**生产环境中的使用原则:系统安装的应用程序包越少,服务器就越稳定。**
*基础优化*
1. 配置网络自启动
cat > /etc/sysconfig/network-scripts/ifcfg-eth0 <<EOF DEVICE=eth0 BOOTPROTO=static IPV6INIT=no IPV6_AUTOCONF=yesONBOOT=yesIPADDR=172.16.10.10 NETMASK=255.255.255.0 GATEWAY=172.16.10.254 TYPE=Ethernet PEERDNS=yes# 允许DHCP获得的dns覆盖本地的DNSUSERCTL=no # 不允许普通用户修改网卡EOF cat >> /etc/resolv.conf << EOF nameserver 114.114.114.114 EOF
2. 更新yum源为国内镜像 (要求可连接公网,内网可配置内部源)
#Yum源更换为国内阿里源yum install wgettelnet-ymv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup wget-O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo wget-O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo rpm -ivh http://dl.Fedoraproject.org/pub/epel/7/x86_64/e/epel-release-7-8.noarch.rpm #yum重新建立缓存yum clean all && yum makecache
3. 关闭不必要的服务
for serv in` systemctl list-unit-files | grep enabled|awk '{print $1}'`;do systemctl disable $serv ;done for serv in autovt@.service crond.service getty@.service irqbalance.service kdump.service microcode.service rsyslog.service sshd.service sysstat.service systemd-readahead-collect.service systemd-readahead-drop.service systemd-readahead-replay.service tuned.service lvm2-lvmetad.socket lvm2-lvmpolld.socket default.target multi-user.target runlevel2.target runlevel3.target runlevel4.target ;do systemctl enable $serv;done
4. 关闭防火墙和selinux
systemctl disable firewalld sed-i's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config
5. 修改history记录
sed-i's@^HISTSIZE=1000@HISTSIZE=100@' /etc/profile sed-i'/^HISTSIZE/a\HISTTIMEFORMAT="%F %T `whoami` "' /etc/profile
6. 定时同步服务器时间(要求可联网,或配置内网web为时间服务器)
yum -y install ntp /usr/sbin/ntpdate cn.pool.ntp.org echo"* 4 * * * /usr/sbin/ntpdate cn.pool.ntp.org > /dev/null 2>&1" >> /var/spool/cron/root systemctl restart crond.service
7. 关闭IPv6网络(当前部分环境要求适配IPv6不选)
sed-i's@GRUB_CMDLINE_LINUX="@GRUB_CMDLINE_LINUX="ipv6.disable=1 @' /etc/default/grub grub2-mkconfig -o /boot/grub2/grub.cfg cat >> /etc/sysctl.conf << EOF net.ipv6.conf.all.disable_ipv6 =1net.ipv6.conf.default.disable_ipv6 =1EOF /sbin/sysctl -p
8. 调整最大文件打开数
echo"ulimit -SHn 102400" >> /etc/rc.local cat >> /etc/security/limits.conf << EOF * soft nofile 655350* hard nofile 655350EOF
9. 关闭磁盘I/O功能(分布式存储磁盘建议可选)
#原理:存放多个小文件的目录无需记录访问时间atime,关闭以减少写磁盘I/Oecho"dev/sdb1 /bigData xfs noatime,nodiratime 0 0" >> /etc/fstab
10. 增加sudo权限用户(前提用户已存在)
#原理:给一个本地已有用户授权不输密码即可sudo权限操作sed-i'/^root/a\dengzz ALL=(ALL) NOPASSWD:ALL' /etc/sudoers
11. 修改SSH登录配置
#原理:关闭GSSAPI反解析关闭SSH反向查询解决连接慢;禁止root远程登录禁止空密码登录提高安全性sed-i's/^GSSAPIAuthentication yes$/GSSAPIAuthentication no/' /etc/ssh/sshd_config sed-i's@#PermitRootLogin yes@PermitRootLogin no@' /etc/ssh/sshd_config sed-i's@#PermitEmptyPasswords no@PermitEmptyPasswords no@' /etc/ssh/sshd_config sed-i's/#UseDNS yes/UseDNS no/' /etc/ssh/sshd_config systemctl restart sshd
12.修改字符集
# 设置为中文localectl set-locale LANG=zh_CN.UTF-8 source /etc/locale.conf # 设置为英文localectl set-locale LANG=en_US.utf8 source /etc/locale.conf # 查看当前字符集echo$LANG
*系统性能*
13.内核参数(部署应用不同优化不同)
# 注意CentOS 6 中,配置文件参数都在这个文件中;CentOS7中,可以配置参数在该文件中,也可以根据提示将参数配置在其他文件中。cat >> /etc/sysctl.conf << EOF # 值为0,说明禁止进行IP转发;如果是1,则说明IP转发功能已经打开net.ipv4.ip_forward =0# 多网卡接收多播net.ipv4.conf.default.rp_filter =1net.ipv4.conf.default.accept_source_route =0# 验证设置kernel.sysrq =0kernel.core_uses_pid =1# 开启SYN Cookies,当出现SYN 等待队列溢出时,启用cookies 来处理,开启也就不需要维护半开连接状态了,进而也就没有了半连接数的限制。net.ipv4.tcp_max_syn_backlog失效net.ipv4.tcp_syncookies =1# 确定一个消息队列的容量。该参数的取值存储在消息队列标识符结构的某个域中,用于确定是否存在着对新消息进行排队的空间。msgmnb 值可以动态修改,默认为16384。修改其取值会影响到所有新的消息队列的容量。用户可以通过 Msgctl()系统调用来增加现有消息队列的容量kernel.msgmnb =65536# 限制进程可以发送的消息长度。该参数由 Msgsnd()函数加以应用。如果待发送消息的长度超过该值,则返回一个错误。该参数可以在运行时调整kernel.msgmax =65536# 最大共享内存段大小。取物理内存大小的一半,单位为字节(此处为8G)kernel.shmmax =8589934592# 整个系统共享内存段的最大数目kernel.shmmni =4096# 可以使用的共享内存的总量kernel.shmall =4294967296# 每个信号对象集的最大信号对象数;系统范围内最大信号对象数;每个信号对象支持的最大操作数;系统范围内最大信号对象集数kernel.sem =25032000100128# timewait 的数量,默认是180000net.ipv4.tcp_max_tw_buckets =204800# web 应用中listen 函数的backlog 默认会给我们内核参数的net.core.somaxconn 限制到128,而nginx 定义的NGX_LISTEN_BACKLOG 默认为511,所以有必要调整这个值net.core.somaxconn =262144# 该参数标识是否启用选择性确认SACKS选项。默认值为1(true)net.ipv4.tcp_sack =1# 设置tcp/ip会话的滑动窗口大小是否可变。参数值为布尔值,为1时表示可变,为0时表示不可变。tcp/ip通常使用的窗口最大可达到 65535 字节,对于高速网络,该值可能太小,这时候如果启用了该功能,可以使tcp/ip滑动窗口大小增大数个数量级,从而提高数据传输的能力net.ipv4.tcp_window_scaling =1# tcp_rmem:min表示为TCP socket预留用于接收缓冲的最小内存数量,default为TCP socket预留用于接收缓冲的缺省内存数量,max用于TCP socket接收缓冲的内存最大值net.ipv4.tcp_rmem =4096873804194304# tcp_wmem:min表示为TCP socket预留用于发送缓冲的内存最小值,default为TCP socket预留用于发送缓冲的缺省内存值,max用于TCP socket发送缓冲的内存最大值net.ipv4.tcp_wmem =4096163844194304# 系统套接字写默认缓冲区net.core.wmem_default =8388608# 系统套接字读默认缓冲区net.core.rmem_default =8388608# 系统套接字读最大缓冲区net.core.rmem_max =16777216# 系统套接字写最大缓冲区net.core.wmem_max =16777216# 每个网络接口接收数据包的速率比内核处理这些包的速率快时,允许送到队列的数据包的最大数目net.core.netdev_max_backlog =262144# 统中最多有多少个TCP 套接字不被关联到任何一个用户文件句柄上。如果超过这个数字,孤儿连接将即刻被复位并打印出警告信息。这个限制仅仅是为了防止简单的DoS 攻击,不能过分依靠它或者人为地减小这个值,更应该增加这个值(如果增加了内存之后)net.ipv4.tcp_max_orphans =3276800# 记录的那些尚未收到客户端确认信息的连接请求的最大值。对于有128M 内存的系统而言,缺省值是1024,小内存的系统则是128,调大这个值可以预防遭到DoS攻击时无法建立ssh远程登录连接net.ipv4.tcp_max_syn_backlog =262144# 时间戳可以避免序列号的卷绕。一个1Gbps 的链路肯定会遇到以前用过的序列号。时间戳能够让内核接受这种“异常”的数据包。这里需要将其关掉net.ipv4.tcp_timestamps =0# 为了打开对端的连接,内核需要发送一个SYN 并附带一个回应前面一个SYN 的ACK。也就是所谓三次握手中的第二次握手。这个设置决定了内核放弃连接之前发送SYN+ACK 包的数量net.ipv4.tcp_synack_retries =1# 在内核放弃建立连接之前发送SYN包的数量,内核默认重试5次net.ipv4.tcp_syn_retries =1# 启用timewait 快速回收net.ipv4.tcp_tw_recycle =1# 开启重用。允许将TIME-WAIT sockets 重新用于新的TCP 连接net.ipv4.tcp_tw_reuse =1# 确定 TCP 栈应该如何反映内存使用;每个值的单位都是内存页(通常是 4KB)net.ipv4.tcp_mem =94500000915000000927000000# 如果套接字由本端要求关闭,这个参数决定了它保持在FIN-WAIT-2 状态的时间。对端可以出错并永远不关闭连接,甚至意外当机。缺省值是60 秒。2.2 内核的通常值是180 秒,3你可以按这个设置,但要记住的是,即使你的机器是一个轻载的WEB 服务器,也有因为大量的死套接字而内存溢出的风险,FIN- WAIT-2 的危险性比FIN-WAIT-1 要小,因为它最多只能吃掉1.5K 内存,但是它们的生存期长些net.ipv4.tcp_fin_timeout =15# 当keepalive 起用的时候,TCP 发送keepalive 消息的频度。缺省是2 小时net.ipv4.tcp_keepalive_time =15# 允许系统打开的端口范围net.ipv4.ip_local_port_range =102465000# 系统中所允许的文件句柄最大数目fs.file-max =204800# 禁用ICMP协议(可选)net.ipv4.icmp_echo_ignore_all =1EOF /sbin/sysctl -preboot
