關于安全系統的調優：

1、關閉selinux安全策略

sed -i s#SELINUX=enforcing#SELINUX=disabled#g /etc/sysconfig/selinux

for oldboy in `chkconfig --list|grep "3:on"|awk '{print $1}'|grep -vE "crond|network|sshd|rsyslog"`;do chkconfig $oldboy off;done

這條命令的意思是排除crond|network|sshd|rsyslog這四個服務，其他的全部關閉

最小化原則：

1)安裝系統最小化原則

2)開啟程序服務最小化原則

3)操作最小化原則

4)登錄最小化原則，平時沒有需求不用root登錄，要用普通用戶登錄

5)權限最小化原則

6)配置參數合理，不要最大化。

關于ssh服務器端的安全調優，更改/etc/ssh/sshd_config配置文件

Port 12345 ? ? ? ? ? ? ? ? ? ? ? 改端口，默認是22端口

PermitRootLogin no ? ? ? ? ? ? ? 禁止root登錄

UseDNS no ? ? ? ? ? ? ? ? ? ? ? ?不使用DNS

PermitEmptyPasswords no ? ? ? ? ?禁止空密碼登錄

GSSAPIAuthentication no ? ? ? ? ?linux下ssh遠程連接服務慢解決方案

更改之后重新加載

/etc/init.d/sshd restart

sudo ? ? ? ? ? ? ? ? ? ? ? ? ? ?授權

visudo ? ? ? ? ? ? ? ? ? ? ? ? ?可以編輯授權 ? ? ?98行

修改中文顯示(默認的字符集的路徑:/etc/sysconfig/il8n)

LANG="zh_CN.GB18030" ? ? ? ? ? ?中文字符集

用source使其生效 ?source /etc/sysconfig/il8n

時間同步

作業：ntp服務器的配置

加大服務器文件描述符

ulimit -n ? ? ? ? ? ? ? ? ? ?查看文件描述符

ulimit -HSn ? 65535 ? ? ? ? ?加大文件描述符至65535 ? ? 臨時性的

echo '* ?- ?nofile ? 65535' >> /etc/security/limits.conf ? 永久生效

調整內核參數文件 ? ? ? /etc/sysctl.conf ? ? ? ? sysctl -p ? 生效

下面以常見生產環境linux的內核優化為例講解，僅供大家參考：

net.ipv4.tcp_fin_timeout = 2

net.ipv4.tcp_tw_reuse = 1

net.ipv4.tcp_tw_recycle = 1

net.ipv4.tcp_syncookies = 1

net.ipv4.tcp_keepalive_time = 600

net.ipv4.ip_local_port_range = 400065000

net.ipv4.tcp_max_syn_backlog = 16384

net.ipv4.tcp_max_tw_buckets = 36000

net.ipv4.route.gc_timeout = 100

net.ipv4.tcp_syn_retries = 1

net.ipv4.tcp_synack_retries = 1

net.core.somaxconn = 16384

net.core.netdev_max_backlog = 16384

net.ipv4.tcp_max_orphans = 16384

#以下參數是對iptables防火墻的優化，防火墻不開會提示，可以忽略不理。

net.ipv4.ip_conntrack_max = 25000000

net.ipv4.netfilter.ip_conntrack_max=25000000

net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=180

net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait=120

net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait=60

net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait=120

隱藏系統和內核版本號

>/etc/issue

cat /dev/null > /etc/isssue

鎖定關鍵系統文件

chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab

解鎖系統文件命令

chattr -i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab ? 改變文件屬性

lsattr 文件名 ? ? ? ? ? ? ? 查看某個文件是否加鎖

linux基礎優化總結：

1、不用root，添加普通用戶，通過sudo授權管理

2、更改默認的遠程連接ssh服務端口及禁止root用戶遠程連接

3、定時自動更新服務器時間

4、配置yum更新源，從國內更新源下載安裝rpm包

5、關閉selinux及iptables

6、調整文件描述符的數量，進程及文件的打開都會消耗文件描述符

7、精簡開機自啟動服務(crond,sshd,network,rsyslog)

8、linux內核參數優化/etc/sysctl.conf,執行sysctl -p生效

9、更改字符集，支持中文，但建議還是用英文字符集，防止亂碼問題

10、鎖定關鍵系統文件

11、定時自動清理/var/spool/clientmquene/目錄垃圾文件，防止inodes節點被占滿(開啟sendmail的前提下)

12、清空/etc/issue,去除系統及內核版本登錄前的屏幕顯示

總結

以上是生活随笔為你收集整理的linux内核优化策略,linux系统调优小结的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。