[TOC]
# 优化条目:
- 固定ip地址、网关、主机名、DNS等
- 关闭selinux,清空iptables
- 添加普通用户并进行sudo授权管理
- 删除非必要的用户
- 更新yum源及必要软件安装
- 定时自动更新服务器时间
- 精简开机自启动服务
- 修改默认的ssh服务端口,使用密钥登录系统,禁止用户使用密码远程连接
- 锁定关键文件系统
- 调整文件描述符大小
- 去除系统及内核版本登录前的屏幕显示
- 禁止ping
- 历史记录
- 内核参数优化
## 1. 固定ip地址、网关、主机名、DNS等
```
[root@localhost ~]# vi /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0 #网卡名字
BOOTPROTO=static #静态IP地址获取状态 如:DHCP表示自动获取IP地址
IPADDR=192.168.1.113 #IP地址
NETMASK=255.255.255.0 #子网掩码
ONBOOT=yes #是否开机自启
GATEWAY=192.168.1.1
[root@localhost ~]# vi /etc/hostname #修改主机名重启后永久生效
localhost.localdomain
[root@localhost ~]# hostname zabbix #修改主机名本次生效
[root@localhost ~]# vi /etc/resolv.conf #修改DNS信息
nameserver 114.114.114.114
nameserver 8.8.8.8
[root@localhost ~]# service network restart #重启网卡,生效
```
## 2. 关闭selinux,清空iptables
```
[root@localhost ~]# sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config #永久关闭selinux需要重启生效
[root@localhost ~]# setenforce 0 #临时关闭selinux,本次生效
[root@localhost ~]# getenforce #查看selinux状态
[root@localhost ~]# iptables -F #清空已存iptables记录
```
## 3. 添加普通用户并进行sudo授权管理
```
[root@localhost ~]# useradd liuw #新建账户
[root@localhost ~]# visudo #编辑sudoers文件,用户重新登录后生效
root ALL=(ALL) ALL
liuw ALL=(ALL) ALL #新增这一行,执行sudo需要输入用户自己的密码
liuw ALL=(ALL) NOPASSWD:ALL #新增这一行,可无密码执行sudo命令
```
## 4. 删除非必要的用户
```
可删除的用户:
adm,lp,sync,shutdown,halt,news,uucp,operator,games,gipher
```
## 5. 更新yum源及必要软件安装
```
[root@localhost ~]# ls /etc/yum.repos.d/
CentOS-Base.repo CentOS-Debuginfo.repo CentOS-Media.repo CentOS-Vault.repo
CentOS-CR.repo CentOS-fasttrack.repo CentOS-Sources.repo
[root@localhost ~]# wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo #替换官方yum源为阿里云
[root@localhost ~]# yum clean all #清空yum缓存
[root@localhost ~]# yum makecache #生成yum缓存
```
## 5. 定时同步服务器时间
```
手动修改时间
date -s "20190101 18:05:06" 或 timedatectl set-time '2019-12-08'
设置时区
timedatectl set-timezone Asia/Shanghai
同步ntp服务器时间,可搭配任务计划
yum -y install ntp ntpdate #安装同步工具
ntpdate 2.asia.pool.ntp.org #同步时间
编辑时间配置文件每隔2天同步一次
vi /etc/crontab
# * */48* * * ntpdate 2.asia.pool.ntp.org
将系统时间写入硬件时间
# hwclock --systohc
```
## 6. 精简开机自启动服务
```
chkconfig --list #列出开机启动的服务
chkconfig --add <name> #新增开机启动的服务
chkconfig --del <name> #删除开机启动的服务
chkconfig --level 35 mysqld on #设定mysqld在等级3和5为开机运行服务
过滤出已经开启的启动项
systemctl list-unit-files | grep enable
auditd.service enabled 安全审计 保留
autovt@.service enabled 登录相关 保留
crond.service enabled 定时任务 保留
dbus-org.fedoraproject.FirewallD1.service enabled
dbus-org.freedesktop.NetworkManager.service enabled
dbus-org.freedesktop.nm-dispatcher.service enabled
firewalld.service enabled 防火墙 保留
getty@.service enabled tty控制 保留
irqbalance.service enabled
kdump.service enabled 内核崩溃信息捕获 可关闭
lvm2-monitor.service enabled
microcode.service enabled
NetworkManager-dispatcher.service enabled 网卡守护进程 关闭
NetworkManager.service enabled
postfix.service enabled 邮件服务 关闭
rsyslog.service enabled 日志服务 保留
sshd.service enabled 用于远程访问 保留
systemd-readahead-collect.service enabled 内核调用预读取 保留
systemd-readahead-drop.service enabled
systemd-readahead-replay.service enabled
tuned.service enabled
dm-event.socket enabled
lvm2-lvmetad.socket enabled
lvm2-lvmpolld.socket enabled
default.target enabled 默认启动项 multi-user.target的软连接 保留
multi-user.target enabled 启动用户命令环境 保留
remote-fs.target enabled 集合远程文件挂载点 自定
runlevel2.target enabled 集合远程文件挂载点 自定
runlevel3.target enabled
runlevel4.target enabled
```
## 7. 修改默认的ssh服务端口,使用密钥登录系统,禁止用户使用密码远程连接
```
修改ssh默认端口
[root@localhost ~]# vi /etc/ssh/sshd_config
#Port 22 默认22端口是缺省的
复制后删除#
Port 11122
[root@localhost ~]# systemctl restart sshd
注意:如果是远程修改的话,在重启sshd前要确保新端口11122已经开放
创建使用密钥
[root@localhost ~]# ssh-keygen -t rsa
后按2次回车,默认在/root/.ssh/下生成2个文件id_rsa id_rsa.pub
其中id_rsa为私钥
id_rsa.pub为公钥
登录的一方持有私钥,被登录的服务器使用的是公钥
[root@localhost ~]# ssh-copy-id -i /root/.ssh/id_rsa.pub root@192.168.0.111
可以通过ssh-copy-id将生成的公钥发送给对方服务器,发送过去后,远程主机会产生.ssh/authorized_keys文件,权限是600,本地会多出.ssh/known_hosts文件
无法使用密钥登录时可以排查一下远程主机authorized_keys的权限问题
禁止root用户远程登录服务器
[root@localhost ~]# vi /etc/ssh/sshd_config
把#PermitRootLogin yes改为PermitRootLogin no禁止root远程登录,保存并退出
只允许密钥登录
[root@localhost ~]# vi /etc/ssh/sshd_config
RSAAuthentication yes
PubkeyAuthentication yes
PasswordAuthentication no
```
## 8. 锁定关键文件系统
```
加锁,不可修改加锁文件
[root@localhost ~]# chattr +i /etc/passwd
[root@localhost ~]# lsattr /etc/passwd
----i--------e-- /etc/passwd
去锁,可以修改文件
[root@localhost ~]# chattr -i /etc/passwd
[root@localhost ~]# lsattr /etc/passwd
-------------e-- /etc/passwd
使用chattr命令后,为了安全我们需要将其改名
mv /usr/bin/chattr /usr/bin/任意名称
```
## 9. 调整文件描述符大小
```
查看linux服务器文件描述符设置的情况
ulimit -n 1024 默认打开的文件描述符就是1024
对于高并发业务来讲,默认值肯定不够
cat /etc/security/limits.conf 65535是最大支持的文件描述符
root soft nofile 65535
root hard nofile 65535
可以使用下面一行来替代上面
* - nofile 65535
表示对任意用户都生效
重启后生效
```
## 10. 去除系统及内核版本登录前的屏幕显示
```
[root@localhost ~]# cat /etc/issue
\S
Kernel \r on an \m
这是现有的提示,打印了内核版本
[root@localhost ~]# cat /dev/null > /etc/issue
重定向空文件后将不会有额外提示
```
## 11. 禁止ping
```
[root@localhost ~]# echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all
0 关闭 1 开启
0 表示可以ping通
1 表示不能ping通
```
## 12. 历史记录
```
#修改历史命令记录条数
[root@localhost ~]# vi /etc/profile
HISTSIZE=1000
默认记录1000条历史命令
修改后执行source /etc/profile生效
# 以下都是临时生效,默认1000不需要更改
# 设置的是闲置账号的超时时间
export TMOUT=10 10秒后提示超时时间
# 设置终端history显示条数
export HISTSIZE=5 只显示最近5条信息
# 上面的终端显示对应的是 cat ~/.bash_history
export HISTFILESIZE=5 该文件只保存5条信息
# 清空历史记录
history -c
# 指定条数删除
history -d 历史记录条属
```
## 13. 内核参数优化
```
[root@localhost ~]# vi /etc/sysctl.conf
```
参数名称 | 默认值 | 建议值 | 参数描述
---|---|---|---
tcp_syn_retries | 5| 1| 对于一个新建连接,内核要发送多少个 SYN 连接请求才决定放弃。不应该大于255,默认值是5,对应于180秒左右时间。(对于大负载而物理通信良好的网络而言,这个值偏高,可修改为2.这个值仅仅是针对对外的连接,对进来的连接,由tcp_retries1决定的)
tcp_synack_retries| 5| 1| 对于远端的连接请求SYN,内核会发送SYN + ACK数据报,以确认收到上一个 SYN连接请求包。这是所谓的三次握手( threeway handshake)机制的第二个步骤。这里决定内核在放弃连接之前所送出的 SYN+ACK 数目。不应该大于255,默认值是5,对应于180秒左右时间。
tcp_keepalive_time| 7200| 600| TCP发送keepalive探测消息的间隔时间(秒),用于确认TCP连接是否有效。防止两边建立连接但不发送数据的攻击。
tcp_keepalive_probes| 9| 3| TCP发送keepalive探测消息的间隔时间(秒),用于确认TCP连接是否有效。
tcp_keepalive_intvl| 75| 15| 探测消息未获得响应时,重发该消息的间隔时间(秒)。默认值为75秒。 (对于普通应用来说,这个值有一些偏大,可以根据需要改小.特别是web类服务器需要改小该值,15是个比较合适的值)
tcp_retries2| 15| 5| 在丢弃激活(已建立通讯状况)的TCP连接之前﹐需要进行多少次重试。默认值为15,根据RTO的值来决定,相当于13-30分钟(RFC1122规定,必须大于100秒).(这个值根据目前的网络设置,可以适当地改小,我的网络内修改为了5)
tcp_orphan_retries| 7| 3| 在近端丢弃TCP连接之前﹐要进行多少次重试。默认值是7个﹐相当于 50秒 - 16分钟﹐视 RTO 而定。如果您的系统是负载很大的web服务器﹐那么也许需要降低该值﹐这类 sockets 可能会耗费大量的资源。另外参的考tcp_max_orphans。(事实上做NAT的时候,降低该值也是好处显著的,我本人的网络环境中降低该值为3)
tcp_fin_timeout| 60| 2| 对于本端断开的socket连接,TCP保持在FIN-WAIT-2状态的时间。对方可能会断开连接或一直不结束连接或不可预料的进程死亡。默认值为 60 秒。
tcp_max_tw_buckets| 180000| 36000| 系统在同时所处理的最大 timewait sockets 数目。如果超过此数的话﹐time-wait socket 会被立即砍除并且显示警告信息。之所以要设定这个限制﹐纯粹为了抵御那些简单的 DoS 攻击﹐不过﹐如果网络条件需要比默认值更多﹐则可以提高它(或许还要增加内存)。(事实上做NAT的时候最好可以适当地增加该值)
tcp_tw_recycle| 0| 1| 打开快速 TIME-WAIT sockets 回收。除非得到技术专家的建议或要求﹐请不要随意修改这个值。(做NAT的时候,建议打开它)
tcp_tw_reuse| 0| 1| 表示是否允许重新应用处于TIME-WAIT状态的socket用于新的TCP连接(这个对快速重启动某些服务,而启动后提示端口已经被使用的情形非常有帮助)
tcp_max_orphans| 8192| 32768| 系统所能处理不属于任何进程的TCP sockets最大数量。假如超过这个数量﹐那么不属于任何进程的连接会被立即reset,并同时显示警告信息。之所以要设定这个限制﹐纯粹为了抵御那些简单的 DoS 攻击﹐千万不要依赖这个或是人为的降低这个限制。如果内存大更应该增加这个值。(这个值Redhat AS版本中设置为32768,但是很多防火墙修改的时候,建议该值修改为2000)
tcp_abort_on_overflow| 0| 0| 当守护进程太忙而不能接受新的连接,就象对方发送reset消息,默认值是false。这意味着当溢出的原因是因为一个偶然的猝发,那么连接将恢复状态。只有在你确信守护进程真的不能完成连接请求时才打开该选项,该选项会影响客户的使用。(对待已经满载的sendmail,apache这类服务的时候,这个可以很快让客户端终止连接,可以给予服务程序处理已有连接的缓冲机会,所以很多防火墙上推荐打开它)
tcp_syncookies| 0| 1| 只有在内核编译时选择了CONFIG_SYNCOOKIES时才会发生作用。当出现syn等候队列出现溢出时象对方发送syncookies。目的是为了防止syn flood攻击。
tcp_stdurg| 0| 0| 使用 TCP urg pointer 字段中的主机请求解释功能。大部份的主机都使用老旧的 BSD解释,因此如果您在Linux 打开它﹐或会导致不能和它们正确沟通。
tcp_max_syn_backlog| 1024| 16384| 对于那些依然还未获得客户端确认的连接请求﹐需要保存在队列中最大数目。对于超过 128Mb 内存的系统﹐默认值是 1024 ﹐低于 128Mb 的则为 128。如果服务器经常出现过载﹐可以尝试增加这个数字。警告﹗假如您将此值设为大于 1024﹐最好修改include/net/tcp.h里面的TCP_SYNQ_HSIZE﹐以保持TCP_SYNQ_HSIZE*16(SYN Flood攻击利用TCP协议散布握手的缺陷,伪造虚假源IP地址发送大量TCP-SYN半打开连接到目标系统,最终导致目标系统Socket队列资源耗尽而无法接受新的连接。为了应付这种攻击,现代Unix系统中普遍采用多连接队列处理的方式来缓冲(而不是解决)这种攻击,是用一个基本队列处理正常的完全连接应用(Connect()和Accept() ),是用另一个队列单独存放半打开连接。这种双队列处理方式和其他一些系统内核措施(例如Syn-Cookies/Caches)联合应用时,能够比较有效的缓解小规模的SYN Flood攻击(事实证明)
tcp_window_scaling| 1| 1| 该文件表示设置tcp/ip会话的滑动窗口大小是否可变。参数值为布尔值,为1时表示可变,为0时表示不可变。tcp/ip通常使用的窗口最大可达到 65535 字节,对于高速网络,该值可能太小,这时候如果启用了该功能,可以使tcp/ip滑动窗口大小增大数个数量级,从而提高数据传输的能力(RFC 1323)。(对普通地百M网络而言,关闭会降低开销,所以如果不是高速网络,可以考虑设置为0)
tcp_timestamps| 1| 1| Timestamps 用在其它一些东西中﹐可以防范那些伪造的sequence 号码。一条1G的宽带线路或许会重遇到带out-of-line数值的旧sequence 号码(假如它是由于上次产生的)。Timestamp 会让它知道这是个 '旧封包'。(该文件表示是否启用以一种比超时重发更精确的方法(RFC 1323)来启用对 RTT 的计算;为了实现更好的性能应该启用这个选项。)
tcp_sack| 1| 1| 使用 Selective ACK﹐它可以用来查找特定的遗失的数据报--- 因此有助于快速恢复状态。该文件表示是否启用有选择的应答(Selective Acknowledgment),这可以通过有选择地应答乱序接收到的报文来提高性能(这样可以让发送者只发送丢失的报文段)。(对于广域网通信来说这个选项应该启用,但是这会增加对 CPU 的占用。)
tcp_fack| 1| 1| 打开FACK拥塞避免和快速重传功能。(注意,当tcp_sack设置为0的时候,这个值即使设置为1也无效)[这个是TCP连接靠谱的核心功能]
tcp_dsack| 1| 1| 允许TCP发送"两个完全相同"的SACK。
tcp_ecn| 0| 0| TCP的直接拥塞通告功能。
tcp_reordering| 3| 6| TCP流中重排序的数据报最大数量。 (一般有看到推荐把这个数值略微调整大一些,比如5)
tcp_retrans_collapse| 1| 0| 对于某些有bug的打印机提供针对其bug的兼容性。(一般不需要这个支持,可以关闭它)
tcp_app_win| 31| 31| 时表示不需要缓冲。
tcp_adv_win_scale| 2| 2| 计算缓冲开销
tcp_low_latency| 0| 0| 集群的时候
tcp_westwood| 0| 0| 通信来说应该启用这个选项。
ip_forward| 0| -| 转发支持,把该值写
ip_local_port_range| 61000| 65000| 默认比较小,这个范围同样会间接用于
ip_conntrack_max| 65535| 65535| 这个值最大
名称 |默认值| 建议值| 参数描述
---|---|---|---
ip_conntrack_max| 65536| 65536| 这个值最大
ip_conntrack_tcp_timeout_established| 432000| 180|
ip_conntrack_tcp_timeout_time_wait| 120| 120| 状态超时时间,超过该时间就清除该连接
ip_conntrack_tcp_timeout_close_wait| 60| 60| 状态超时时间,超过该时间就清除该连接
ip_conntrack_tcp_timeout_fin_wait| 120| 120| 状态超时时间,超过该时间就清除该连接
