Linux基础（三）

一.系统基本优化

关闭selinux:
	getenforce					查看selinux状态
	setenforce 0				临时关闭
	vim /etc/sysconfig/selinux	永久关闭
	SELINUX=disabled

关闭防火墙：
        systemctl stop firewalld          临时关闭防火墙
        systemctl disable firewalld       永久关闭防火墙
        systemctl status firewalld        查看防火墙状态
        systemctl start firewalld         启动防火墙

二. 系统主机名维护

hostname		查看主机名，临时修改主机名
 
hostnamectl 	查看主机配置信息
 
hostnamectl set-hostname 	永久修改主机名
 
vim  /etc/hostname			永久修改主机名

三.优化命令提示符

PS1='[\u@\h \t \W]\$'	临时修改日期提示
 
vim /etc/profile		永久修改日期提示
添加末行：
PS1='[\u@\h \t \W]\$'

四.系统时间同步优化

timedatectl 	系统时间配置查看
 
timedatectl list-timezones |grep Shanghai	查看时区列表
timedatectl set-timezone Asia/Shanghai	设置上海时区
 
timedatectl set-ntp 1	开启网络时间同步功能
 
ntpdate ntp1.aliyun.com  手动同步时间服务器（ntp1..7）
 
timedatectl set-time '2021-12-18 12:03:23'  手动调整时间
 
date 	查看系统时间
 
date -s "2022-5-22 12:30:59"	修改系统时间

五.系统字符编码优化

echo $LANG		查看当前字符编码
localectl list-locales		查看系统支持的字符编码
 
LANG=zh_CN.utf8			临时设置字符编码
vim /etc/locale.conf	永久修改字符编码
或
localectl set-locale LANG=zh_CN.utf8

六.系统远程连接优化

/etc/ssh/sshd_config
79行： GSSAPIAuthentication no 
115行 UseDNS no
 
或者用sed
sed -i '79s#yes#no#g'  /etc/ssh/sshd_config
sed -i 's@#UseDNS yes@UseDNS no@g' /etc/ssh/sshd_config
 
重新加载
systemctl reload sshd

七.系统资源限制优化

（1）查看限制
ulimit -a    查看系统限制值

核心文件大小（块，-c）0
数据段大小（kbytes，-d）不受限制
计划优先级0
文件大小（块，-f）不受限制
挂起信号（-i）7788
最大锁定内存（KB，-l）64
最大内存大小（kbytes，-m）不受限制
打开文件（-n）1024
管道大小（512字节，-p）8
POSIX消息队列（字节，-q）819200
实时优先级0
堆栈大小（kbytes，-s）8192
cpu时间（秒，-t）无限制
最大用户进程（-u）7788
虚拟内存（KB，-v）不受限制
文件锁定（-x）不受限制

ulimit -n			查看用户同时打开的文件数
ulimit -n 65535		临时设置打开文件数
 
cat /proc/sys/fs/file-max	查看系统级最大打开文件数限制

（2）设置资源限制

vim /etc/security/limits.conf
添加末行：
* soft nofile 65535
* hard nofile 65535
* soft nproc 65535
* hard nproc 65535
 
解释：
noproc   是代表最大进程数
nofile   是代最大文件打开数
*        是表示修改所有用户的限制

（3）生产环境修改建议

vim /etc/security/limits.conf
 
*           soft  core   unlimit
*           hard  core   unlimit
*           soft  fsize  unlimited
*           hard  fsize  unlimited
*           soft  data   unlimited
*           hard  data   unlimited
*           soft  nproc  65535
*           hard  nproc  65535
*           soft  stack  unlimited
*           hard  stack  unlimited
*           soft  nofile  409600
*           hard  nofile  409600

八.系统内核优化

vim /etc/sysctl.d/99-sysctl.conf
添加：
 
#关闭ipv6
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
 
# 避免放大攻击
net.ipv4.icmp_echo_ignore_broadcasts = 1
 
# 开启恶意icmp错误消息保护
net.ipv4.icmp_ignore_bogus_error_responses = 1
 
# 关闭路由转发
net.ipv4.ip_forward = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
 
#开启反向路径过滤
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
 
#关闭sysrq功能
kernel.sysrq = 0
 
#core文件名中添加pid作为扩展名
kernel.core_uses_pid = 1
net.ipv4.tcp_syncookies = 1
 
#修改消息队列长度
kernel.msgmnb = 65536
kernel.msgmax = 65536
 
#设置最大内存共享段大小bytes
kernel.shmmax = 68719476736
kernel.shmall = 4294967296
 
#timewait的数量，默认180000
net.ipv4.tcp_max_tw_buckets = 6000
net.ipv4.tcp_sack = 1
net.ipv4.tcp_window_scaling = 1
net.ipv4.tcp_rmem = 4096        87380   4194304
net.ipv4.tcp_wmem = 4096        16384   4194304
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.core.netdev_max_backlog = 262144
 
 
#限制仅仅是为了防止简单的DoS 攻击
net.ipv4.tcp_max_orphans = 3276800
 
#未收到客户端确认信息的连接请求的最大值
net.ipv4.tcp_max_syn_backlog = 262144
net.ipv4.tcp_timestamps = 0
 
#内核放弃建立连接之前发送SYNACK 包的数量
net.ipv4.tcp_synack_retries = 1
 
#内核放弃建立连接之前发送SYN 包的数量
net.ipv4.tcp_syn_retries = 1
 
#启用timewait 快速回收
net.ipv4.tcp_tw_recycle = 1
 
#开启重用。允许将TIME-WAIT sockets 重新用于新的TCP连接
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_mem = 94500000 915000000 927000000
net.ipv4.tcp_fin_timeout = 1
 
#当keepalive 起用的时候，TCP 发送keepalive 消息的频度。缺省是2 小时
net.ipv4.tcp_keepalive_time = 30
 
#允许系统打开的端口范围
net.ipv4.ip_local_port_range = 1024    65000
 
#修改防火墙表大小，默认65536
net.netfilter.nf_conntrack_max=655350
net.netfilter.nf_conntrack_tcp_timeout_established=1200
 
# 确保无人能修改路由表
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.secure_redirects = 0
 
保存退出
 
sysctl -p 	刷新生效
 
uname -r 查看内核版本 
 
cat /etc/redhat-release 查看centos系统版本

九.系统优化内核版本升级（看公司需求）

载入公钥
rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org
 
安装epel
rpm -Uvh http://www.elrepo.org/elrepo-release-7.0-3.el7.elrepo.noarch.rpm
 
载入elrepo-kernel元数据
yum --disablerepo=\* --enablerepo=elrepo-kernel repolist
 
查看可用的rpm包
yum --disablerepo=\* --enablerepo=elrepo-kernel list kernel*
（注：lt 长期支持版，稳定； ml 主线最新稳定版）
 
 
安装最新版本的kernel
yum --disablerepo=\* --enablerepo=elrepo-kernel install -y kernel-ml.x86_64
 
重启，选择新版本内核进入系统。
 
删除旧版本工具包
yum remove kernel-tools-libs.x86_64 kernel-tools.x86_64 -y
 
安装新版本工具包
yum --disablerepo=\* --enablerepo=elrepo-kernel install -y kernel-ml-tools.x86_64
 
查看系统中的全部内核，也可以删除多余的内核
rpm -qa | grep kernel
yum remove -y kernel-3.10.0-1127.el7.x86_64