81. 82. #确保无人能修改路由表 83. net.ipv4.conf.all.accept_redirects = 0 84. net.ipv4.conf.default.accept_redirects = 0 85. net.ipv4.conf.all.secure_redirects = 0 86. net.ipv4.conf.default.secure_redirects = 0 87. 88. [root@localhost ~]# sysctl -p #刷新生效
系统内核版本升级
版本升级不一定使用,根据公司要求是否需要。
1. 载入公钥
rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org
2. 安装epel
rpm -Uvh http://www.elrepo.org/elrepo-release-7.0-3.el7.elrepo.noarch.rpm
3. 载入elrepo-kernel元数据
yum --disablerepo=\* --enablerepo=elrepo-kernel repolist
4. 查看可用的rpm包
yum --disablerepo=\* --enablerepo=elrepo-kernel list kernel*
5. 安装最新版本的kernel
yum --disablerepo=\* --enablerepo=elrepo-kernel install -y kernel-ml.x86_64
重启,选择新版本内核进入系统。
6. 删除旧版本工具包
yum remove kernel-tools-libs.x86_64 kernel-tools.x86_64 -y
7. 安装新版本工具包
yum --disablerepo=\* --enablerepo=elrepo-kernel install -y kernel-ml-tools.x86_64
8. 查看系统中的全部内核,也可以删除多余的内核
1. rpm -qa | grep kernel 2. yum remove -y kernel-3.10.0-1127.el7.x86_64
