服务器优化设置方法
1.关闭不需要的服务
凡是我们的系统不需要的服务,一概关闭,根据需要开启一些自定义服务,
这样有一个好处是减少内存和CPU时间的占用,并且相对来说可以提高安全性,谨记服务能少则少!
必须:network iptables syslog xinetd,sendmail,ntpd,crond,anacron
可选:Kuduz --------------开机自动检测硬件,常用于有硬件改动检测
Httpd--------------- apache服务
named--------------- DNS server 服务
gpm ---------------- Text鼠标支持,如果你不经常用Text console,可以关了
haldaemon ---------- HAL(Hardware Abstraction Layer)服务,开着吧
irqbalance --------- 多核CPU支持, 无则关
mdmonitor----------- RAID支持, 无者关
messagebus --------- Linux ICP 服务, 建议开着
mcstrans ----------- 主要用于SELinux
2.关闭不需要的tty,设置运行级别为3,让服务器运行X是没有必要的
编辑/etc/inittab
找到如下一段:
id:3:initdefault:
1:2345:respawn:/sbin/mingetty tty1
2:2345:respawn:/sbin/mingetty tty2
3:2345:respawn:/sbin/mingetty tty3
4:2345:respawn:/sbin/mingetty tty4
5:2345:respawn:/sbin/mingetty tty5
6:2345:respawn:/sbin/mingetty tty6
服务器运行X是没有必要的,这段命令使init为你打开了6个控制台,分别可以用alt+f1到alt+f6进行访问
此6个控制台默认都驻留在内存中,事实上没有必要使用这么多的
通常我们保留前2-3个控制台就可以了,
把后面几个用#注释掉就可以了
然后无需重启机器,只需要执行 init q 这个命令即可
init q
(q作为参数的含义:重新执行/etc/inittab中的命令)
3.规划好文件系统 采用LVM,RAID高效管理;减少硬盘IO,去掉访问时间记录
一个linux文件默认有3个时间:
atime:对此文件的访问时间
ctime:此文件inode发生变化的时间,创建时间
mtime:此文件的修改时间
如果有多个小文件通常没有必要记录文件的访问时间,
这样可以减少磁盘的io,比如web服务器的页面上有多个小图片,数据库服务器
修改文件系统的配置文件:vi /etc/fstab
在包含大量小文件的分区中使用noatime,nodiratime两项
例如:
#Device Mount point filesystem parameters dump fsck
/dev/LVMAPP1/LOGAPPNO1 /www1 ext3 noatime,nodiratime 0 2
/dev/LVMAPP1/LOGAPPNO2 /www2 ext3 noatime,nodiratime 0 2
最后测试挂载是否有错误
#mount -a
4.设置主机名、DNS、IP、GATAWAY、NETMASK,关闭ipv6?
分别对应修改:(针对RH/FC/CENTOS系统)
------------------------------------------
/etc/hosts
/etc/resolv.conf
/etc/sysconfig/network-scripts/ifcfg-eth0
/etc/syscofig/network
-----------------------------------------
注意:主机名设置为规则主机名既符合FQDN(Fully Qualified Domain Name)全域名形式,否则开启邮件服务过程会很慢
ipv6目前我们还不需要,但系统安装完成后它会作为模块常驻核心,没有必要,
可以用这个步骤来关闭它:
首先编辑网络配置文件:
vi /etc/sysconfig/network
修改
---------------------------------
NETWORKING_IPV6=yes
为
NETWORKING_IPV6=no
---------------------------------
然后关闭其模块:vi /etc/modprobe.conf
在文件中添加以下两行
-----------------------------------
alias net-pf-10 off
alias ipv6 off
-----------------------------------
5.设置IPTABLES,启用规则访问,启用selinux,根据需要自定
6.开启时间同步
#yum install ntp
#crontab -e
0 8 * * * /usr/sbin/ntpdate stdtime.gov.hk ; /sbin/hwclock -w
7.优化sshd,禁止root直接sshd登录,采用普通用户权限登录管理,或者采用sudo,su
#Port 22 //修改sshd port为other port
#Protocol 2,1 //只启用sshdv2,增加安全性
#PermitRootLogin yes // 禁止root登录
#UseDNS yes //不对IP地址做反向的解析
X11Forwarding yes //不进行x图形的转发
修改为:
------------------------
Port 10222
Protocol 2
PermitRootLogin yes
UseDNS no
X11Forwarding no
------------------------
注:修改后sshd ports,请相应修改iptables sshd放行的端口号,否则重启后会玩命的
阅读(428) | 评论(0) | 转发(0) |