Linux-系统优化Centos 6/7 （公有云版本）

说起优化，那真是五花八门，不过优化是持续的一件事，所以未加快新同学的开荒进度，今天将我博主服务器基础优化项，全部公开，请给位指定。

Centos 7系统优化脚本 已上传至 QQ群共享 搜索init即可

一、基础优化

1、内核优化：

[root@qiuyt ~]# grep "^[a-z]" /etc/sysctl.conf 
net.ipv4.ip_forward = 0
net.ipv4.conf.default.accept_source_route = 0
kernel.sysrq = 0
kernel.core_uses_pid = 1
net.bridge.bridge-nf-call-ip6tables = 0
net.bridge.bridge-nf-call-iptables = 0
net.bridge.bridge-nf-call-arptables = 0
kernel.msgmnb = 65536
kernel.msgmax = 65536
kernel.shmmax = 68719476736
kernel.shmall = 4294967296
vm.swappiness = 0
net.ipv4.neigh.default.gc_stale_time=120
net.ipv4.conf.all.rp_filter=0
net.ipv4.conf.default.rp_filter=0
net.ipv4.conf.default.arp_announce = 2
net.ipv4.conf.all.arp_announce=2
net.ipv4.tcp_max_tw_buckets = 5000
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_synack_retries = 2
net.ipv4.conf.lo.arp_announce=2

2、更改yum源

CentOS的
#1，备份
mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup
#2，下载新的CentOS-Base.repo到/etc/yum.repos.d/
#CentOS 6
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo

#CentOS 7
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo

#3，之后运行yum makecache生成缓存
# 官网：https://opsx.alibaba.com/mirror

3 、关闭selinux

sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config
grep SELINUX=disabled /etc/selinux/config 
setenforce 0
getenforce

4、关闭Iptables

/etc/init.d/iptables stop
/etc/init.d/iptables stop
chkconfig iptables off
##因为是基础所有先关闭，后续使用saltstack或ansible 统一配置

5、精简开机自启动服务

chkconfig|egrep -v "crond|sshd|network|rsyslog|sysstat"|awk '{print "chkconfig",$1,"off"}'|bash
export LANG=en
chkconfig --list|grep 3:on
#确保服务器语言为：英文

6、提权qiuyuetao可以sudo

useradd qiuyuetao
echo q1w2e3r4|passwd --stdin qiuyuetao
\cp /etc/sudoers /etc/sudoers.ori
echo "oldboy  ALL=(ALL) NOPASSWD: ALL " >>/etc/sudoers
tail -1 /etc/sudoers
visudo -c

7、添加中文字符集

cp /etc/sysconfig/i18n /etc/sysconfig/i18n.ori
echo 'LANG="zh_CN.UTF-8"'  >/etc/sysconfig/i18n 
source /etc/sysconfig/i18n
echo $LANG/

8、时间同步（很重要）

echo '#time sync by QYT at 2016-12-1' >>/var/spool/cron/root
echo '*/5 * * * * /usr/sbin/ntpdate time.nist.gov >/dev/null 2>&1' >>/var/spool/cron/root
crontab -l
#使用阿里云的ntp服务器
#另外在推荐下阿里云的dns 223.5.5.5或223.6.6.6，挺好用

9、命令行安全

echo 'export TMOUT=300' >>/etc/profile
echo 'export HISTSIZE=5' >>/etc/profile
echo 'export HISTFILESIZE=5' >>/etc/profile
tail -3 /etc/profile
. /etc/profile

10、加大文件描述

echo '*               -       nofile          65535 ' >>/etc/security/limits.conf 
tail -1 /etc/security/limits.conf
#web并发的时候会用到

以下参数是对iptables防火墙的优化，防火墙不开会提示，可以忽略不理.

net.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_tcp_timeout_established = 180
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120
EOF

11、yum安装底层工具

yum install lrzsz nmap tree dos2unix nc -y
#yum update或yum upgrade
#yum -y update
#升级所有包，改变软件设置和系统设置,系统版本内核都升级
#yum -y upgrade
#升级所有包，不改变软件设置和系统设置，系统版本升级，内核不改变
#模板机特殊处理技巧：方便后续克隆改IP和主机名等

12、添加相关服务器的hosts解析，可以增加DNS解析速度

#B、(解决rsync 访问慢)
#a./etc/hosts
#hosts解析
cat >/etc/hosts<<EOF
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
172.16.1.5      qiuyt  
#这里面就填写集群内的其它host
EOF

13、添加系统常用命令别名

/bin/cp /etc/profile /etc/profile_$(date +%F).bak &&
cat>>/etc/profile<<EOF
alias rm='echo no use rm command'
alias vi='vim'
alias grep='grep --color=auto'
alias egrep='egrep --color=auto'
alias wip='echo curl ip.6655.com/ip.aspx&&echo'
##查询服务器的公网IP

EOF
source /etc/profile
sed -ri 's#^.*rm.*$##g' ~/.bashrc        ##注销 vi ~/.bashrc 文件内重复定义的变量

14、给所有服务器安装python 支持库，方便ansible后期管理##

yum install libselinux-python -y
#虽然ansible是基于ssh进行管理，但是也需要python库的支持，否则会出现异常

15、ssh优化

1、创建普通用户，防止误操作ssh无法连接
2，sed 将优化内容添加到配置文件中。（要有VPN才能使用）
sed -ir '13 iPort 52113\nPermitRootlogin no\nPermitEmptyPasswords no\nUseDNS no\nGSSAPIAuthentication no\nListenAddress 172.16.1.52' /etc/ssh/sshd_config
#只允许指定的172.16.1.61连接，可视情况更改。##
#配置优化内容：
#1，禁止外网ip连接
#2，禁止root登陆
#3，禁止空密码登陆
#4，禁止DNS反向解析
#5，修改ssh默认22端口
3、重启ssh服务器

二、Linux基础优化与安全重点小结

1）不用root登录管理系统，而以普通用户登录通过sudo授权管理。
2）更改默认的远程连接SSH服务端口，禁止root用户远程连接，甚至要更改SSH服务只监听内网IP。
3）定时自动更新服务器的时间，使其和互联网时间同步。
4）配置yum更新源，从国内更新源下载安装软件包。
5）关闭SELinux及iptables（在工作场景中，如果有外部IP一般要打开iptables，高并发高流量的服务器可能无法开启）。
6）调整文件描述符的数量，进程及文件的打开都会消耗文件描述符数量。
7）定时自动清理邮件临时目录垃圾文件，防止磁盘的inodes数被小文件占满（注意Centos6和Centos5要清除的目录不同）。
8）精简并保留必要的开机自启动服务（如crond、sshd、network、rsyslog、sysstat）。
9）Linux内核参数优化/etc/sysctl.conf，执行sysctl -p生效。
10）更改系统字符集为“zh_CN.UTF-8”，使其支持中文，防止出现乱码问题。
11）锁定关键系统文件如/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow、/etc/inittab， 处理以上内容后把chattr、lsattr改名为oldboy，转移走，这样就安全多了。
12）清空/etc/issue、/etc/issue.net，去除系统及内核版本登录前的屏幕显示。
13）清除多余的系统虚拟用户账号。
14）为grub引导菜单加密码。
15）禁止主机被ping。
16）打补丁并升级有已知漏洞的软件。

Linux基本优化文本

为了让大家更快的使用，可以下载上面的文本，直接复制到命令行即可。如果文章对您有所帮助，还望您捧场点个赞。。。。。。。 打赏下也是可以的。