第1章 优化

期中架构

linux系统基础优化

1.Linux系统基础优化

一、关闭SELinux功能

 

Selinux是什么?

康宁工具,控制太严谨,生产条件不用它,使用其余安全手段。

 

简介: 

 

SELinux带给Linux的基本点价值是:提供了七个灵活的,可布署的MAC机制。

 

Security-Enhanced Linux (SELinux)由以下两有个别组成:

 

1) Kernel SELinux模块(/kernel/security/selinux)

 

2) 用户态工具

 

SELinux是2个安全系统布局,它经过LSM(Linux Security
Modules)框架被购并到Linux Kernel 2.6.x中。它是NSA (United States
National Security Agency)和SELinux社区的联手项目。

 

SELinux提供了一种灵活的勒迫访问控制(MAC)系统,且内嵌于Linux
Kernel中。SELinux定义了系统中各类【用户】、【进度】、【应用】和【文件】的拜会和变化的权力,然后它选拔3个安全策略来决定这么些实体(用户、进度、应用和文书)之间的并行,安全策略钦命怎样凶恶或宽松地拓展自作者批评。

 

SELinux对系统用户(system
users)是晶莹剔透的,只有系统一管理理员供给考虑在他的服务器中什么制定严谨的国策。策略能够依照需借使从严的或宽松的。

 

关闭SElinux方式:

1)         通过vi /etc/selinux/config 进入配置文件进入修改

2)         通过sed 命令操作:

 

兑现命令:sed -i ‘s#SELINUX=enforcing#SELINUX=disabled#g’
/etc/selinux/config

输出:

[[email protected]
~]# cp /etc/selinux/config  /etc/selinux/config.ori  操作前的备份

[[email protected]
~]# sed -i  ‘s#SELINUX=enforcing#SELINUX=disabled#g’
/etc/selinux/config  直接修改源文件

[[email protected]
~]# grep SELINUX=disabled /etc/selinux/config                

SELINUX=disabled  查看修改后的功效

 

翻开相比修改后的文本:

兑现命令:(vimdiff)diff /etc/selinux/config.ori /etc/selinux/config

 

输出:

7c7

< SELINUX=enforcing


> SELINUX=disabled

SELINUX=disabled(永久生效)重启系统


[[email protected]
~]# getenforce(查看命令行是不是关闭selinux)

Enforcing

[[email protected]
~]# setenforce (设置selinux)

usage:  setenforce [ Enforcing | Permissive | 1 | 0 ]

[[email protected]
~]# setenforce 0 (命令行关闭selinux)

[[email protected]
~]# getenforce 

Permissive(近期生效)

 

② 、运营级别

 

如何是运转级别:

 

runlevel linux运营时的一种景况标示,这么些标记用数字代表。

运转级别的中间情景:

0

halt,关机状态

1

single  user 单用户,找回root密码

2

multiuser  without nfs 多用户并未NFS互联网文件系统

3

文本方式(Full multiuser mode)*******工作格局

4

unused

5

图形。桌面、X11

6

reboot  重启

 

哪些查看linux运维级级别:

 

福寿无疆命令:runlevel

 

输出:

[[email protected]
~]# runlevel

N(前一次) 3(当前)

 

改变运维级别:init

 

叁 、精简开机系统运转

 

干什么要设置开机自运营?

 

① 、节省开机时间、加速运行速度

 

贰 、节省财富开发

 

③ 、减弱安全隐患

 

急需保留的开机自运营:

 

sshd:远程连接linux服务器

 

rsyslog:是操作系统提供的一种体制,系统的守护程序平日会采取rsylog将各类消息系统日志文件中

 

network:激活关闭各类互连网接口

 

crond:用于周期性地执行系统及用户配置的职责安排(周期性的处理局部再一次问题的陈设职务服务)

 

Sysstat:是二个软件包,监测种类天性及效用的一组织工作具

 

Sysstat软件包集成的机要工具为:

 

iostat工具提供CPU使用率及硬盘吞吐功能的多寡

 

mpstat工具提供与单个或多少个总括机相关的数量

 

sar工具负责采集、报告并蕴藏系统活跃的音讯

 

什么贯彻?

 

率先种办法:通过setup来修改

 

其次种方式:通过ntsysv来修改

 

其三种艺术:通过chkconfig来促成

a.
[[email protected]
~]# chkconfig –list|grep 3:on|awk ‘{print $1}’|grep -Ev
“sshd|network|rsyslog|crond|sysstat”|awk ‘{print “chkconfig ” $1 ”
off”}’|bash

[[email protected]
~]# chkconfig –list|grep 3:on

crond           0:off   1:off   2:on    3:on    4:on    5:on       6:off

network         0:off   1:off   2:on    3:on    4:on    5:on       6:off

rsyslog         0:off   1:off   2:on    3:on    4:on    5:on       6:off

sshd            0:off   1:off   2:on    3:on    4:on    5:on       6:off

sysstat         0:off   1:on    2:on    3:on    4:on    5:on       6:off

 

b.
[[email protected]
~]# chkconfig –list|grep 3:on|awk ‘{print $1}’|grep -Ev
“sshd|network|rsyslog|crond|sysstat”|sed -r ‘s#(.*)#chkconfig \1
off#g’|bash

[[email protected]
~]# chkconfig –list|grep 3:on

crond           0:off   1:off   2:on    3:on    4:on    5:on       6:off

network         0:off   1:off   2:on    3:on    4:on    5:on       6:off

rsyslog         0:off   1:off   2:on    3:on    4:on    5:on       6:off

sshd            0:off   1:off   2:on    3:on    4:on    5:on       6:off

sysstat         0:off   1:on    2:on    3:on    4:on    5:on       6:off

 

c.
[[email protected]
~]# for name in `chkconfig –list|grep 3:on|awk ‘{print $1}’|grep -Ev
“sshd|network|rsyslog|crond|sysstat”`;do chkconfig $name off;done 

[[email protected]
~]# chkconfig –list|grep 3:on                           crond        
  0:off   1:off   2:on    3:on    4:on    5:on    6:off

network         0:off   1:off   2:on    3:on    4:on    5:on    6:off

rsyslog         0:off   1:off   2:on    3:on    4:on    5:on    6:off

sshd            0:off   1:off   2:on    3:on    4:on    5:on    6:off

sysstat         0:off   1:on    2:on    3:on    4:on    5:on    6:off

 

四.关闭iptables防火墙

 

查阅防火墙:iptables -L -n

关门防火墙:

金玉锦绣命令:/etc/init.d/iptables stop

输出:

 [[email protected]
~]# /etc/init.d/iptables stop

iptables:将链设置为政策 ACCEPT:filter                    [确定]

iptables:清除防火墙规则:                                 [确定]

iptables:正在卸载模块:                                   [确定]

翻开防火墙状态:

兑现命令:/etc/init.d/iptables status

输出:

[email protected]
~]# /etc/init.d/iptables status

 [[email protected]
~]# /etc/init.d/iptables status

Table: filter

Chain INPUT (policy ACCEPT)

num  target     prot opt source               destination        

 

Chain FORWARD (policy ACCEPT)

num  target     prot opt source               destination        

 

Chain OUTPUT (policy ACCEPT)

num  target     prot opt source               destination  

 

五.linux运转思想最小化原则

 

规格:多一事不如少一事!

 

一 、安装linux系统最小化,选包最小化,yum安装软件包也要最小化,无用的包不装。

 

贰 、开机自运转最小化

 

③ 、操作命令最小化

 

例如:用rm -f test.txt而不用rm -fr test.txt

 

④ 、登录linux用户最小化。

 

终生并未要求不用root登录,用普通用户登录即可

 

⑤ 、普通用户授权权限最小化,

 

即只给必须的管理种类的指令。

 

陆 、linux系统文件及目录的权限设置最小化,禁止随意成立、更改、删除。理论上限定掉。

 

六. 转移SSH服务端远程登录的布署(配置文件:/etc/ssh/sshd_config)

 

变动方法:

 

方法一:通过vi进入配置文件实行改动

vi /etc/ssh/sshd_config

####【澳门金沙国际】linux系统基础优化,centos7开头优化。by oldboy#2011-11-24##

Port 52113

PermitRootLogin no

PermitEmptyPasswords no

UseDNS no

GSSAPIAuthentication no

####by oldboy#2011-11-24##

 

主意二:通过sed命令实现修改

sed -ir ’13 i Port 52113\nPermitRootLogin no\nPermitEmptyPasswords
no\nUseDNS no\nGSSAPIAuthentication no’  sshd_config

 

重启生效:/etc/init.d/sshd reload【平滑重启不影响用户】(restart)

 Linux下SSH远程连接服务慢的消除方案请见老男孩的博客:

 

⑧ 、利用sudo管理文件讲述

 

在visudo进入文件增加普通用户的一声令下路径使得普通用户环境下选择sudo进行指令操作。

Allow root torun any commands anywhere

root     ALL=(ALL)       ALL

oldboy   ALL=           (ALL)   NOPASSWD: ALL  /bin/ls

用户     用户管理的机器  暂时拥有的用户剧中人物      /bin/ls

留意:内置命令不也许用到sudo。

 

九.linux字符展现设置:

 

字符集是一套文字标记及其编码:GBK 、UTF-8(公司广泛利用)

调动服务器端字符集:调整字符集路径(/etc/sysconfig/i18n)记住

[[email protected]/]#
cat /etc/sysconfig/i18n

LANG=”en_US.UTF-8″       英文字符

SYSFONT=”latarcyrheb-sun16″

[[email protected]/]#
cat /etc/sysconfig/i18n

LANG=”en_US.UTF-8″

SYSFONT=”latarcyrheb-sun16″

[[email protected]/]#cp/etc/sysconfig/i18n
/etc/sysconfig/i18n.oldboy.二〇一六1003    修改文件前的备份

[[email protected]/]#sed-i
‘s#LANG=”en_US.UTF-8″#LANG=”zh_CN.UTF-8″#g’/etc/sysconfig/i18n  
 利用sed替换字符文件修改为中文字符

[[email protected]/]#
cat /etc/sysconfig/i18n

LANG=”zh_CN.UTF-8″

SYSFONT=”latarcyrheb-sun16″

[[email protected]/]#
echo $LANG   查看修改字符后的效应

en_US.UTF-8

[[email protected]/]#
source /etc/sysconfig/i18n 使得修改后的文书生效

[[email protected]/]#
echo $LANG     

zh_CN.UTF-8

 

十. 设置linux服务器时间一起

 

网络同步时间

[[email protected]/]/usr/sbin/ntpdate
time.nist.govov   互连网同步时间

[[email protected]/]#
date -s “2015/10/3 9:34”

二零一五年 一月 0十二日周日 09:34:00 CST

[[email protected]/]#
ntpdate time.nist.gov   set the date and time viaNTP

 3 Oct 09:35:21 ntpdate[28135]: adjust timeserver 132.163.4.103 offset
0.286494 sec

[[email protected]/]#
date   date 查阅时间  -s 修改时间

二零一四年 二月 03日星期五 09:48:46 CST

 [[email protected]
/]# hwclock   query and set the hardwareclock

二零一四年6月010日周一 08时57分12秒  -0.737654 seconds

crond :定时职务

每六分钟同步3次

[[email protected]/]#
echo “*/5 * * * * /usr/sbin/ntpdate time.nist.gov /dev/null2>&1”
>>/var/spool/cron/root

 [[email protected]
/]# crontab –l  定时生效

*/5 * * * */usr/sbin/ntpdate time.nist.gov /dev/null 2>&1

 

十① 、设置超时

 

近来生效

[[email protected]
/]# export  TMOUT=300设置超时时间300S

[[email protected]/]#
echo “export TMOUT=300” >>/etc/profile

[[email protected]/]#
source /etc/profile  使得设置生效

[[email protected]/]#
echo $TMOUT

300

 

十二.history历史记录数

 

一时生效

[[email protected]
/]# export  HISTSIZE=5  定义历史记录数5条

[[email protected]
/]# history

 728  cat ~/.bash_history

 729  HISTFILESIZE=5

 730  cat ~/.bash_history

 731  HISTSIZE=5

 732  history

[[email protected]
/]#export HISTFILESIZE=5 定义历史记录文件数5条

[[email protected]
/]# cat ~/.bash_history

visudo

su – oldboy

su oldboy

netstat -an|grep EST

su oldboy

 

永远生效

[[email protected]
~]# echo ‘export TMOUT=300’>>/etc/profile

[[email protected]
~]# echo ‘exportHISTSIZE=5’ >>/etc/profile

[[email protected]
~]# echo ‘exportHISTFILESIZE=5’ >>/etc/profile

[[email protected]
~]# tail -3 /etc/profile

export TMOUT=300

export HISTSIZE=5

export HISTFILESIZE=5

[[email protected]
~]# source /etc/profile  使得文件生效

[[email protected]
~]# echo $TMOUT   

300

[[email protected]
~]# echo $HISTSIZE

5

 

十三.调动linux系统文件讲述符数量

 

文件讲述符是由无符号整数表示的句柄,进度使用它来标示打开文件。

 

文本讲述符概念:

 

① 、表示情势为整数数字(0-65535)

 

贰 、会占用文件讲述符(标示打开文件)

 

翻开私下认可文件讲述符

ulimit-n

 

叁 、调整文件讲述符

[[email protected]
~]# ulimit -SHn 65535  设置文件讲述符数量

[[email protected]
~]# ulimit -n

65535(32768)

 [[email protected]
~]#  echo ‘*       –    nofile      65535’
>>/etc/security/limits.conf    将修改的描述符数量写入文件

[[email protected]
~]# tail -1/etc/security/limits.conf                   *        –  
 nofile     65535

 

十四.调整基础参数文件 (/etc/sysctl.conf)

 

vim/etc/sysctl.conf

 

linux内核优化参数:


net.ipv4.tcp_fin_timeout = 2

net.ipv4.tcp_tw_reuse = 1

net.ipv4.tcp_tw_recycle = 1

net.ipv4.tcp_syncookies = 1

net.ipv4.tcp_keepalive_time = 600

net.ipv4.ip_local_port_range = 4000    65000

net.ipv4.tcp_max_syn_backlog = 16384

net.ipv4.tcp_max_tw_buckets = 36000

net.ipv4.route.gc_timeout = 100

net.ipv4.tcp_syn_retries = 1

net.ipv4.tcp_synack_retries = 1

net.core.somaxconn = 16384

net.core.netdev_max_backlog = 16384

net.ipv4.tcp_max_orphans = 16384

#以下参数是对iptables防火墙的优化,防火墙不开会提示,能够忽略不理。

net.nf_conntrack_max = 25000000

net.netfilter.nf_conntrack_max =25000000

net.netfilter.nf_conntrack_tcp_timeout_established= 180

net.netfilter.nf_conntrack_tcp_timeout_time_wait= 120

net.netfilter.nf_conntrack_tcp_timeout_close_wait= 60

net.netfilter.nf_conntrack_tcp_timeout_fin_wait= 120


 

网络状态表达及优化命令和优化细节参考资料请看:

sysctl -p 使得加载的参数生效

 

十五.隐藏linux版本号:

 

[[email protected]
~]# cat /etc/issue

CentOS release 6.7 (Final)

Kernel \r on an \m

[[email protected]
~]# cat /etc/issue.net

CentOS release 6.7 (Final)

Kernel \r on an \m

[[email protected]
~]# >/etc/issue

[[email protected]
~]# >/etc/issue.net

[[email protected]
~]# cat /etc/issue

 

十六.锁定系统文件

 

连锁的系统文件:/etc/passwd/etc/shadow /etc/group /etc/gshadow
 /etc/inittab

 [[email protected]~]#
chattr +i /etc/passwd /etc/shadow /etc/group  /etc/gshadow /etc/inittab
  +i锁定系统文件

[[email protected]
~]# useradd dddd

useradd: cannot open /etc/passwd

[[email protected]
~]# rm -f /etc/passwd

Do not use rm command. -f /etc/passwd

[[email protected]
~]# \rm -f /etc/passwd

rm: 无法删除”/etc/passwd”: 不容许的操作

[[email protected]
~]# chattr -i /etc/passwd/etc/shadow /etc/group
 /etc/gshadow/etc/inittab  -i解除系统文件

[[email protected]
~]# useradd dddd     

[[email protected]
~]# chattr +i /etc/passwd/etc/shadow /etc/group
 /etc/gshadow/etc/inittab

[[email protected]
~]# lsattr /etc/passwd  查看系统文件属性

—-i——–e- /etc/passwd

[[email protected]
~]# chattr -i /etc/passwd/etc/shadow /etc/group
 /etc/gshadow/etc/inittab

[[email protected]
~]# lsattr /etc/passwd

————-e- /etc/passwd

 

十七.禁止linux系统被ping

 

基础中修改禁止ping,缺点是明确命令禁止自身ping

echo 0 >/proc/sys/net/ipv4/icmp_echo_ignore_all 

[[email protected]
~]# echo”net.ipv4.icmp_echo_ignore_all=1″ >> /etc/sysctl.conf

[[email protected]
~]# tail -1 /etc/sysctl.conf

net.ipv4.icmp_echo_ignore_all=1

[[email protected]
~]# sysctl -p

 

生效:

[[email protected]
~]# echo”net.ipv4.icmp_echo_ignore_all=1″ >> /etc/sysctl.conf

[[email protected]
~]# tail -1 /etc/sysctl.conf

net.ipv4.icmp_echo_ignore_all=1

[[email protected]
~]# sysctl -p

 

还原禁ping:

echo 0 >/proc/sys/net/ipv4/icmp_echo_ignore_all

十八.定时清理邮件服务目前目录垃圾文件

 

centos5密密麻麻的系统私下认可安装Sen时dmail服务,由此邮件权且存放地方的路线/var/spool/clientmqueue/.

 

centos6私下认可情形下并未安转Sendmail服务,而是改装了Posfix服务,由此邮件存放地方的门径为:/var/spool/postfit/maildrop/

如上七个目录很简单被垃圾文件填满导致系统的inode数量不够用,从而导致无地点存放文件

 

手动清理的法子:

find /var/spool/clientmqueue/ -typef|xargs rm
-f适合centOS5的sendmail服务

find /var/spool/postfix/maildrop/ -typef|xargs rm
-f适合Centos6的postfix服务

定时清理的主意为:将上述命令写成脚本,然后做定时任务,每日中午0点执行二回(定时任务再说)

 

 

总括:怎么着优化linux:

 

1、关闭SElinux

② 、关闭防火墙,设定运维级别为3.

③ 、精简开机自运维服务

肆 、SSH安控(提前建立普通用户)

⑤ 、sudo 管理用户授权

陆 、调整文件讲述符

七 、更改合适的字符集

八 、锁定重点系统文件

九 、禁止展现内核版本及系统版本新闻

⑩ 、设置会话的晚点时间及历史记录数

11、禁止PING

1② 、优化LINUX内核参数

1叁 、特定漏洞yum/rpm升级

1④ 、清楚多余的系统虚拟账号

1⑤ 、服务器时间同步

1陆 、打补丁下载软件调整为国内的下载地址(调整yum源)

1柒 、定时清理邮件服务权且目录垃圾文件

1捌 、为grub菜单加密码

1.Linux系统基础优化
一 、关闭SELinux成效 Selinux是什么?
安全工具,控制太严厉,生产条件不用它,使用其余安全手段。…

变动SSH服务端远程登录的布局

windows服务端的私下认可远程管理端口是3389,管理员用户是administrator,普通用户是guest。Linux的军管用户是root,普通用户暗中同意有广大个,远程连接暗中认可端口是22。

修改配置文件/etc/ssh/sshd_config,13行Port
22(暗许端口22),改为Port 52113(范围0——65535);15行ListenAddress
0.0.0.0 (监听ip地址),改为ListenAddress
192.168.131.1;43行PermitRootLogion
yes(root用户远程连接),改为PermitRootLogion no;122行UseDNS
yes(DNS解析),改为UseDNS no;GSSAPIAuthentication
yes(SSH连接慢),改为GSSAPIAuthentication no;

cat –n:查看行号

vim
:set nu 展现行号

diff相比3个文件的不一样之处。

[root@oldboy66 ssh]#
diff sshd_config sshd_config.oldboy.20161204

vimdiff以高亮格局比较1个文件的区别之处。

[root@oldboy66 ssh]#
vimdiff sshd_config sshd_config.oldboy.20161204

sed替换:

  1. [root@oldboy66 ssh]# sed -ir ’13
    iPort 52113\nPermitRootLogin no\nPermitEmptyPasswords no\nUseDNS
    no\nGSSAPIAuthenication no’ sshd_config

重启生效:/etc/init.d/sshd
restart(恐怕影响用户)或/etc/init.d/sshd reload(平滑重启)。

翻看端口:

netstat -lntup|grep
sshd

1.1 修改yum源 epel源

curl -o /etc/yum.repos.d/CentOS-Base.repo

curl -o /etc/yum.repos.d/epel.repo

yum -y install vim lrzsz wget bash-completion.noarch  bash-completion-extras.noarch 
dos2unix tree htop telnet pv

bash-completion  补全命令包

关闭防火墙

[root@CentOS7 ~]# systemctl disable firewalld.service 

[root@CentOS7 ~]# systemctl stop firewalld.service 

关闭seliux

[root@Centos7 ~]# sed -i ‘s#enforcing#disabled#g’ 
/etc/selinux/config

Ssh优化远程连接 

vim  /etc/ssh/sshd_config

         Port 52113                                 
#应用过量一千0的端口号

         PermitRootLogin no                          #不准root远程登录

         PermitEmptyPasswords no                     #明确命令禁止空密码登录

         UseDNS no                                   #不使用dns解析

         GSSAPIAuthentication no                     #连年慢的缓解配置

重启生效systemctl restart sshd

普通用户—防火墙—外网沟通机—高可用软件(keepalived)负载均衡、负载均衡(nginx/lvs/haproxy)—web服务器(nginx/apache)-数据库(MySQL/MongoDB/Oracle)、存款和储蓄(NFS/法斯特dFS/GFS/MFS)、备份(Koleossync+定时职分)—缓存(Redis/Memcached)

利用sudo控制用户对系统命令的选取权限

管理sudo命令:

visudo或vi
/etc/sudoers,visudo更好。vi命令格局直接输入行数+gg到定点的行数,显示行号:set
nu,yy(复制)+p(粘贴)复制当前行到下一行,shift+a到最后处于编辑状态。

98+gg: 98 root
ALL=(ALL) ALL

给oldboy授予root权限:

oldboy ALL=(ALL) ALL

oldboy ALL=(ALL)
NOPASSWD:ALL(不升迁输入密码)

用oldboy添加八个用户oldgirl:

  1. [oldboy@oldboy66 ~]$ sudo useradd
    oldgirl

  2. #输入oldboy密码

  3. [sudo] password for oldboy:

  4. #加上成功

  5. [oldboy@oldboy66 ~]$ tail -1
    /etc/passwd

  6. oldgirl:x:501:501::/home/oldgirl:/bin/bash

给oldboy授予固定权限:

oldboy ALL=(ALL)
/bin/touch,/usr/sbin/useradd

留神:必要命令的全路径,查看命令全路径which
命令,例如:

  1. [root@oldboy66 ~]# which useradd
  1. /usr/sbin/useradd

  2. [root@oldboy66 ~]# which touch

  1. /bin/touch

find查找:find / -type
f -name “useradd”

whereis查找:whereis -b
useradd

locate查找:locate
useradd

环境变量:

PATH系统路径变量,执行ls、cp等非内置命令时,系统会查找PATH里对应的门道是不是存在,如若没有就报告找不到该命令。当执行which
cp来查阅命令所在路径的时候,也正是从PATH变量去寻觅。

PATH变量的临时改动
export PATH=”/tmp:$PATH”,永久生效将指令放到/etc/profile下,使用source
/etc/profile 使得立刻见效。

1.2 提权用户oldboy

useradd oldboy

passwd oldboy

visudo

93 oldboy ALL=(ALL)     NOPASSWD: ALL

visudo -c 生效

运营职员—秘密通道(OpenVPN/VPN)—跳板机(Shell/JumpServer/CreazyEYE/GateONE)、批量管制(Ansible/SaltStack/pash)、监察和控制(Zabbix/Nagios+cacti)

Linux中文显示设置

翻看当前字符编码:

  1. [root@oldboy66 tmp]# cat
    /etc/sysconfig/i18n

  2. LANG=”en_US.UTF-8″

  3. SYSFONT=”latarcyrheb-sun16″

操作前先进行备份:cp
/etc/sysconfig/i18n /etc/sysconfig/i18n.oldboy.二零一五1205

  1. [root@oldboy66 sysconfig]# sed -i
    ‘s#LANG=”en_US.UTF-8″#LANG=”zh_CN.UTF-8″#g’ /etc/sysconfig/i18n
  1. [root@oldboy66 sysconfig]# cat
    /etc/sysconfig/i18n

  2. LANG=”zh_CN.UTF-8″

  3. SYSFONT=”latarcyrheb-sun16″

  4. #旋即生效

  5. [root@oldboy66 sysconfig]# source
    /etc/sysconfig/i18n

  6. [root@oldboy66 sysconfig]# echo
    $LANG

  7. zh_CN.UTF-8

瞩目:客户端字符集需改为UTF-8。

1.3 时间一起

echo ‘*/5 * * * * /usr/sbin/ntpdate ntp1.aliyun.com >/dev/null 2>&1’ >> /var/spool/cron/root

网站的更新进程(代码上线流程)

安装Linux服务器时间同步

展现时间:date

修改时间:date –s “时间” hwclock

来得日历:cal

同台互连网时间:

  1. [root@oldboy66 tmp]#
    /usr/sbin/ntpdate time.nist.gov

定时任务履行一起:

  1. #每肆分钟实施二遍同步

  2. [root@oldboy66 tmp]# echo “*/5 * * * * /usr/sbin/ntpdate
    time.nist.gov >/dev/null
    2>&1” >>/var/spool/cron/root

  3. [root@oldboy66 tmp]# crontab -l

  1. */5 * * * * /usr/sbin/ntpdate
    time.nist.gov >/dev/null 2>&1

上边二种办法是等价的:

/dev/null
空设备(黑洞)

荒唐和不错都输出到/dev/null:

1、1>/dev/null
2>/dev/null

2、1>/dev/null 2&1

3、&>/dev/null

1.4 主机名配置

临时 hostname     永久  /etc/hostname

 

hostnamectl set-hostname  主机名

cat /etc/hostname 

查看     hostnamectl

Bash   生效

办公测试环境

时刻一起架构

小范围时间共同架构:

澳门金沙国际 1

广大时间同步架构:

澳门金沙国际 2

1.5 字符集

临时

[root@clsn ~]# echo $LANG

zh_CN.UTF-

永久

[root@clsn ~]# cat /etc/locale.conf

LANG=”zh_CN.UTF-8″

[root@oldboyedu39 ~]# export LANG=en_US.UTF-8 ####修改

[root@oldboyedu39 ~]#  echo $LANG  ###查看

en_US.UTF-8

[root@oldboyedu39 ~]#

 

线上测试环境

安装Linux暗许历史记录数

指令如下,注意此时的安插仅一时生效。

  1. #安装历史记录数5

  2. [root@oldboy66 ~]# HISTSIZE=5

把计划参数放入配置文件,使得永久生效。

  1. #设置终点超时时间

  2. [root@oldboy66 ~]# echo
    ‘TMOUT=300’ >>/etc/profile

  3. #设置历史记录数

  4. [root@oldboy66 ~]# echo
    ‘HISTSIZE=5’ >>/etc/profile

  5. #安装文件记录数cat ~/.bash_history

  1. [root@oldboy66 ~]# echo
    ‘HISTFILESIZE=5’ >>/etc/profile

TMOUT=10:连接的过期时控变量。

HISTSIZE=5:命令行的历史记录数量变量。

HISTFILESIZE=10:历史记录文件的命令行数量变量(~/.bash_history)。

历史记录清空:history
-c。

删除内定历史记录:history -d
10(删除10号历史记录)。

1.6 开机运维项优化

[root@kickstart ~]# systemctl list-unit-files|egrep "^ab|^aud|^kdump|vm|^md|^mic|^post|lvm"  |awk '{print $1}'|sed -r 's#(.*)#systemctl disable &#g'|bash

线上规范环境

加大服务器文件讲述符

文件讲述符的概念

一 、表示格局为整数数字(0——65535)。

② 、进程使用的时候会占用文件讲述符(标识打开的公文)。

查看默许文件讲述符

  1. [root@oldboy66 ~]# ulimit -n

  2. 1024

叁 、调整文件讲述符

方法一:

直接把ulimit -SHn
65535下令插足到/etc/rc.local,然后每一遍开机运转的时候生效。

  1. #暂时生效

  2. [root@oldboy66 ~]# ulimit -SHn 65535

  1. [root@oldboy66 ~]# ulimit -n

  2. 65535

写入rc.local:

  1. cat >>/etc/rc.local<<EOF
  1. ulimit -HSn 65535

  2. ulimit -s 65535

  3. EOF

方法二:

在/etc/sercurity/limits.conf里面配备。

  1. [root@oldboy66 ~]# echo ‘* – nofile
    65535’ >>/etc/security/limits.conf

  2. [root@oldboy66 ~]# tail -1
    /etc/security/limits.conf

  3. * – nofile 65536

1.从安装系统开始准备

调整基础参数文件/etc/sysctl.conf

vim编辑:shift+g切换成文件结尾

优化参数:

  1. net.ipv4.tcp_fin_timeout = 2

  2. net.ipv4.tcp_tw_reuce = 1

  3. net.ipv4.tcp_tw_recycle = 1

  4. net.ipv4.tcp_syncookies = 1

  5. net.ipv4.tcp_keepalive_time = 600

  1. net.ipv4.ip_local_port_range = 4000
    65000

  2. net.ipv4.tcp_max_syn_backlog = 16384

  1. net.ipv4.tcp_max_tw_buckets = 36000
  1. net.ipv4.route.gc_timeout = 100
  1. net.ipv4.tcp_syn_retries = 1

  2. net.ipv4.tcp_synack_retries = 1

  1. net.core.somaxconn = 16384

  2. net.core.netdev_max_backlog = 16384

  1. net.ipv4.tcp_max_orphans = 16384
  1. #以下参数是对iptables防火墙的优化,防火墙不开会唤醒,能够忽略不理
  1. #net.nf_conntrack_max = 25000000
  1. #net.netfilter.nf_conntrack_tcp_timeout_established
    = 180

  2. #net.netfilter.nf_conntrack_tcp_timeout_time_wait
    = 120

  3. #net.netfilter.nf_conntrack_tcp_timeout_close_wait
    = 60

  4. #net.netfilter.nf_conntrack_tcp_timeout_fin_wait
    = 120

实践生效:sysctl -p

查阅互联网状态:netstat
-an

安装中添加网卡

隐藏Linux版本音讯

控制Linux显示版本新闻的文书

  1. [root@oldboy66 ~]# cat /etc/issue
  1. CentOS release 6.6 (Final)

  2. Kernel \r on an \m

  3.    

  4. [root@oldboy66 ~]# cat
    /etc/issue.net

  5. CentOS release 6.6 (Final)

  6. Kernel \r on an \m

清空这一个三个公文就能够了。

eth0

澳门金沙国际,锁定重点系统文件,幸免提权被曲解

命令:

  1. [root@oldboy66 ~]# chattr +i
    /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab

铲除锁定:chattr -i

ip 10.0.0.210

为grub菜单加密码

为grub菜单加密码的指标是预防外人修改grub做基础等运维设置。

① 、先用/sbin/grub-md5-crypt爆发一个MD5密码串。

  1. [root@oldboy66 ~]#
    /sbin/grub-md5-crypt

  2. Password:

  3. Retype password:

  4. $1$T2zU4/$KmlABHIkQGczWjh1DdwWU.

② 、修改grub.conf文件添加

password –md5
$1$T2zU4/$KmlABHIkQGczWjh1DdwWU.。

  1. [root@oldboy66 ~]# vim
    /etc/grub.conf

  2.   1 # grub.conf generated by anaconda

  1.   2 #

  2.   3 # Note that you do not have to rerun grub after making
    changes

  3.      to this file

  4.   4 # NOTICE: You have a /boot
    partition. This means that

  5.   5 # all kernel and initrd paths are
    relative to /boot/,

  6.      eg.

  7.   6 # root (hd0,0)

  8.   7 # kernel /vmlinuz-version ro
    root=/dev/sda3

  9.   8 # initrd
    /initrd-[generic-]version.img

  10.   9 #boot=/dev/sda

  11.  10 default=0

  12.  11 timeout=5

  13.  12
    splashimage=(hd0,0)/grub/splash.xpm.gz

  14.  13 hiddenmenu

  15.  14 title CentOS 6
    (2.6.32-504.el6.x86_64)

  16.  15 root (hd0,0)

  17.  16 kernel
    /vmlinuz-2.6.32-504.el6.x86_64 ro root=UUID=e89

  18.     62baa-4051-4832-b0ee-e27aa74f6374
    rd_NO_LUKS rd_NO_LVM LANG=en

  19.     _US.UTF-8 rd_NO_MD
    SYSFONT=latarcyrheb-sun16 crashkernel=auto

  20.      KEYBOARDTYPE=pc KEYTABLE=us
    rd_NO_DM rhgb quiet

  21.  17 initrd
    /initramfs-2.6.32-504.el6.x86_64.img

留神:password要加在splashimage和title之间,不然也许不奏效。

netmask 24

禁止Linux系统被ping

命令:

  1. [root@oldboy66 ~]# echo “net.ipv4.icmp_echo_ignore_all=1” >>
    /etc/sysctl.conf

  2. #当即生效

  3. [root@oldboy66 ~]# sysctl -p

gateway 10.0.0.254

升迁具有独立漏洞的软件版本

第②查六柱预测关软件的本子号

  1. [root@oldboy66 ~]# rpm -qa openssl
    openssh bash

  2. openssl-1.0.1e-30.el6.x86_64

  3. bash-4.1.2-29.el6.x86_64

  4. openssh-5.3p1-104.el6.x86_64

实施升级已知漏洞的软件版本到新型。

  1. [root@oldboy66 ~]# yum install
    openssl openssh bash

DNS servers 223.5.5.5

配置yum源

翻看当前yum源

  1. [root@oldboy66 ~]# cat
    /etc/yum.repos.d/CentOS-Base.repo

布署Ali云的yum源

  1. wget -O
    /etc/yum.repos.d/CentOS-Base.repo

wget:下载,wget
http://url;-O:下载到钦定路线并改名换姓;–spider:爬虫,检查网站是还是不是好的,不会下载只是检查;-T(–timeout):钦命超时时间(–timeout=seconds);–tries:钦定重试的次数(–tries=2);-q(–quiet):后台下载,关闭输出;

总结:

一 、不用root管理,以普通用户的名义通过sudo授权管理。

贰 、更改暗中认可的长途连接SSH服务端口,禁止root用户远程连接,甚至要转移为只监听内网IP。

③ 、定时自动更新服务器时间,使其和网络时间同步。

④ 、配置yum更新域,从境内更新源下载安装软件包。

伍 、关闭SELinux及iptables(在生产场景中,如若有表面IP一般要打开)

⑥ 、调整文件讲述符的多寡,进度及文件的开辟都会开销文件讲述符。

柒 、定时自动清理邮件目录垃圾文件,制止inodes节点被占满。

捌 、精简并保留必需的开机自运转服务(如crond、sshd、network、rsyslog、stsstat)。

玖 、Linux内核参数优化/etc/sysctl.conf,执行sysctl
-p 生效。

十 、更改字符集,使其帮衬中文。

1一 、锁定重点系统文件如/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow、/etc/inittab,处理后把chattr、lasttr改名。

1贰 、清空/etc/issue、/etc/issue.net,去除系统及基本版本登录前的显示器展现。

1叁 、清楚多余的系统虚拟账号。

1四 、为grub菜单加密码。

15、禁止被ping。

1⑥ 、升级漏洞软件。

   

less:按屏(空格、page
up/page down)或按行(回车)查看文件。

more:按屏(空格)或按行(回车)查看文件,不能向上翻。

eth1

Linux目录结构

linux唯有一个极端/(根),别的全数目录都在根下。根上面包车型地铁富有目录是3个有层次的树状结构,像一颗倒挂着的小树。

  1. [root@oldboy66 ~]# tree -L 1 /
  1. /

  2. ├── bin

  3. ├── boot

  4. ├── dev

  5. ├── etc

  6. ├── home

  7. ├── lib

  8. ├── lib64

  9. ├── lost+found

  10. ├── media

  11. ├── mnt

  12. ├── oldboy

  13. ├── opt

  14. ├── proc

  15. ├── root

  16. ├── sbin

  17. ├── selinux

  18. ├── srv

  19. ├── sys

  20. ├── tmp

  21. ├── usr

  22. └── var

tree:展现目录结构,-L:钦命显示多少层;-d:只展现目录。

linux的目录结构和磁盘分区是分其余,能够自由组合。

/

├──
bin    Essential command binaries

├──
boot    Static files of the boot loader

├──
dev    Device files

├──
etc    Host-specific system configuration

├──
home    User home directories(optional)

├──
lib    Essential shared libraries and kernel modules

├── lib64

├── lost+found

├── media

├──
mnt    Mount point for mounting a filesystem
temporarily

├── oldboy

├──
opt    Add-on application software packages

├──
proc    进度新闻及基本音信(cpu、硬盘分区、内部存款和储蓄器新闻等)

├──
root    Home directory for the root user(optional)

├──
sbin    Essential system binaries

├── selinux

├── srv

├── sys

├──
tmp    Temporary files

├──
usr    Secondary hierarchy

└──
var    Variable data

cat
/proc/meminfo    内存音信

cat
/proc/cpuinfo cpu信息

cat
/proc/mounts     挂载音信

cat
/proc/loadavg 负载(系统繁忙程度)

小结:

一 、linux系统的拥有目录时三个有层次的倒着的树状目录结构,/根是具备目录的起源。

贰 、分歧的目录数据足以超过分裂的磁盘分区或差异的磁盘设备。

/dev/ 设备目录

/etc/
系统布署即服务配置文件、运转命令的目录

/proc
显示内核及经过音信的虚拟文件系统

/tmp 一时半刻文件目录

/home 普通用户家目录

/root
超级管理员的家目录

/var
变化的目录,一般是日记文件,cache的目录

/usr
用户程序及数据、支持文件、二进制命令等的目录

/bin、/sbin、/usr/sbin
用户命令的目录

ip 172.16.1.210

Linux首要目录路径

netmask 24

/etc/sysconfig/network-scripts/ifcfg-eth0:配置网络地址及GW等。

  1. [root@oldboy66 ~]# cat
    /etc/sysconfig/network-scripts/ifcfg-eth0

  2. DEVICE=eth0
    #物理设备名,eth1代表第2块网卡

  3. HWADDR=00:0c:29:a6:d7:cb
    #网卡的MAC地址,四十七人(克隆后要去除)

  4. TYPE=Ethernet #以太网

  5. UUID=cd11ee91-579f-43be-9074-a14cabe2e0c6
    #uuid唯一用户标识(克隆后要去除)

  6. ONBOOT=yes #支配网卡是否开机运维

  1. NM_CONTROLLED=yes

  2. BOOTPROTO=dhcp
    #proto值:none,指引时不利用协议;static,静态分配地址;bootp,使用BOOTP协议;dhcp,使用DHCP协议

  1. DNS2=202.106.0.20
    #DNS把baidu.com变成baidu服务器IP。DNS域名和IP的剖析工具

  2. DNS1=8.8.8.8

  3. USERCTL=no

  4. PEERDNS=yes

  5. IPV6INIT=no

IPADDR=10.0.0.7
#addr是IP地址

NETMASK=255.255.255.0
#子网掩码,划分互联网位和主飞机地点10.0.0.0/24

GATEWAY=10.0.0.254
#网关地址,路由器的地址

修改配置生效命令:

  1. [root@oldboy66 ~]#
    /etc/init.d/network restart #ONBOOT=yes

  2. [root@oldboy66 ~]# ifdown eth0 &&
    ifup eth0 #关门和起步

ifup:启动

ifdown:关闭

2.集合互连网环境

/etc/resolv.conf:DNS管理

  1. [root@oldboy66 ~]# cat
    /etc/resolv.conf

  2. ; generated by /sbin/dhclient-script

  1. search localdomain

  2. nameserver 8.8.8.8

  3. nameserver 202.106.0.20

小结:

壹 、客户端DNS可以在网卡配置文件里设置(ifcfg-eth0)。

二 、客户端DNS也可以在/etc/resolv.conf里安装。

叁 、网卡里的设置DNS优先于/etc/resolv.conf。

网关都以10.0.0.254

/etc/hosts:设定用户IP与域名的照应解析表

对应windows的文件C:\Windows\System32\drivers\etc\hosts。

  1. [root@oldboy66 ~]# cat /etc/hosts
  1. 127.0.0.1 localhost
    localhost.localdomain localhost4 localhost4.localdomain4

  2. ::1 localhost localhost.localdomain
    localhost6 localhost6.localdomain6

  3. 192.168.131.128 oldboy66

hosts在商行里的成效:

一 、开发、产品、测试等人士,用于通过规范的域名测试行生产品。

贰 、服务器之间的调用能够用域名(内部的DNS),方便迁移。

VMware里-编辑-虚拟互联网编辑器-NAT设置-网关IP-10.0.0.254

/etc/sysconfig/network:修改机器名及网卡运维,网关等配备。

  1. [root@oldboy66 ~]# cat
    /etc/sysconfig/network

  2. NETWORKING=yes

  3. HOSTNAME=oldboy66

更改主机名:

1、vi
/etc/sysconfig/network

2、hostname 主机名

而且修改。

控制面板\网络和 Internet\网络连接-VMnet8-10.0.253

/etc/fstab:设置文件系统挂载音信的文书,使得开机能够自行挂载磁盘分区

  1. [root@oldboy66 ~]# df –h
    #查阅磁盘挂载消息

  2. Filesystem Size Used Avail Use% Mounted
    on

  3. /dev/sda3 7.1G 1.4G 5.4G 21% /

  4. tmpfs 497M 0 497M 0% /dev/shm

  5. /dev/sda1 190M 27M 153M 15% /boot

   

  1. [root@oldboy66 ~]# cat /etc/fstab
  1. UUID=e8962baa-4051-4832-b0ee-e27aa74f6374 /
    ext4 defaults 1 1

  2. UUID=9782b8eb-4b2d-4919-b3b7-14ee46d04ae8
    /boot ext4 defaults 1 2

  3. UUID=60b51f07-216b-4e38-9eee-d3de8d897e01
    swap swap defaults 0 0

  4. tmpfs /dev/shm tmpfs defaults 0 0
    #挂载的设施
    挂载点    挂载文件系统类型    挂载选项(读、写)是或不是系统备份
    是还是不是开机自检查

  5. devpts /dev/pts devpts gid=5,mode=620 0
    0

  6. sysfs /sys sysfs defaults 0 0

  7. proc /proc proc defaults 0 0

  8. [root@oldboy66 ~]#

fsck:磁盘检查(不要检查好磁盘),卸载的情事

挂载形式:

壹 、命令挂载

mount -t ext4 -o noexec
/dev/sda1 /mnt

2、/etc/fstab

   

测试手动挂载:

① 、创设2个虚拟的块设备。

dd if=/dev/zero
of=/dev/sdb1 bs=4906 count=100

2、格式化

mkfs.ext4 /dev/sdb1

3、挂载

mount -t ext4 -o
loop,noatime,noexec /dev/sda1 /mnt

4、查看

df -h

首先列挂载的配备得以是设备名或UUID、磁盘标签。

fstab出难点,修复方式:

① 、开机提醒输入密码修复。

贰 、救援方式rescue修改/etc/fatab只读状态,mount
-o rw,remount /。

2.5服务器ip地址规划

/etc/rc.local:用于存放手机自运行程序命令的文书

让一个顺序开机运行:

1、chkconfig(/etc/init.d/sshd)。

2、放入/etc/rc.local。

分选提出:/etc/rc.local,工作中把/etc/rc.local作为服务器档案文件,全数程序开机运营放入/etc/rc.local并加注释。

rc.local与fstab差异:rc.local在系统运维完结最后加载。

NFS网络文件系统挂载是,网卡还没运行,就已经加载fstab。(mount
-t nfs 10.0.0.7:/data /mnt)

服务器表达       外网IP(NAT) 内网IP(LAN区段/Host-only) 主机名规划

/etc/inittab:设定系统运行时init进度将把系统设置成什么样的runlevel运转级别及加载相关的级别对应运维文件设置

Linux运维进程:

澳门金沙国际 3

1、开机BIOS自检

2、MBR引导

硬盘0柱面0磁盘1扇区的前446byte。

叁 、grub引导菜单

cat /etc/grub.conf

四 、加载内核kernel

5、启动init进程

ps -ef|grep init

A1-nginx负载服务器01  10.0.0.5/24 172.16.1.5/24 lb01

/etc/init.d

A1-nginx负载服务器02  10.0.0.6/24      172.16.1.6/24 lb02

/etc/profile:系统全局环境变量永久生效的铺排文件

B1-nginx web服务器    10.0.0.7/24 172.16.1.7/24 web02

/etc/profile.d:登录后实施的台本所在地

B2-nginx web服务器    10.0.0.8/24 172.16.1.8/24 web01

/etc/motd:登录后出示的字符串

C3-mysql数据库服务器  10.0.0.5百分之五十4 172.16.1.5百分之五十4 db01

/etc/issue:记录用户登录前体现的种类版本等音讯

  1. [root@oldboy66 ~]# cat -n /etc/issue
  1.      1 CentOS release 6.6 (Final)
  1.      2 Kernel \r on an \m

C1-NFS存款和储蓄服务器      10.0.0.3八分之四4 172.16.1.3四分之二4 nfs01

/etc/group:设定用户的组名与有关消息

C2-rsync存款和储蓄服务器    10.0.0.4四分之二4 172.16.1.4二分之一4 /

/etc/passwd:账号消息文件

X-管理服务器   10.0.0.6四分之二4 172.16.1.650%4 m01

/etc/shadow:密码新闻文件

3.系统优化

/etc/gshadow:组密码信息文件

#有着服务器模板机的中央优化

/etc/sudoers:能够实施使用sudo命令的配置文件

visudo -c:检查语法

yum remove tree
-y:yum删除(会去除注重,慎用)

\cp /etc/hosts{,.bak}

/var/log/messages:系统日志,自动轮询按周(rsyslog)

cat >/etc/hosts<<EOF

/var/log/secure:安全日志,SSH连接日志

127.0.0.1 localhost localhost.localdomain localhost4
localhost4.localdomain4

dmesg:内核打印的错误音讯,例如硬件故障

::1 localhost localhost.localdomain localhost6 localhost6.localdomain6

/var/spool/cron/root:定时任务crond配置文件

172.16.1.5 lb01

/proc/mounts:设备挂载音讯与df -h类似

172.16.1.6 lb02

172.16.1.7 web02

172.16.1.8 web01

172.16.1.51 db01 db01.etiantian.org

172.16.1.31 nfs01

172.16.1.41 backup

172.16.1.61 m01

EOF

#0、更改yum源

mv /etc/yum.repos.d/CentOS-Base.repo
/etc/yum.repos.d/CentOS-Base.repo.backup

mv /etc/yum.repos.d/epel.repo /etc/yum.repos.d/epel.repo.backup

mv /etc/yum.repos.d/epel-testing.repo
/etc/yum.repos.d/epel-testing.repo.backup

wget -O /etc/yum.repos.d/CentOS-Base.repo

wget -O /etc/yum.repos.d/epel.repo

#yum makecache

#1、关闭selinuxsed -i.bak ‘s/SELINUX=enforcing/SELINUX=disabled/’
/etc/selinux/config

grep SELINUX=disabled /etc/selinux/config

setenforce 0

getenforce

#2、关闭iptables

/etc/init.d/iptables stop

/etc/init.d/iptables stop

chkconfig iptables off

#③ 、精简开机自运转服务

export LANG=en

chkconfig|egrep -v “crond|sshd|network|rsyslog|sysstat”|awk ‘{print

“chkconfig”,$1,”off”}’|bash

chkconfig –list|grep 3:on

#4、提权oldboy可以sudo

useradd oldboy

echo 123456|passwd –stdin oldboy

\cp /etc/sudoers /etc/sudoers.ori

echo “oldboy ALL=(ALL) NOPASSWD: ALL ” >>/etc/sudoers

visudo -c

#伍 、英文字符集

cp /etc/sysconfig/i18n /etc/sysconfig/i18n.ori

echo ‘LANG=”en_US.UTF-8″‘ >/etc/sysconfig/i18n

source /etc/sysconfig/i18n

echo $LANG

#⑥ 、时间一起

echo ‘#time sync by lidao at 2017-03-08’ >>/var/spool/cron/root

echo ‘*/5 * * * * /usr/sbin/ntpdate ntp1.aliyun.com >/dev/null
2>&1’ >>/var/spool/cron/root

crontab -l

#⑧ 、加大文件讲述

echo ‘* – nofile 65535 ‘ >>/etc/security/limits.conf

tail -1 /etc/security/limits.conf

#九 、内核优化

cat >>/etc/sysctl.conf<<EOF

net.ipv4.tcp_fin_timeout = 2

net.ipv4.tcp_tw_reuse = 1

net.ipv4.tcp_tw_recycle = 1

net.ipv4.tcp_syncookies = 1

net.ipv4.tcp_keepalive_time = 600

net.ipv4.ip_local_port_range = 4000 65000

net.ipv4.tcp_max_syn_backlog = 16384

net.ipv4.tcp_max_tw_buckets = 36000

net.ipv4.route.gc_timeout = 100

net.ipv4.tcp_syn_retries = 1

net.ipv4.tcp_synack_retries = 1

net.core.somaxconn = 16384

net.core.netdev_max_backlog = 16384

net.ipv4.tcp_max_orphans = 16384

#以下参数是对iptables防火墙的优化,防火墙不开会提醒,能够忽略不理。

net.nf_conntrack_max = 25000000

net.netfilter.nf_conntrack_max = 25000000

net.netfilter.nf_conntrack_tcp_timeout_established = 180

net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120

net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60

net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120

EOF

sysctl -p

#十 、安装别的小软件

yum install lrzsz nmap tree dos2unix nc telnet sl -y

#1一 、 ssh连接速度慢优化sed -i.bak ‘s@#UseDNS yes@UseDNS
no@g;s@^GSSAPIAuthentication yes@GSSAPIAuthentication

no@g’ /etc/ssh/sshd_config

/etc/init.d/sshd reload

4.学会克隆虚拟机

****克隆前准备

1清2删

1清

>/etc/udev/rules.d/70-persistent-net.rules

2删

sed -ri ‘/UUID|HWADDR/d’ /etc/sysconfig/network-scripts/ifcfg-eth*

sed -i ‘/IPADDR/s#210$#41#g’
/etc/sysconfig/network-scripts/ifcfg-eth*

sed -i “s#$(hoastname)#backup#g” /etc/sysconfig/network

/etc/init.d/network restart

相关文章