公司网站源码 带wap手机站,网站换肤代码,清远最新消息,旅行社酒店分销平台目录 一、基本优化
1. SELinux和防火墙优化
1.1 selinux概述
1.2 selinux三种工作模式
1.3 切换selinux模式
1.4 防火墙概述
1.5 firewalld管理工具
2. 自启动服务优化
2.1 Systemd
2.2 SysVinit
3. 禁用超级管理员
4. 普通用户提权
5. 使用国内yum源
5.1 配置阿…目录 一、基本优化
1. SELinux和防火墙优化
1.1 selinux概述
1.2 selinux三种工作模式
1.3 切换selinux模式
1.4 防火墙概述
1.5 firewalld管理工具
2. 自启动服务优化
2.1 Systemd
2.2 SysVinit
3. 禁用超级管理员
4. 普通用户提权
5. 使用国内yum源
5.1 配置阿里云YUM源
5.2 配置清华大学YUM源
5.3 选择配置EPEL源
5.4 更新YUM缓存
5.4 测试新的YUM源
二、性能调优
1. 开启路由转发功能
2. 调整TCP连接数
3. 禁ping 一、基本优化
1. SELinux和防火墙优化
1.1 selinux概述
SELinuxSecurity-Enhanced Linux是一种强制访问控制MAC安全机制它在Linux操作系统中提供了额外的安全层。SELinux是由美国国家安全局NSA开发的旨在提供对进程、文件和日志的访问控制策略。SELinux通过定义一系列的安全策略来控制应用程序和用户对系统资源的访问。这些策略定义了哪些用户和程序可以访问系统上的资源以及它们可以执行哪些操作。
1.2 selinux三种工作模式
① Enforcing强制模式这是SELinux的默认模式它会强制执行所有的安全策略并拒绝所有未经授权的访问。在这种模式下任何违反策略的行为都会被阻止并记录到日志中。
② Permissive许可模式在这种模式下SELinux仍然会检查所有的访问请求但不会实际阻止违反策略的行为。相反它会记录所有的违规行为就像在强制模式下一样。这种模式对于调试SELinux策略非常有用因为它允许管理员看到哪些操作会被阻止而不会实际影响系统的正常运行。
③ Disabled禁用模式在这种模式下SELinux被完全禁用不会检查访问请求也不会应用任何安全策略。这意味着系统将只依赖于传统的离散访问控制DAC机制如文件权限和所有权。禁用SELinux会降低系统的安全性因此通常不推荐这样做除非确实需要。
1.3 切换selinux模式
① 临时切换
可以使用setenforce命令来切换selinux的模式。
[rootlocalhost ~]# setenforce 0
#临时关闭
[rootlocalhost ~]# setenforce 1
#临时开启
② 永久切换
可以修改/etc/selinux/config配置文件来切换selinux的模式。
[rootlocalhost ~]# vim /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUXenforcing
# SELINUXTYPE can take one of three two values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.
SELINUXTYPEtargeted 修改SELINUX后面的参数来改变工作模式
enforcing强制模式
permissive宽容模式
disabled禁用模式[rootlocalhost ~]# reboot #修改完配置文件需要重启才能生效
③ 查看状态
[rootlocalhost ~]# getenforce
#这个命令会显示SELinux的当前模式Enforcing、Permissive或Disabled
[rootlocalhost ~]# sestatus
#sestatus会显示SELinux的当前模式强制、许可或禁用和配置状态。
1.4 防火墙概述
Linux系统中的防火墙主要通过iptables或firewalld服务来管理。这两种服务提供了网络层的过滤和防火墙规则的管理功能帮助保护系统免受未授权访问和网络攻击。iptables相关介绍请参考Linux防火墙与iptables五表五链规则介绍-CSDN博客
1.5 firewalld管理工具
[rootlocalhost ~]# systemctl status firewalld
#查看firewalld状态
[rootlocalhost ~]# systemctl start firewalld
#关闭firewalld
[rootlocalhost ~]# systemctl enable/disable firewalld
#开机自启动/静止firewalld
[rootlocalhost ~]# systemctl enable/disable --now firewalld
#开机自启动/静止并立刻开启/关闭firewalld
2. 自启动服务优化
在Linux系统中关闭不必要的开机自启动程序是一个重要的系统优化步骤可以提高系统启动速度和运行效率。根据系统使用的初始化系统如Systemd或SysVinit关闭自启动程序的方法有所不同。
2.1 Systemd
Systemd是许多现代Linux发行版如CentOS 7/8、Fedora、Ubuntu 15.04及以后版本的初始化系统和系统管理器。
① 列出所有启动服务
systemctl list-unit-files --typeservice | grep enabled
② 确定了不需要在启动时运行的服务后使用以下命令禁用它们
systemctl disable 服务名.service
systemctl disable --now 服务名.service #禁止自启并立刻关闭
2.2 SysVinit
尽管许多现代Linux发行版已经转向使用Systemd但仍有一些发行版使用传统的SysVinit系统。如centos6。
① 查看当前所有自启动的服务
对于使用SysVinit的系统可以通过检查/etc/rc.d或/etc/init.d目录下的脚本来查看哪些服务设置为自启动。
ls /etc/rc.d/rc*.d/S*
或者
ls /etc/init.d
并使用chkconfig命令查看服务的启动状态
chkconfig --list | grep 3:on
#chkconfig --list这个命令用于显示所有系统服务的启动状态
#3:on表示在运行级别3中启用的服务
#列出所有在运行级别3下被配置为自动启动的服务
#linux操作系统运行级别如下
0关机
1单用户类似于windows的急救模式
2字符界面缺少nfs等功能
3字符界面
4字符界面保留未使用过
5图形界面
6重启
② 禁用不必要的服务
使用chkconfig命令禁用不需要的服务。
chkconfig 服务名 off
3. 禁用超级管理员
在Linux系统中超级管理员通常是root用户拥有对系统的完全控制权包括访问和修改所有文件、运行任何命令等。出于安全考虑有时可能需要限制root用户的直接登录能力而不是完全禁用root用户这在实际操作中是不可行的因为root权限对于系统管理是必需的。
① 禁用root用户的SSH远程登录
编辑SSH配置文件/etc/ssh/sshd_config找到PermitRootLogin修改或添加以下行 38 #PermitRootLogin yesPermitRootLogin no
这将禁止root用户通过SSH远程登录。之后需要重启SSH服务以应用更改
systemctl restart sshd
② 修改root用户的shell为禁用登录的shell
这个方法会阻止root用户登录到系统的shell。通过更改root用户的默认shell为一个不允许登录的shell例如/sbin/nologin或/bin/false可以实现这一点。
usermod -s /sbin/nologin root
或者
sudo usermod -s /bin/false root
#理论上非/bin/bash即可注意这会阻止root用户通过直接登录获取shell访问但请注意通过sudo或su切换到root用户的能力不会受到影响。
③ 注意事项
在禁用root用户直接登录之前确保至少有一个普通用户具有通过sudo获取root权限的能力以便可以进行必要的系统管理任务。完全禁用root账户例如通过更改密码或删除账户是不推荐的因为这可能会导致系统管理和维护工作变得非常困难甚至不可能执行。这些措施增加了系统的安全性因为它们可以防止未经授权的用户直接以root身份登录系统。然而仍然需要采取其他安全措施来保护系统如定期更新软件、使用强密码和配置防火墙等。
4. 普通用户提权
在Linux系统中sudoers文件是用来配置sudo命令的行为的文件允许指定哪些用户可以以超级用户的权限执行特定的命令。对于大多数Linux发行版来说推荐使用visudo命令来编辑sudoers文件因为它可以在编辑过程中检查语法错误避免在保存后由于语法错误而失去sudo访问权限。
① 以root或具有sudo权限的用户身份登录到Linux系统。
② 执行以下命令以编辑sudoers文件
visudo
sudo visudo
③ 在sudoers文件中找到类似以下行的条目
## Allow root to run any commands anywhere
root ALL(ALL) ALL
#允许超级用户root在任何终端以任何用户的身份通过sudo命令执行任何命令
## Allows people in group wheel to run all commands
%wheel ALL(ALL) ALL
#允许属于wheel用户组的用户在任何终端以任何用户的身份通过sudo命令执行任何命令
#whell组为超级管理员组root严格意思并不能代表超级管理员
④ 若要授予用户fql执行任何命令的sudo权限可以在文件中添加以下行
## Allow root to run any commands anywhere
#root ALL(ALL) ALL #建议注释否则谁叫root谁就拥有无上的权利很危险fql ALL(ALL:ALL) ALL #添加此行
这行的含义是允许fql以任何用户的身份在任何终端使用sudo命令执行任何命令。如果你希望fql用户只能执行特定的命令而不是所有命令你可以使用更细粒度的授权语法。例如要允许fql用户仅运行/usr/sbin/reboot命令可以使用以下行
fql ALL(ALL) /usr/sbin/reboot 这表明fql用户可以使用sudo运行/usr/sbin/reboot命令但不能执行其他命令。
⑤ 保存文件并退出如果有必要重启系统以使更改生效或者在其他终端会话中验证新的sudo权限。
5. 使用国内yum源
在Linux系统中配置国内的YUM源可以帮助提高软件包安装和更新的速度。以下是如何为CentOS系统配置国内YUM源的步骤以阿里云和清华大学的YUM源为例
首先备份原有的YUM源配置
[fqllocalhost ~]$ cd /etc/yum.repos.d/
[fqllocalhost yum.repos.d]$ sudo mkdir backup
[fqllocalhost yum.repos.d]$ ls
backup CentOS-CR.repo CentOS-fasttrack.repo CentOS-Sources.repo
CentOS-Base.repo CentOS-Debuginfo.repo CentOS-Media.repo CentOS-Vault.repo
[fqllocalhost yum.repos.d]$ sudo mv *.repo backup/5.1 配置阿里云YUM源
下载阿里云的YUM源配置
对于CentOS 7可以使用以下命令
sudo wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
对于CentOS 8命令稍有不同
sudo wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-8.repo5.2 配置清华大学YUM源
下载清华大学的YUM源配置
对于CentOS 7使用以下命令
sudo wget -O /etc/yum.repos.d/CentOS-Base.repo https://mirrors.tuna.tsinghua.edu.cn/help/centos-vault/对于CentOS 8命令稍有不同
sudo wget -O /etc/yum.repos.d/CentOS-Base.repo https://mirrors.tuna.tsinghua.edu.cn/help/centos/注意阿里云与清华园yum源二选一即可
5.3 选择配置EPEL源
使用阿里云的EPEL源
对于CentOS 7使用以下命令
sudo wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo 对于CentOS 8使用以下命令
sudo wget -O /etc/yum.repos.d/epel.repo https://mirrors.aliyun.com/repo/epel-8.repo5.4 更新YUM缓存
配置完新的YUM源之后需要清除YUM缓存并生成新的缓存
sudo yum clean all
sudo yum makecache5.4 测试新的YUM源
通过安装或更新一个软件包来测试新配置的YUM源是否工作正常
sudo yum install -y tree
二、性能调优
1. 开启路由转发功能
在Linux系统中路由转发功能是指将接收到的数据包从一个网络接口转发到另一个网络接口的能力。这对于将数据包从一个网络传输到另一个网络非常重要特别是在充当网络路由器、防火墙或网关的设备上。开启路由转发功能步骤如下
① 临时性地开启路由转发功能可以使用以下命令
sudo sysctl net.ipv4.ip_forward1这将使IPv4的路由转发功能在当前会话中生效。在系统重新启动后该设置将失效。
② 若要使路由转发功能永久生效需要编辑/etc/sysctl.conf文件并添加以下行
net.ipv4.ip_forward 1保存文件后运行以下命令使配置生效
sudo sysctl -p2. 调整TCP连接数
在Linux系统中调整TCP连接数是一项重要的性能调优任务。通过增加或调整TCP连接数可以提高系统的并发连接处理能力。调整TCP连接数步骤如下
① 修改系统参数 你可以通过sysctl命令或编辑/etc/sysctl.conf文件来修改TCP连接数参数。例如要增加端口范围内允许的最大连接数
net.ipv4.ip_local_port_range 1024 65535
net.core.somaxconn 65535
net.ipv4.tcp_max_syn_backlog 65535② 修改文件描述符限制 对于高并发场景你可能还需要增加文件描述符限制以确保系统可以处理更多的连接。这可以通过修改/etc/security/limits.conf文件实现。详情请参考Linux系统安全及应用-CSDN博客5.8 limit 相关内容。
在修改了参数后需要重新加载sysctl配置
sudo sysctl -p3. 禁ping
在Linux系统中禁用ping其实是指禁止ICMP协议的回显请求ping请求也就是禁止对该系统进行ping操作。这通常是出于安全或者隐私的考虑。禁用ping的方法如下
① 使用防火墙规则 你可以使用iptables或者firewalld等防火墙管理工具针对ICMP协议进行相应的规则配置禁止ping请求。
使用iptables禁止ping
sudo iptables -A INPUT -p icmp --icmp-type echo-request -j DROP使用firewalld禁止ping
sudo firewall-cmd --zonepublic --add-rich-rulerule familyipv4 protocol valueicmp drop② 修改内核参数 你也可以通过修改内核参数来禁用ICMP协议阻止ping请求。在/etc/sysctl.conf文件中添加以下行来禁用ICMP请求
net.ipv4.icmp_echo_ignore_all 1保存文件后运行以下命令使配置生效
sudo sysctl -p其他Linux系统调优相关介绍请参考Linux系统安全及应用-CSDN博客
