Linux系統安全配置優化
系統優化
說起優化,其實最好的優化就是提升硬件的配置,例如提高cpu的運算能力,提高內存的容量,個人認為如果你考慮升級硬件的話,建議優先提高內存的容量,因為一般服務器應用,對內存的消耗使用要求是最高的。當然這都是題外話了。
這里我們首要討論的,是在同等硬件配置下(同一臺服務器,不提升硬件的情況下)對你的系統進行優化。
作為系統管理員,我認為,首先我們要明確一個觀點:在服務器上作任何操作,升級和修改任何配置文件或軟件,都必須首要考慮安全性,不是越新的東西就越好,這也是為什么Linux管理感覺上和windows有所不同的地方,windows首先推薦大家去使用它的最新版本軟件和操作系統,其實我個人認為這是一種商業行為,作為從系統管理上來講,這是很不好的,使用新的軟件和系統可能帶來新的問題,有些甚至是致命的。
因此,作為管理,我們還是應該考慮穩定的長期使用的軟件版本來作為我們的版本,具體的好處我就不多說了。相信作為管理員的你應該知道的。
其實個人使用的Linux最直接的一個優化就是升級內核,自己編譯的內核是根據自己的系統編譯而來,將得到最大的性能和最小的內核。
但是,服務器就不太一樣了,當然我們也希望每一臺服務器都是自己手工編譯的內核,高效而精巧。但是實際和愿望是有差距的,試想一下,如果你管理100來臺Linux主機,而每一臺也許配置都不一樣,那編譯內核的一個過程將是一個浩大工程,而且從實際考慮,工作量大得難以想象。我想你也不會愿意做這種事情吧。因此,個人建議,采用官方發布的內核升級包是很好的選擇。
首先,我們對新安裝的系統,將做一系列升級,包括軟件和內核,這是很重要的步驟。
在升級好所有軟件后,基本的防火墻和配置都做好以后,我們開始優化一些細節配置,如果你是老系統,那么在作本問題及的一些操作和優化你系統之前,務必被備份所有數據到其他介質。
1、虛擬內存優化
首先查看虛擬內存的使用情況,使用命令
# free
查看當前系統的內存使用情況。
一般來說,Linux的物理內存幾乎是完全used。這個和windows非常大的區別,它的內存管理機制將系統內存充分利用,并非windows無論多大的內存都要去使用一些虛擬內存一樣。這點需要注意。
Linux下面虛擬內存的默認配置通過命令
# cat /proc/sys/vm/freepages
可以查看,顯示的三個數字是當前系統的:最小內存空白頁、最低內存空白頁和最高內存空白。
注意,這里系統使用虛擬內存的原則是:如果空白頁數目低于最高空白頁設置,則使用磁盤交換空間。當達到最低空白頁設置時,使用內存交換(注:這個是我查看一些資料得來的,具體應用時還需要自己觀察一下,不過這個不影響我們配置新的虛擬內存參數)。
內存一般以每頁4k字節分配。最小內存空白頁設置是系統中內存數量的2倍;最低內存空白頁設置是內存數量的4倍;最高內存空白頁設置是系統內存的6倍。這些值在系統啟動時決定。
一般來講在配置系統分配的虛擬內存配置上,我個人認為增大最高內存空白頁是一種比較好的配置方式,以1G的內存配置為例:
可將原來的配置比例修改為:
2048 4096 6444
通過命令
# echo "2048 4096 6444" > /proc/sys/vm/freepages
因為增加了最高空白頁配置,那么可以使內存更有效的利用。
2、硬盤優化
如果你是scsi硬盤或者是ide陣列,可以跳過這一節,這節介紹的參數調整只針對使用ide硬盤的服務器。
我們通過hdparm程序來設置IDE硬盤,
使用DMA和32位傳輸可以大幅提升系統性能。使用命令如下:
# /sbin/hdparm -c 1 /dev/hda
此命令將第一個IDE硬盤的PCI總線指定為32位,使用 -c 0參數來禁用32位傳輸。
在硬盤上使用DMA,使用命令:
# /sbin/hdparm -d 1 /dev/hda
關閉DMA可以使用 -d 0的參數。
更改完成后,可以使用hdparm來檢查修改后的結果,使用命令:
# /sbin/hdparm -t /dev/had
為了確保設置的結果不變,使用命令:# /sbin/hdparm -k 1 /dev/hda
Hdparm命令的一些常用的其他參數功能
-g 顯示硬盤的磁軌,磁頭,磁區等參數。
-i 顯示硬盤的硬件規格信息,這些信息是在開機時由硬盤本身所提供。
-I 直接讀取硬盤所提供的硬件規格信息。
-p 設定硬盤的PIO模式。
-Tt 評估硬盤的讀取效率和硬盤快取的讀取效率。
-u <0或1> 在硬盤存取時,允許其他中斷要求同時執行。
-v 顯示硬盤的相關設定。
3、其他優化
關閉不需要的服務,關于系統自動啟動的服務,網上有很多資料,在此我就不贅述了;
安全配置
新文章:
- CentOS7下圖形配置網絡的方法
- CentOS 7如何添加刪除用戶
- 如何解決centos7雙系統后丟失windows啟動項
- CentOS單網卡如何批量添加不同IP段
- CentOS下iconv命令的介紹
- Centos7 SSH密鑰登陸及密碼密鑰雙重驗證詳解
- CentOS 7.1添加刪除用戶的方法
- CentOS查找/掃描局域網打印機IP講解
- CentOS7使用hostapd實現無AP模式的詳解
- su命令不能切換root的解決方法
- 解決VMware下CentOS7網絡重啟出錯
- 解決Centos7雙系統后丟失windows啟動項
- CentOS下如何避免文件覆蓋
- CentOS7和CentOS6系統有什么不同呢
- Centos 6.6默認iptable規則詳解