系统优化

yum源处理与常用软件包安装

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup			# 备份系统yum源

curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo	# 下载阿里云的yum源
curl -o /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo			# 添加epel源

# 非阿里云ECS产品执行下面的命令，否则会出现阿里云域名无法解析的报错
sed -i -e '/mirrors.cloud.aliyuncs.com/d' -e '/mirrors.aliyuncs.com/d' /etc/yum.repos.d/CentOS-Base.repo
sed -i -e '/mirrors.cloud.aliyuncs.com/d' -e '/mirrors.aliyuncs.com/d' /etc/yum.repos.d/epel.repo

yum update -y				# 升级yum工具，刚装完系统执行，之后就不要更新了

#开启yum软件包缓存，参考Linux软件包管理

#安装常用软件包然后执行部署
yum -y install tree nmap sysstat lrzsz telnet bash-completion bash-completion-extras vim lsof net-tools rsync ntpdate nfs-utils

#将所有主机上的软件包汇总到一起做一个自己的yum源来后期使用，参考Linux软件包管理

添加hosts文件实现集群主机相互用主机名解析

1
2
3
4
5
6
7
8

hostnamectl set-hostname [主机名]					# 规范主机名

vim /etc/hosts									# 编辑hosts文件

IP地址 主机名
IP地址 主机名
IP地址 主机名
IP地址 主机名

ssh密钥登陆

• 客户端

  1 2 3 4

  ssh-kergen # 生成私钥和公钥文件，如有必要可设置私钥密码（自定义，加强私钥安全性） ls /root/.ssh/ # 在此查看生成的私钥和公钥文件 id_rsa 和 id_rsa.pub ssh-copy-id -i 服务端IP # 把公钥发送给服务端，需要输入一次服务端root账号的密码 ssh root@服务端IP # 连接服务端，可以不登录root，登录其他用户。如果设置的私钥密码需要输入一次私钥密码

• 服务端

  1 2 3

  ls /root/.ssh # 查看客户端发来的公钥文件 authorized_keys，权限为600，/root/.ssh 文件夹权限为700 vim /etc/ssh/sshd_config # 编辑ssh配置文件 PasswordAuthentication no # 添加此行，表示不允许使用账号密码登录，只允许使用密钥登录

  初次之外，还可进行一些安全优化，比如，禁止DNS进行反向解析，禁止GSS认证可减少连接时产生的延迟，修改ssh默认端口，禁止root用户远程登录，禁止空密码登录等，以上都在ssh的配置文件/etc/ssh/sshd_config中修改。

  1 2 3 4 5

  UseDNS no GSSAPIAuthentication no Port 6666 PermitRootLogin no PermitEmptyPassword no

• Xshell使用密钥连接服务器

  1	工具-->新建用户密钥生成向导-->在服务器的/root/.ssh目录下新建 authorized_keys 文件，将生成的公钥复制进去-->将登录方法改为public key

关闭SELinux

1
2

setenforce 0					# 临时关闭
vim /etc/selinux/config 	SELINUX=disabled		# 编辑selinux的配置文件，将SELINUX=enforce改为SELINUX=disabled

关闭防火墙或只开放对应的端口

1
2

systemctl stop firewalld			# 临时关闭
systemctl disable direwalld			# 设置开机不启动

配置ntp服务同步系统时间

1

echo '0 */1 * * * /usr/sbin/ntpdate ntpl.aliyun.com &> /dev/null' >> /var/spool/cron/root		# 添加定时任务

ulimit命令

• 设置用户能打开的最大进程数目

  1 2	ulimit -u 100 # 设置普通用户最多能运行100个进程，临时配置 ulimit -u # 查看

• 设置用户能分配到的文件描述符数量

  1 2	ulimit -n 300 # 设置普通用户最多能打开300个文件，临时配置 ulimit -n # 查看

  补充：文件描述符：每打开一个文件，操作系统会为这个文件分配一个编号，称为文件描述符，也称为文件句柄，

• 永久配置

  1 2	vim /etc/security/limits.conf # 修改配置文件，可以设置最大进程数和最大文件描述符 vim /etc/security/limits.d/20-nproc.conf # 优先级更高的配置文件，只能设置最大进程数

开启VT和HT

自行谷歌

VT：Virtual Technology 虚拟化技术

HT：Hyper-Threading Technology 超线程技术

云主机无需配置

关闭CPU节能

自行谷歌

关闭NetworkManager

1
2

systemctl stop NetworkManager			# 临时关闭
systemctl distable NetworkManaget		# 永久关闭

安全优化

安装Linux系统最小化，即选包最小化，无用的包不装。

开机自启动服务最小化，无用的服务不开启

操作命令最小化，无用的指令或选项不使用

登录Linux用户最小化，无特殊需求不登录root

普通用户授权权限最小化，只给用户必需的操作权限

个人偏好

普通用户的命令提示符颜色设置为绿色

1
2

echo 'PS1="\[\e[1;32m\][\u@\h \W]$ \e[m\]"' >> .bashrc		# 进入用户家目录执行
source .bashrc		# 立即生效，否则下次登录时生效

root用户的命令提示符颜色设置为红色

1
2

echo 'PS1="\[\e[1;31m\][\u@\h \W]$ \e[m\]"' >> .bashrc		# 进入root家目录执行
source .bashrc		# 立即生效，否则下次登录时生效