做好这16项优化，你的LinuxUnix焕然一新

2024-12-26 来源 : 明星

SELinux为确保增强型 Linux（Security-Enhanced Linux），都由要由开发。它本质严谨、结构及配备适合于、操作方法宽松。因此在应用以时可以视情况决定是否要开启应用以，可以在有机密和信息敏感机构等的比如说场面下可以启用。

sed -r -i '/再三留意SELINUX=/s再三留意=.*再三留意=disabled再三留意g'/etc/selinux/config setenforce 0

替换成普通web并 sudo

sudo 是 Linux 系统经营管理指示，是强制系统经营管理员让普通web执行一些或者全部的 root 下达的一个工具，如 halt、reboot、su 等等。这样不但可以提高 root web的录入和经营管理时间段，也只能提高可靠性。

需留意的是，生产环境污染适当绝不会这样一来用 root，决定先建成普通web再进一步提高职责。

[ root@OPS-FDI-020 ~] # useradd shaohy[ root@OPS-FDI-020 ~] # usermod -G wheel shaohy[ root@OPS-FDI-020 ~] # sed -i '/pam_wheel/s/再三留意#//g' /etc/pam.d/su

为web shaohy 替换成 sudo，除断电部份的其他所有操作方法：

[root@OPS-FDI- 020~] # visudoCmnd_Alias SHUTDOWN = /sbin/halt, /sbin/shutdown, /sbin/poweroff, /sbin/reboot, /sbin/initshaohy ALL=(ALL) ALL,!SHUTDOWN%wheel ALL=(ALL) ALL,!SHUTDOWN #修订wheel组的职责，禁止断电Defaults logfile= /var/log/sudo.log

配备的网站的系统和 iptables

自CentOS7在此之后都是配置PDF应用以 firewalld 经营管理 netfilter 子系统，需留意的是底层调用的下达仍然应用以了 iptables。二者的第一区别对比如下：

firewalld 可以时序修订单条的系统，时序经营管理的系统集，强制越来越新的系统而不破坏这两项才会话和通往。而 iptables，在修订了的系统后必须得全部纪录才可以颁布。 firewalld 应用以第一区域和服务项目而不是链式的系统。 firewalld 配置PDF是回绝的，需设置在此之后才能放行。而 iptables 配置PDF是强制的，需回绝的才去受限制。

所以在选取时可以考虑不回绝 firewalld，去尝试接受它。

#!/bin/shIPS= "192.168.0.0/16"firewall-cmd ---zone=public ---remove-service=sshfirewall-cmd ---new-zone=openssh ---permanentfirewall-cmd ---zone=openssh ---add-port=22222/tcp ---permanentfirewall-cmd ---permanent ---zone=public --- set-target=default forip in$IPS; dofirewall-cmd ---zone=openssh ---add-source= $ip---permanent donefirewall-cmd ---reloadfirewall-cmd ---runtime-to-permanent

GPT 的第一区和的第一区机腹

又拍云每一台 CDN 伺服器上都有大量芯片，且不说4T、6T这类量越来越为小的，即便是 10T 的也有 12 块之多，所以需终端化内嵌和划的第一区这些芯片的运维操作方法。

以前的都由指引记录（Master Boot Record，缩写：MBR），又叫做都由指引扇第一区，也就是电脑闫妮后出访芯片都只必须要载入的首个扇第一区，只能赞同等于2T的芯片指引。虽然打了GIMP的 MBR 也可以赞同等于 2T的的第一区，但 GPT 并未成为了新的趋向于。相对 MBR 而言，GPT 的第一区计划有表列出结构上：

GPT 是 UEFI 标准的一部分（ UEFI 是一种个人电脑系统XT，用来定义操作方法系统与系统固件之间的软件图标，作为 BIOS 的替代计划）。 GPT 的第一区列表赞同最都由要 128PB（1PB=1024TB）。可以定义 128 个的第一区。从未都由的第一区，扩展的第一区和范式的第一区的本质，所有的第一区都能内嵌。 #!/bin/shDEV=`lsscsi | awk '/HGST/{print $NF}'` # 比对所有的sata芯片i=1fordev in$DEV; dolabel= "/disk/sata0 $i" echo$dev$labelparted -m -s $devrm 1 parted -m -s $devmklabel gpt parted -m -s $devmkpart primary ext4 2048s 100% partx -a $dev((i++))nohup mkfs.ext4 -L $label${dev}1>/dev/null & done

ulimit 而政府预设

因为CentOS7 / RHEL7 系统里面应用以 Systemd 替代了以前的 SysV，加剧 /etc/security/limits.conf PDF的配备只适用以通过 PAM 验证录入web的人力资源受限制，对 systemd 的service 人力资源受限制不颁布。

因为 systemd service 的人力资源受限制，所以我们将有序配备放置于 /etc/systemd/system.conf 和 /etc/systemd/user.conf 里面。其里面 system.conf 用以系统下述，user.conf 用以web下述。

sed-r -i -e '/DefaultLimitCORE/s再三留意.*再三留意DefaultLimitCORE=infinity再三留意g'-e '/DefaultLimitNOFILE/s再三留意.*再三留意DefaultLimitNOFILE=100000再三留意g'-e '/DefaultLimitNPROC/s再三留意.*再三留意DefaultLimitNPROC=100000再三留意g'/etc/systemd/system.conf

进一步提高推入PDF数的受限制, 配置PDF设置了非 root web的最都由要意味着数为 4096。

cat> /etc/security/limits.d/20-nproc.conf <sysctl.conf 配备颁布

sysctl.conf PDF配备常量相当多且适合于，如果需详解每一个常量的都由导作用需极短时间段。这里我们之间看一部分常见调优常量来感受一下。都由要是集里面在网络和 TCP 常量建模、 swap 停止应用以、PDFLSP可视。

net.ipv4.ip_forward= 1net.ipv4.ip_local_port_range= 100065535

net.ipv4.tcp_slow_start_after_idle= 0net.ipv4.tcp_no_metrics_se= 1net.ipv4.tcp_rfc1337= 1net.ipv4.tcp_timestamps= 1net.ipv4.tcp_sack= 1net.ipv4.tcp_dsack= 1net.ipv4.tcp_window_scaling= 1net.ipv4.tcp_rmem= 409610240016777216net.ipv4.tcp_wmem= 409610240016777216net.ipv4.tcp_mem= 78643210485761572864net.ipv4.tcp_syncookies= 1net.ipv4.tcp_syn_retries= 3net.ipv4.tcp_synack_retries= 5net.ipv4.tcp_retries1= 3net.ipv4.tcp_retries2= 15net.ipv4.tcp_fin_timeout= 30net.ipv4.tcp_max_syn_backlog= 262144net.ipv4.tcp_max_orphans= 262144net.ipv4.tcp_tw_recycle= 0net.ipv4.tcp_tw_reuse= 1net.ipv4.tcp_keepalive_time= 30net.ipv4.tcp_keepalive_intvl= 10net.ipv4.tcp_keepalive_probes= 3net.ipv4.tcp_max_tw_buckets= 600000net.ipv4.tcp_congestion_control=bbr

net.core.somaxconn= 8192net.core.rmem_default= 131072net.core.wmem_default= 131072net.core.rmem_max= 33554432net.core.wmem_max= 33554432net.core.dev_weight= 512net.core.optmem_max= 262144net.core.netdev_budget= 1024net.core.netdev_max_backlog= 262144

vm.swappiness= 0vm.dirty_writeback_centisecs= 9000vm.dirty_expire_centisecs= 18000vm.dirty_background_ratio= 5vm.dirty_ratio= 10vm.overcommit_memory= 1vm.overcommit_ratio= 50vm.max_map_count= 200000

fs.file- max= 524288fs.aio- max-nr= 1048576

/etc/passwd 可靠性检查

web的 shell 职责检查，通常考虑到可靠性的疑虑，不强制有非 root web拥有 shell 职责。

# 处理过程则有uid==0, gid==0的潜伏web,判断有从未bashawk-F: '( $3==0|| $4==0) {print $0}' /etc/passwd|grep -i bash # 除root部份的webshell全部为nologinsed-r -i '/再三留意[再三留意root]/s:/bin/bash:/sbin/nologin:g'/etc/passwd

sshd 服务项目配备

因为仅仅所有 Linux 伺服器都通过 SSH 来完毕远程经营管理，这很较易招来许多不速之客，千方百计通过 SSH 来拿到您的伺服器职责。所以 SSH 确保不容忽视！告诫停止应用以静默录入，修订以前先改用而立私钥的方法来 SSH 录入经营管理伺服器。

sed-r -i '/#Port 22/s再三留意.*再三留意Port 22222再三留意g;/再三留意PasswordAuthentication/s再三留意yes再三留意no再三留意g'/etc/ssh/sshd_config

封闭不必要服务项目

Linux 服务项目（Linux services）对于每个领域 Linux 的web来说都很重要。封闭不必要的服务项目，可以让 Linux 直通越来越高效，但并不是所有的 Linux 服务项目都可以封闭，这个要自己权衡。

systemctl disablenetwork postfix irqbalance tuned rpcbind.target

如果有基于 udp 的服务项目，如ntpd、dns，要留意 udp 的反射攻击。因为 udp 的反射攻击破坏力很大，最好封闭干脆以致于相关的服务项目, 或者选取高防移动式去部署此类服务项目。

logrotate 缩短轮转摘要包

当伺服器意味着相当多，摘要PDF大小增长较太快，就才会随之损耗闪存并触发远程操控。这时就需人为定期按照各种的点去手动修补摘要，如果不及时修补则很较易转化成运维事故。

通常可以应用以 logrotate 摘要摇动必要将摘要PDF按时间段或大小分成多份，删除时间段久远的摘要PDF，从而节省生活空间和方便整理。

sed-r -i 's @weekly@daily@g;s@再三留意rotate.* @rotate7 @g;s@再三留意#compress.* @compress@g' /etc/logrotate.conf systemctldaemon-reload; systemctlrestart rsyslog

journalctl 调整 journal 摘要

在 Systemd 出现以前，Linux 系统及各领域的摘要都是分别经营管理的，而 Systemd 统一经营管理了所有 Unit 启动摘要。这样的坏处就是可以只用一个 journalctl 下达，查看所有Linux和领域的摘要。

前提的配备可以让 journal 量借助于，不至于输出功率爆炸。

sed-r -i -e '/Compress=/s@.* @Compress=yes @g; /SystemMaxUse=/s@.* @SystemMaxUse=4G @g; ' -e '/SystemMaxFileSize=/s@.* @SystemMaxFileSize=256M @g;' -e '/MaxRetentionSec=/s@.* @MaxRetentionSec=2week @g' /etc/systemd/journald.conf

综上所述，完毕以上这些建模后，一个确保可靠的操作方法系统就可以正式上线提供服务项目了, 祝大家 Linux 旅程玩得愉太快!

END

《Linux观止》征集啦

《Linux观止》是 OSCHINA 于 2022 年 6 同月推出的一本关于Linux的合辑，旨在集里面化地呈现一些关于 FLOSS 的信息与观点。我们有一个美好的希冀：Linux，观止矣，而这需越来越多Linux人、开发团队参加跟着共建。因此，OSCHINA 编辑部特向大家征集，征集栏目及要求如下：

《众说》：分享Linux实务全面性的经验或对Linux的认知。

《创业小辑》：记录勇立潮头的Linux创企，展现它们的奋斗历程、文化氛围。

再三在投稿前关联我们哦！

觉得极佳，再三点个在看呀

。

乳腺癌怎么治疗
如何治疗膝骨关节炎
风湿病有哪些方法能缓解
小孩吃饭没胃口怎么办
眼睛干痒用什么眼药水
复方鱼腥草合剂说明书
常乐康对于便秘有效果吗
什么血糖仪准确度高
家里常备什么药物止咳化痰
什么样的血糖仪好

上一篇：亚太地区金价料跌破1717美元

下一篇：熬过19日，三黄道十二宫鸿运当头，偏财运超旺，大显身手