linux系统优化方法

新装centos系统刚开始是不能工作的，需要进行初步基础优化

1、网络优化，修改ip地址，网关，主机名，DNS
    vim /etc/sysconfig/network-scripts/ifcfg-eth0   
    vim /etc/sysconfig/network   
    vim /etc/resolv.conf
    service network restart

2、关闭selinux,防火墙优化，可以选择关闭，或者调整防火墙规则
    sed –i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config
    setenforce 0
    iptables –F
    serviece iptables restart

3、添加普通用户，进行sudo授权
    useradd 用户名
    echo "123456" | passwd --stdin 用户名 && history –c
    visudo（这个工具可以防止两个用户同时更改这个文件）
        在root    ALL=(ALL)    ALL此行下，添加如下内容
        用户名    ALL=(ALL)    ALL

4、更新yum源以及相关服务软件
    将国外的yum源改为国内的yum源，如网易，阿里
    　　/etc/yum.repos.d/
    　　yum clean all
    　　yum makecache
    　　yum install screen -y 这个工具用来后台执行任务
    　　yum  upgrade -y 　（
    　　　　不要升级系统内核，在/etc/yum.conf文件中[main]最后添加以下两项：
   　　　　 exclude=kernel*
   　　　　 exclude=centos-release*）

5、定时更新服务器时间，校准

　　请点击此链接

6、精简开机启动选项
    刚装完操作系统可以只保留crond，network，rsyslog，sshd这四个服务。
    for sun in `chkconfig --list | grep "3:on" | awk '{print $1}'`;do
        chkconfig --level 3 $sun off;
    done
    for sun in crond rsyslog sshd network;do
        chkconfig --level 3 $sun on;
    done
    chkconfig --list|grep 3:on

7、变更默认的ssh服务端口，禁止root用户远程连接
    cp  /etc/ssh/sshd_config  /etc/ssh/sshd_config.bak
    vim /etc/ssh/sshd_config
        Port 22022       #ssh连接默认的端口
        PermitRootLogin no   #root用户黑客都知道，禁止它远程登录
        PermitEmptyPasswords no #禁止空密码登录
        UseDNS no            #不使用DNS，禁止DNS反向解析
        service sshd reload
        重新以普通用户登录

8、锁定关键文件系统（选用）

    # chattr +i /etc/passwd /etc/shadow /etc/groupp /etc/gshadow
    将系统中的passwd,shadow,group.gshadow等关键命令加i权限进行锁定。
    一旦锁定之后，即使是root用户也无法对这些文件进行操作。

    命令lsattr可以查看文件是否被锁定，如：
    # lsattr /etc/passwd

    要想对这些锁定的文件进行解锁，必须要先解锁这些文件。解锁文件则需要使用下面的命令：
    # chattr -i /etc/passwd /etc/shadow/etc/group /etc/gshadow

    除此之外，还可以对关键性的命令如chattr修改文件名，从而使常规命令无法在系统中进行相应的操作。
    # mv /usr/bin/chattr /usr/bin/long
    则需要使用chattr命令时，实际需要采用long命令

10、调整文件描述符大小（每个进程能打开的最大文件数量）
    ulimit  –n
    echo '*  -  nofile  65535' >> /etc/security/limits.conf
    或者：
    vi /etc/security/limits.conf
        * soft nofile 65535
        * hard nofile 65535
        * soft nproc 65535
        * hard nproc 65535
        * soft nofile 65535
        * hard nofile 65535

　调整完成需要重启机器才能生效。

11、关闭重启ctl-alt-delete组合键
    vi /etc/init/control-alt-delete.conf
    注释掉
    #exec /sbin/shutdown -r now "Control-Alt-Deletepressed"

12、设置TMOUT环境变量

　　在/etc/profile.d/创建TMOUT.sh, 添加以下内容：

    　　export TMOUT=900    # 设置900秒内用户无操作就字段断开终端
   　　 readonly TMOUT     # 将值设置为readonly 防止用户更改

13、系统内核优化

　　暂未研究，后续更新