centos6基本优化

一、基础优化

1、内核优化：

[root@qiuyt ~]# grep "^[a-z]" /etc/sysctl.conf

net.ipv4.ip_forward = 0

net.ipv4.conf.default.accept_source_route = 0

kernel.sysrq = 0

kernel.core_uses_pid = 1

net.bridge.bridge-nf-call-ip6tables = 0

net.bridge.bridge-nf-call-iptables = 0

net.bridge.bridge-nf-call-arptables = 0

kernel.msgmnb = 65536

kernel.msgmax = 65536

kernel.shmmax = 68719476736

kernel.shmall = 4294967296

vm.swappiness = 0

net.ipv4.neigh.default.gc_stale_time=120

net.ipv4.conf.all.rp_filter=0

net.ipv4.conf.default.rp_filter=0

net.ipv4.conf.default.arp_announce = 2

net.ipv4.conf.all.arp_announce=2

net.ipv4.tcp_max_tw_buckets = 5000

net.ipv4.tcp_syncookies = 1

net.ipv4.tcp_max_syn_backlog = 1024

net.ipv4.tcp_synack_retries = 2

net.ipv4.conf.lo.arp_announce=2

2、更改yum源

CentOS的

#1，备份

mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup

#2，下载新的CentOS-Base.repo到/etc/yum.repos.d/

#CentOS 6

wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo

 

#CentOS 7

wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo

 

#3，之后运行yum makecache生成缓存

# 官网：https://opsx.alibaba.com/mirror

3 、关闭selinux

sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config

grep SELINUX=disabled /etc/selinux/config

setenforce 0

getenforce

4、关闭Iptables

/etc/init.d/iptables stop

/etc/init.d/iptables stop

chkconfig iptables off

##因为是基础所有先关闭，后续使用saltstack或ansible 统一配置

5、精简开机自启动服务

chkconfig|egrep -v "crond|sshd|network|rsyslog|sysstat"|awk '{print "chkconfig",$1,"off"}'|bash

export LANG=en

chkconfig --list|grep 3:on

#确保服务器语言为：英文

6、提权qiuyuetao可以sudo

useradd qiuyuetao

echo q1w2e3r4|passwd --stdin qiuyuetao

\cp /etc/sudoers /etc/sudoers.ori

echo "oldboy  ALL=(ALL) NOPASSWD: ALL " >>/etc/sudoers

tail -1 /etc/sudoers

visudo -c

7、添加中文字符集

cp /etc/sysconfig/i18n /etc/sysconfig/i18n.ori

echo 'LANG="zh_CN.UTF-8"'  >/etc/sysconfig/i18n

source /etc/sysconfig/i18n

echo $LANG/

8、时间同步（很重要）

echo '#time sync by QYT at 2016-12-1' >>/var/spool/cron/root

echo '*/5 * * * * /usr/sbin/ntpdate time.nist.gov >/dev/null 2>&1' >>/var/spool/cron/root

crontab -l

#使用阿里云的ntp服务器

#另外在推荐下阿里云的dns 223.5.5.5或223.6.6.6，挺好用

9、命令行安全

echo 'export TMOUT=300' >>/etc/profile

echo 'export HISTSIZE=5' >>/etc/profile

echo 'export HISTFILESIZE=5' >>/etc/profile

tail -3 /etc/profile

. /etc/profile

10、加大文件描述

echo '*               -       nofile          65535 ' >>/etc/security/limits.conf

tail -1 /etc/security/limits.conf

#web并发的时候会用到

以下参数是对iptables防火墙的优化，防火墙不开会提示，可以忽略不理.

net.nf_conntrack_max = 25000000

net.netfilter.nf_conntrack_max = 25000000

net.netfilter.nf_conntrack_tcp_timeout_established = 180

net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120

net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60

net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120

EOF

11、yum安装底层工具

yum install lrzsz nmap tree dos2unix nc -y

#yum update或yum upgrade

#yum -y update

#升级所有包，改变软件设置和系统设置,系统版本内核都升级

#yum -y upgrade

#升级所有包，不改变软件设置和系统设置，系统版本升级，内核不改变

#模板机特殊处理技巧：方便后续克隆改IP和主机名等

12、添加相关服务器的hosts解析，可以增加DNS解析速度

#B、(解决rsync 访问慢)

#a./etc/hosts

#hosts解析

cat >/etc/hosts<<EOF

127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4

::1         localhost localhost.localdomain localhost6 localhost6.localdomain6

172.16.1.5      qiuyt  

#这里面就填写集群内的其它host

EOF

13、添加系统常用命令别名

/bin/cp /etc/profile /etc/profile_$(date +%F).bak &&

cat>>/etc/profile<<EOF

alias rm='echo no use rm command'

alias vi='vim'

alias grep='grep --color=auto'

alias egrep='egrep --color=auto'

EOF

source /etc/profile

 

##注销 vi ~/.bashrc 文件内重复定义的变量

#sed -ri 's#^.*rm.*$##g' ~/.bashrc

14、给所有服务器安装python 支持库，方便ansible后期管理##

yum install libselinux-python -y

#虽然ansible是基于ssh进行管理，但是也需要python库的支持，否则会出现异常

15、ssh优化

1、创建普通用户，防止误操作ssh无法连接

2，sed 将优化内容添加到配置文件中。（要有VPN才能使用）

sed -ir '13 iPort 52113\nPermitRootlogin no\nPermitEmptyPasswords no\nUseDNS no\nGSSAPIAuthentication no\nListenAddress 172.16.1.52' /etc/ssh/sshd_config

#只允许指定的172.16.1.61连接，可视情况更改。##

#配置优化内容：

#1，禁止外网ip连接

#2，禁止root登陆

#3，禁止空密码登陆

#4，禁止DNS反向解析

#5，修改ssh默认22端口

3、重启ssh服务器

二、Linux基础优化与安全重点小结

1）不用root登录管理系统，而以普通用户登录通过sudo授权管理。

2）更改默认的远程连接SSH服务端口，禁止root用户远程连接，甚至要更改SSH服务只监听内网IP。

3）定时自动更新服务器的时间，使其和互联网时间同步。

4）配置yum更新源，从国内更新源下载安装软件包。

5）关闭SELinux及iptables（在工作场景中，如果有外部IP一般要打开iptables，高并发高流量的服务器可能无法开启）。

6）调整文件描述符的数量，进程及文件的打开都会消耗文件描述符数量。

7）定时自动清理邮件临时目录垃圾文件，防止磁盘的inodes数被小文件占满（注意Centos6和Centos5要清除的目录不同）。

8）精简并保留必要的开机自启动服务（如crond、sshd、network、rsyslog、sysstat）。

9）Linux内核参数优化/etc/sysctl.conf，执行sysctl -p生效。

10）更改系统字符集为“zh_CN.UTF-8”，使其支持中文，防止出现乱码问题。

11）锁定关键系统文件如/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow、/etc/inittab， 处理以上内容后把chattr、lsattr改名为oldboy，转移走，这样就安全多了。

12）清空/etc/issue、/etc/issue.net，去除系统及内核版本登录前的屏幕显示。

13）清除多余的系统虚拟用户账号。

14）为grub引导菜单加密码。

15）禁止主机被ping。

16）打补丁并升级有已知漏洞的软件。