linux系统优化

1 最小化安装(自定义选包：最基本为：Bash;Compatibillty librarles;Debugging Tools;Development tools)

   最小化启动：

for oldboy in `chkconfig --list | grep "3:on"|awk ‘{print $1}‘| grep -vE "crond|network|sshd|rsyslog|xinetd"`;do chkconfig $oldboy off;done

2 ulimit:

    ulimit -n  如果系统进程比默认打开文件数还多，那么资源就不够用了。

    临时更改：ulimit -HSn 65535
    永久更改：echo "*                 -            nofile           65535" >/etc/security/limits.conf

3 tcp/ip:

客户端与服务器端建立TCP/IP连接后关闭SOCKET后，服务器端连接的端口
状态为TIME_WAIT
如发现系统存在大量TIME_WAIT状态的连接，通过调整内核参数解决，
vim /etc/sysctl.conf
编辑文件，加入以下内容：
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_fin_timeout = 30
然后执行 /sbin/sysctl -p 让参数生效。
也就是TCP/IP设计者本来是这么设计的
主要有两个原因
1。防止上一次连接中的包，迷路后重新出现，影响新连接
（经过2MSL，上一次连接中所有的重复包都会消失）
2。可靠的关闭TCP连接
在主动关闭方发送的最后一个 ack(fin) ，有可能丢失，这时被动方会重新发
fin, 如果这时主动方处于 CLOSED 状态 ，就会响应 rst 而不是 ack。所以
主动方要处于 TIME_WAIT 状态，而不能是 CLOSED 。
TIME_WAIT 并不会占用很大资源的，除非受到攻击。

4 字符集优化：

cat /etc/sysconfig/i18n  字符集配置文件路径
sed  -i ‘s/LANG="en_US.UTF-8"/LANG="zh_CN.GB18030"/g‘ i18n

5 ssh登录优化：

vim /etc/ssh/sshd_config
42 PermitRootLogin no     允许root登录
65 PermitEmptyPasswords no   允许空密码登录
80 GSSAPIAuthentication no    sshp
122 UseDNS no              DNS搜索
关闭ssh服务X11转发功能
#vi /etc/ssh/sshd_config
设置下面为no
X11Forwarding no

6 历史记录，主机等待时间

echo ‘HISTSIZE=5‘ >>/etc/profile
echo ‘TMOUT=300‘ >>/etc/profile

7 chattr 安全目录锁定

chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab
隐藏目录            黑客来的不是走ssh来的，所以有必要
chattr -i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab
解锁
lsattr /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab
查看锁定
mv /usr/bin/chattr /usr/bin/oldboy1   将命令改名

8 隐藏系统版本

cat /dev/null >/etc/issue

9 优化Ctrl+Alt+Del快捷键重启服务器

 
sed -i "s/ca::ctrlaltdel:/sbin/shutdown -t3 -r now/#ca:(www.111cn.net):ctrlaltdel:/sbin/shutdown -t3 -r now/g" ‘/etc/inittab‘from:http://www.111cn.net/sys/linux/59969.htm

10 selinux 关闭

查看SELinux状态：
1、/usr/sbin/sestatus -v ##如果SELinux status参数为enabled即为开启状态
SELinux status: enabled
2、getenforce ##也可以用这个命令检查
关闭SELinux：
1、临时关闭（不用重启机器）：
setenforce 0 ##设置SELinux 成为permissive模式
##setenforce 1 设置SELinux 成为enforcing模式
2、修改配置文件需要重启机器：
修改/etc/selinux/config 文件
将SELINUX=enforcing改为SELINUX=disabled
重启机器即可

11 局域网yum源配置，局域网NTP配置

12 自己封装rpm包，局域网内部使用

本文出自 “晴空” 博客，谢绝转载！