澳门新萄京官方网站-www.8455.com-澳门新萄京赌场网址

澳门新萄京官方网站centos7最早优化,期中架构

2019-09-16 作者:澳门新萄京官方网站   |   浏览(189)

第1章 优化

期中架构

初步化模板设想机

linux系统基础优化

1.Linux系统基础优化

一、关闭SELinux功能

 

Selinux是什么?

平安工具,调控太严酷,生产条件不用它,使用其余安全花招。

 

简介: 

 

SELinux带给Linux的要害价值是:提供了三个灵活的,可配置的MAC机制。

 

Security-Enhanced Linux (SELinux)由以下两片段构成:

 

1) Kernel SELinux模块(/kernel/security/selinux)

 

2) 客户态工具

 

SELinux是一个有惊无险体系布局,它经过LSM(Linux Security Modules)框架被合併到Linux Kernel 2.6.x中。它是NSA (United States National Security Agency)和SELinux社区的共同项目。

 

SELinux提供了一种灵活的强制访谈调整(MAC)系统,且内嵌于Linux Kernel中。SELinux定义了系统中各种【客商】、【进度】、【应用】和【文件】的访谈和生成的权杖,然后它应用三个安全计策来支配这一个实体(顾客、进程、应用和文书)之间的并行,安全攻略内定怎样从严或宽松地举办检讨。

 

SELinux对系统客户(system users)是晶莹的,独有系统一管理理员供给思量在她的服务器中怎么着制订严苛的计划。攻略能够依赖需借使严酷的或宽松的。

 

关闭SElinux方式:

1)         通过vi /etc/selinux/config 步入配置文件进入修改

2)         通过sed 命令操作:

 

实现命令:sed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/selinux/config

输出:

[[email protected] ~]# cp /etc/selinux/config  /etc/selinux/config.ori  操作前的备份

[[email protected] ~]# sed -i  's#SELINUX=enforcing#SELINUX=disabled#g' /etc/selinux/config  直接修改源文件

[[email protected] ~]# grep SELINUX=disabled /etc/selinux/config                

SELINUX=disabled  查看修改后的效用

 

查阅相比修改后的文书:

完毕命令:(vimdiff)diff /etc/selinux/config.ori /etc/selinux/config

 

输出:

7c7

< SELINUX=enforcing


> SELINUX=disabled

SELINUX=disabled(永世生效)重启系统


[[email protected] ~]# getenforce(查看命令行是还是不是关闭selinux)

Enforcing

[[email protected] ~]# setenforce (设置selinux)

usage:  setenforce [ Enforcing | Permissive | 1 | 0 ]

[[email protected] ~]# setenforce 0 (命令行关闭selinux)

[[email protected] ~]# getenforce 

Permissive(一时生效)

 

二、运转等第

 

什么是运作品级:

 

runlevel linux运营时的一种情形标示,这些标志用数字代表。

运转品级的中间情景:

0

halt,关机状态

1

single  user 单用户,找回root密码

2

multiuser  without nfs 多顾客并没有NFS网络文件系统

3

文本形式(Full multiuser mode)*******行事情势

4

unused

5

图形。桌面、X11

6

reboot  重启

 

怎么着查看linux运营级品级:

 

完结命令:runlevel

 

输出:

[[email protected] ~]# runlevel

N(前一次) 3(当前)

 

变动运行品级:init

 

三、精简开机系统运转

 

怎么要安装开机自运行?

 

1、节省开机时间、加快运转速度

 

2、节省财富开荒

 

3、缩小安全隐患

 

供给保留的开机自运行:

 

sshd:远程连接linux服务器

 

rsyslog:是操作系统提供的一种体制,系统的照顾程序平时会利用rsylog将各样音信系统日志文件中

 

network:激活关闭各种网络接口

 

crond:用于周期性地实践系统及客户配置的任务安插(周期性的拍卖局部双重难题的布置职分服务)

 

Sysstat:是七个软件包,监测种类质量及功能的一组织工作具

 

Sysstat软件包集成的首要工具为:

 

iostat工具提供CPU使用率及硬盘吞吐效能的多少

 

mpstat工具提供与单个或八个电脑相关的数量

 

sar工具担任搜罗、报告并蕴藏系统活跃的新闻

 

什么贯彻?

 

率先种办法:通过setup来修改

 

第二种方法:通过ntsysv来修改

 

其三种艺术:通过chkconfig来达成

a. [[email protected] ~]# chkconfig --list|grep 3:on|awk '{print $1}'|grep -Ev "sshd|network|rsyslog|crond|sysstat"|awk '{print "chkconfig " $1 " off"}'|bash

[[email protected] ~]# chkconfig --list|grep 3:on

crond           0:off   1:off   2:on    3:on    4:on    5:on       6:off

network         0:off   1:off   2:on    3:on    4:on    5:on       6:off

rsyslog         0:off   1:off   2:on    3:on    4:on    5:on       6:off

sshd            0:off   1:off   2:on    3:on    4:on    5:on       6:off

sysstat         0:off   1:on    2:on    3:on    4:on    5:on       6:off

 

b. [[email protected] ~]# chkconfig --list|grep 3:on|awk '{print $1}'|grep -Ev "sshd|network|rsyslog|crond|sysstat"|sed -r 's#(.*)#chkconfig 1 off#g'|bash

[[email protected] ~]# chkconfig --list|grep 3:on

crond           0:off   1:off   2:on    3:on    4:on    5:on       6:off

network         0:off   1:off   2:on    3:on    4:on    5:on       6:off

rsyslog         0:off   1:off   2:on    3:on    4:on    5:on       6:off

sshd            0:off   1:off   2:on    3:on    4:on    5:on       6:off

sysstat         0:off   1:on    2:on    3:on    4:on    5:on       6:off

 

c. [[email protected] ~]# for name in `chkconfig --list|grep 3:on|awk '{print $1}'|grep -Ev "sshd|network|rsyslog|crond|sysstat"`;do chkconfig $name off;done 

[[email protected] ~]# chkconfig --list|grep 3:on                           crond           0:off   1:off   2:on    3:on    4:on    5:on    6:off

network         0:off   1:off   2:on    3:on    4:on    5:on    6:off

rsyslog         0:off   1:off   2:on    3:on    4:on    5:on    6:off

sshd            0:off   1:off   2:on    3:on    4:on    5:on    6:off

sysstat         0:off   1:on    2:on    3:on    4:on    5:on    6:off

 

四.关闭iptables防火墙

 

查阅防火墙:iptables -L -n

闭馆防火墙:

完结命令:/etc/init.d/iptables stop

输出:

 [[email protected] ~]# /etc/init.d/iptables stop

iptables:将链设置为政策 ACCEPT:filter                    [确定]

iptables:清除防火墙法则:                                 [确定]

iptables:正在卸载模块:                                   [确定]

查阅防火墙状态:

福衢寿车命令:/etc/init.d/iptables status

输出:

[email protected] ~]# /etc/init.d/iptables status

 [[email protected] ~]# /etc/init.d/iptables status

Table: filter

Chain INPUT (policy ACCEPT)

num  target     prot opt source               destination        

 

Chain FORWARD (policy ACCEPT)

num  target     prot opt source               destination        

 

Chain OUTPUT (policy ACCEPT)

num  target     prot opt source               destination  

 

五.linux运营思想最小化原则

 

法规:多一事比不上少一事!

 

1、安装linux系统最小化,选包最小化,yum安装软件包也要最小化,无用的包不装。

 

2、开机自运转最小化

 

3、操作命令最小化

 

例如:用rm -f test.txt而不用rm -fr test.txt

 

4、登入linux客户最小化。

 

终生未曾须求不用root登陆,用普通顾客登入就能够

 

5、普通顾客授权权限最小化,

 

即只给必需的军管连串的一声令下。

 

6、linux系统文件及目录的权能设置最小化,禁止私下创立、改动、删除。理论上限定掉。

 

六. 改造SSH服务端远程登入的布局(配置文件:/etc/ssh/sshd_config)

 

变动方法:

 

格局一:通过vi步入配置文件实行修改

vi /etc/ssh/sshd_config

####by oldboy#2011-11-24##

Port 52113

PermitRootLogin no

PermitEmptyPasswords no

UseDNS no

GSSAPIAuthentication no

####by oldboy#2011-11-24##

 

主意二:通过sed命令完结修改

sed -ir '13 i Port 52113nPermitRootLogin nonPermitEmptyPasswords nonUseDNS nonGSSAPIAuthentication no'  sshd_config

 

重启生效:/etc/init.d/sshd reload【平滑重启不影响顾客】(restart)

 Linux下SSH远程连接服务慢的缓和方案请见老男孩的博客:

 

八、利用sudo处理文件汇报

 

在visudo步入文件扩展普通客商的吩咐路线使得普通顾客碰着下利用sudo进行指令操作。

Allow root torun any commands anywhere

root     ALL=(ALL)       ALL

oldboy   ALL=           (ALL)   NOPASSWD: ALL  /bin/ls

客商     客商管理的机器  有的时候具有的客户角色      /bin/ls

只顾:内置命令不能够用到sudo。

 

九.linux字符突显设置:

 

字符集是一套文字标识及其编码:GBK 、UTF-8(集团广泛选拔)

调节服务器端字符集:调度字符集路线(/etc/sysconfig/i18n)记住

[[email protected]/]# cat /etc/sysconfig/i18n

LANG="en_US.UTF-8"       印度语印尼语字符

SYSFONT="latarcyrheb-sun16"

[[email protected]/]# cat /etc/sysconfig/i18n

LANG="en_US.UTF-8"

SYSFONT="latarcyrheb-sun16"

[[email protected]/]#cp/etc/sysconfig/i18n /etc/sysconfig/i18n.oldboy.二〇一四1003    修改文件前的备份

[[email protected]/]#sed-i 's#LANG="en_US.UTF-8"#LANG="zh_CN.UTF-8"#g'/etc/sysconfig/i18n    利用sed替换字符文件修改为华语字符

[[email protected]/]# cat /etc/sysconfig/i18n

LANG="zh_CN.UTF-8"

SYSFONT="latarcyrheb-sun16"

[[email protected]/]# echo $LANG   查看修改字符后的功效

en_US.UTF-8

[[email protected]/]# source /etc/sysconfig/i18n 使得修改后的文文士效

[[email protected]/]# echo $LANG     

zh_CN.UTF-8

 

十. 设置linux服务器时间共同

 

互连网同步时间

[[email protected]/]/usr/sbin/ntpdate time.nist.govov   网络同步时间

[[email protected]/]# date -s "2015/10/3 9:34"

二零一四年 11月 03日周天 09:34:00 CST

[[email protected]/]# ntpdate time.nist.gov   set the date and time viaNTP

 3 Oct 09:35:21 ntpdate[28135]: adjust timeserver 132.163.4.103 offset 0.286494 sec

[[email protected]/]# date   date 翻看时间  -s 修改时间

2014年 7月 03日周日 09:48:46 CST

 [[email protected] /]# hwclock   query and set the hardwareclock

二〇一六年三月03日周天 08时59分12秒  -0.737654 seconds

crond :定期任务

每5分钟同步三回

[[email protected]/]# echo "*/5 * * * * /usr/sbin/ntpdate time.nist.gov /dev/null2>&1" >>/var/spool/cron/root

 [[email protected] /]# crontab –l  按期生效

*/5 * * * */usr/sbin/ntpdate time.nist.gov /dev/null 2>&1

 

十一、设置超时

 

临时生效

[[email protected] /]# export  TMOUT=300设置超时时间300S

[[email protected]/]# echo "export TMOUT=300" >>/etc/profile

[[email protected]/]# source /etc/profile  使得设置生效

[[email protected]/]# echo $TMOUT

300

 

十二.history历史记录数

 

偶尔生效

[[email protected] /]# export  HISTSIZE=5  定义历史记录数5条

[[email protected] /]# history

 728  cat ~/.bash_history

 729  HISTFILESIZE=5

 730  cat ~/.bash_history

 731  HISTSIZE=5

 732  history

[[email protected] /]#export HISTFILESIZE=5 定义历史记录文件数5条

[[email protected] /]# cat ~/.bash_history

visudo

su - oldboy

su oldboy

netstat -an|grep EST

su oldboy

 

世代生效

[[email protected] ~]# echo 'export TMOUT=300'>>/etc/profile

[[email protected] ~]# echo 'exportHISTSIZE=5' >>/etc/profile

[[email protected] ~]# echo 'exportHISTFILESIZE=5' >>/etc/profile

[[email protected] ~]# tail -3 /etc/profile

export TMOUT=300

export HISTSIZE=5

export HISTFILESIZE=5

[[email protected] ~]# source /etc/profile  使得文件生效

[[email protected] ~]# echo $TMOUT   

300

[[email protected] ~]# echo $HISTSIZE

5

 

十三.调动linux系统文件叙述符数量

 

文件叙述符是由无符号整数表示的句柄,进度使用它来标示展开文件。

 

文件陈说符概念:

 

1、表示格局为整数数字(0-65535)

 

2、会攻陷文件陈述符(标示打开文件)

 

查看默许文件叙述符

ulimit-n

 

3、调度文件呈报符

[[email protected] ~]# ulimit -SHn 65535  设置文件叙述符数量

[[email protected] ~]# ulimit -n

65535(32768)

 [[email protected] ~]#  echo '*       -    nofile      65535' >>/etc/security/limits.conf    将修改的叙说符数量写入文件

[[email protected] ~]# tail -1/etc/security/limits.conf                   *        -    nofile     65535

 

十四.调解基础参数文件 (/etc/sysctl.conf)

 

vim/etc/sysctl.conf

 

linux内核优化参数:


net.ipv4.tcp_fin_timeout = 2

net.ipv4.tcp_tw_reuse = 1

net.ipv4.tcp_tw_recycle = 1

net.ipv4.tcp_syncookies = 1

net.ipv4.tcp_keepalive_time = 600

net.ipv4.ip_local_port_range = 4000    65000

net.ipv4.tcp_max_syn_backlog = 16384

net.ipv4.tcp_max_tw_buckets = 36000

net.ipv4.route.gc_timeout = 100

net.ipv4.tcp_syn_retries = 1

net.ipv4.tcp_synack_retries = 1

net.core.somaxconn = 16384

net.core.netdev_max_backlog = 16384

net.ipv4.tcp_max_orphans = 16384

#以下参数是对iptables防火墙的优化,防火墙不开会唤起,能够忽略不理。

net.nf_conntrack_max = 25000000

net.netfilter.nf_conntrack_max =25000000

net.netfilter.nf_conntrack_tcp_timeout_established= 180

net.netfilter.nf_conntrack_tcp_timeout_time_wait= 120

net.netfilter.nf_conntrack_tcp_timeout_close_wait= 60

net.netfilter.nf_conntrack_tcp_timeout_fin_wait= 120


 

网络状态表达及优化命令和优化细节参谋资料请看:

sysctl -p 使得加载的参数生效

 

十五.隐藏linux版本号:

 

[[email protected] ~]# cat /etc/issue

CentOS release 6.7 (Final)

Kernel r on an m

[[email protected] ~]# cat /etc/issue.net

CentOS release 6.7 (Final)

Kernel r on an m

[[email protected] ~]# >/etc/issue

[[email protected] ~]# >/etc/issue.net

[[email protected] ~]# cat /etc/issue

 

十六.锁定系统文件

 

连带的系统文件:/etc/passwd/etc/shadow /etc/group /etc/gshadow  /etc/inittab

 [[email protected]~]# chattr i /etc/passwd /etc/shadow /etc/group  /etc/gshadow /etc/inittab   i锁定系统文件

[[email protected] ~]# useradd dddd

useradd: cannot open /etc/passwd

[[email protected] ~]# rm -f /etc/passwd

Do not use rm command. -f /etc/passwd

[[email protected] ~]# rm -f /etc/passwd

rm: 不能删除"/etc/passwd": 不容许的操作

[[email protected] ~]# chattr -i /etc/passwd/etc/shadow /etc/group  /etc/gshadow/etc/inittab  -i解除系统文件

[[email protected] ~]# useradd dddd     

[[email protected] ~]# chattr i /etc/passwd/etc/shadow /etc/group  /etc/gshadow/etc/inittab

[[email protected] ~]# lsattr /etc/passwd  查看系统文件属性

----i--------e- /etc/passwd

[[email protected] ~]# chattr -i /etc/passwd/etc/shadow /etc/group  /etc/gshadow/etc/inittab

[[email protected] ~]# lsattr /etc/passwd

-------------e- /etc/passwd

 

十七.禁止linux系统被ping

 

基础中期维修改禁止ping,短处是明确命令禁止自身ping

echo 0 >/proc/sys/net/ipv4/icmp_echo_ignore_all 

[[email protected] ~]# echo"net.ipv4.icmp_echo_ignore_all=1" >> /etc/sysctl.conf

[[email protected] ~]# tail -1 /etc/sysctl.conf

net.ipv4.icmp_echo_ignore_all=1

[[email protected] ~]# sysctl -p

 

生效:

[[email protected] ~]# echo"net.ipv4.icmp_echo_ignore_all=1" >> /etc/sysctl.conf

[[email protected] ~]# tail -1 /etc/sysctl.conf

net.ipv4.icmp_echo_ignore_all=1

[[email protected] ~]# sysctl -p

 

还原禁ping:

echo 0 >/proc/sys/net/ipv4/icmp_echo_ignore_all

十八.定期清理邮件服务一时半刻目录垃圾文件

 

centos5名目相当多的体系暗许安装Sen时dmail服务,因而邮件有的时候寄放位置的门径/var/spool/clientmqueue/.

 

centos6暗中认可景况下未有安转Sendmail服务,而是改装了Posfix服务,由此邮件贮存地点的不二等秘书诀为:/var/spool/postfit/maildrop/

以上七个目录很轻巧被垃圾文件填满导致系统的inode数量非常不够用,进而致使无地点寄放文件

 

手动清理的方法:

find /var/spool/clientmqueue/ -typef|xargs rm -f适合centOS5的sendmail服务

find /var/spool/postfix/maildrop/ -typef|xargs rm -f适合Centos6的postfix服务

按时清理的点子为:将上述命令写成脚本,然后做定期任务,每一天上午0点实行贰遍(按时职务再说)

 

 

计算:怎么着优化linux:

 

1、关闭SElinux

2、关闭防火墙,设定运营品级为3.

3、精简开机自运营服务

4、SSH安控(提前创建普通顾客)

5、sudo 管理客户授权

6、调治文件陈诉符

7、退换合适的字符集

8、锁定着重系统文件

9、禁止展现内核版本及系统版本音讯

10、设置会话的晚点时间及历史记录数

11、禁止PING

12、优化LINUX内核参数

13、特定漏洞yum/rpm晋级

14、清楚多余的种类设想账号

15、服务器时间一齐

16、打补丁下载软件调节为国内的下载地址(调解yum源)

17、定期清理邮件服务方今目录垃圾文件

18、为grub菜单加密码

1.Linux系统基础优化 一、关闭SELinux作用 Selinux是什么? 安全工具,调整太严俊,生产条件不用它,使用另外安全手段。...

改变SSH服务端远程登陆的布局

windows服务端的暗中同意远程管理端口是3389,管理员顾客是administrator,普通顾客是guest。Linux的管住客商是root,普通客商暗许有那多少个个,远程连接暗中认可端口是22。

修改配置文件/etc/ssh/sshd_config,13行Port 22(默许端口22),改为Port 52113(范围0——65535);15行ListenAddress 0.0.0.0 (监听ip地址),改为ListenAddress 192.168.131.1;43行PermitRootLogion yes(root客商远程连接),改为PermitRootLogion no;122行UseDNS yes(DNS剖判),改为UseDNS no;GSSAPIAuthentication yes(SSH连接慢),改为GSSAPIAuthentication no;

cat –n:查看行号

vim :set nu 呈现行号

diff相比2个文本的不一致之处。

[root@oldboy66 ssh]# diff sshd_config sshd_config.oldboy.20161204

vimdiff以高亮格局比较2个文本的区别之处。

[root@oldboy66 ssh]# vimdiff sshd_config sshd_config.oldboy.20161204

sed替换:

  1. [root@oldboy66 ssh]# sed -ir '13 iPort 52113nPermitRootLogin nonPermitEmptyPasswords nonUseDNS nonGSSAPIAuthenication no' sshd_config

重启生效:/etc/init.d/sshd restart(或者影响客商)或/etc/init.d/sshd reload(平滑重启)。

翻起初口:

netstat -lntup|grep sshd

1.1 修改yum源 epel源

curl -o /etc/yum.repos.d/CentOS-Base.repo

curl -o /etc/yum.repos.d/epel.repo

yum -y install vim lrzsz wget bash-completion.noarch  bash-completion-extras.noarch  dos2unix tree htop telnet pv

bash-completion  补全命令包

闭馆防火墙

[root@CentOS7 ~]# systemctl disable firewalld.service 

[root@CentOS7 ~]# systemctl stop firewalld.service 

关闭seliux

[root@Centos7 ~]# sed -i 's#enforcing#disabled#g'  /etc/selinux/config

Ssh优化远程连接 

vim  /etc/ssh/sshd_config

         Port 52113                                  #行使过量一千0的端口号

         PermitRootLogin no                          #不准root远程登陆

         PermitEmptyPasswords no                     #明确命令禁止空密码登陆

         UseDNS no                                   #不使用dns解析

         GSSAPIAuthentication no                     #连年慢的缓慢解决配置

重启生效systemctl restart sshd

普通客商—防火墙—外网调换机—高可用软件(keepalived)负载均衡、负载均衡(nginx/lvs/haproxy)—web服务器(nginx/apache)-数据库(MySQL/MongoDB/Oracle)、存款和储蓄(NFS/法斯特dFS/GFS/MFS)、备份(宝马7系sync 定期职分)—缓存(Redis/Memcached)

=========================================================================

选择sudo调整客户对系统命令的采纳权限

管理sudo命令:

visudo或vi /etc/sudoers,visudo越来越好。vi命令形式直接输入行数 gg到稳定的行数,展现行号:set nu,yy(复制) p(粘贴)复制当前行到下一行,shift a到最后处于编辑状态。

98 gg: 98 root ALL=(ALL) ALL

给oldboy授予root权限:

oldboy ALL=(ALL) ALL

oldboy ALL=(ALL) NOPASSWD:ALL(不提示输入密码)

用oldboy加多三个客商oldgirl:

  1. [oldboy@oldboy66 ~]$ sudo useradd oldgirl

  2. #输入oldboy密码

  3. [sudo] password for oldboy:

  4. #增添成功

  5. [oldboy@oldboy66 ~]$ tail -1 /etc/passwd

  6. oldgirl:x:501:501::/home/oldgirl:/bin/bash

给oldboy授予固定权限:

oldboy ALL=(ALL) /bin/touch,/usr/sbin/useradd

在意:须求命令的全路线,查看命令全路线which 命令,举例:

  1. [root@oldboy66 ~]# which useradd
  1. /usr/sbin/useradd

  2. [root@oldboy66 ~]# which touch

  1. /bin/touch

find查找:find / -type f -name "useradd"

whereis查找:whereis -b useradd

locate查找:locate useradd

境遇变量:

PATH系统路线变量,实行ls、cp等非内置命令时,系统会查找PATH里对应的门径是否存在,若无就告诉找不到该命令。当实行which cp来查阅命令所在路线的时候,相当于从PATH变量去探寻。

PATH变量的一时半刻更动export PATH="/tmp:$PATH",永世生效将下令放到/etc/profile下,使用source /etc/profile 使得马上见效。

1.2 提权客户oldboy

useradd oldboy

passwd oldboy

visudo

93 oldboy ALL=(ALL)     NOPASSWD: ALL

visudo -c 生效

运转人士—秘密通道(OpenVPN/VPN)—跳板机(Shell/JumpServer/CreazyEYE/GateONE)、批量管制(Ansible/SaltStack/pash)、监察和控制(Zabbix/Nagios cacti)

修改网卡配置

Linux粤语显示设置

翻看当前字符编码:

  1. [root@oldboy66 tmp]# cat /etc/sysconfig/i18n

  2. LANG="en_US.UTF-8"

  3. SYSFONT="latarcyrheb-sun16"

操作前先进行备份:cp /etc/sysconfig/i18n /etc/sysconfig/i18n.oldboy.二〇一六1205

  1. [root@oldboy66 sysconfig]# sed -i 's#LANG="en_US.UTF-8"#LANG="zh_CN.UTF-8"#g' /etc/sysconfig/i18n
  1. [root@oldboy66 sysconfig]# cat /etc/sysconfig/i18n

  2. LANG="zh_CN.UTF-8"

  3. SYSFONT="latarcyrheb-sun16"

  4. #立刻生效

  5. [root@oldboy66 sysconfig]# source /etc/sysconfig/i18n

  6. [root@oldboy66 sysconfig]# echo $LANG

  7. zh_CN.UTF-8

潜心:客户端字符集需改为UTF-8。

1.3 时间同步

echo '*/5 * * * * /usr/sbin/ntpdate ntp1.aliyun.com >/dev/null 2>&1' >> /var/spool/cron/root

网址的更新进程(代码上线流程)

# vim /etc/sysconfig/network-scripts/ifcfg-eno16777736

安装Linux服务器时间一齐

显示时间:date

修改时间:date –s "时间" hwclock

来得日历:cal

一块互联网时间:

  1. [root@oldboy66 tmp]# /usr/sbin/ntpdate time.nist.gov

定时任务执行同步:

  1. #每5分钟推行三次同步

  2. [root@oldboy66 tmp]# echo "*/5 * * * * /usr/sbin/ntpdate time.nist.gov >/dev/null 2>&1" >>/var/spool/cron/root

  3. [root@oldboy66 tmp]# crontab -l

  1. */5 * * * * /usr/sbin/ntpdate time.nist.gov >/dev/null 2>&1

上边二种方法是等价的:

/dev/null 空设备(黑洞)

错误和不利都输出到/dev/null:

1、1>/dev/null 2>/dev/null

2、1>/dev/null 2&1

3、&>/dev/null

1.4 主机名配置

临时 hostname     永久  /etc/hostname

 

hostnamectl set-hostname  主机名

cat /etc/hostname 

查看     hostnamectl

Bash   生效

办公开测量检验试境况

NAME=eno16777736

岁月同步架构

小框框时间一齐架构:

澳门新萄京官方网站 1

普及时间共同架构:

澳门新萄京官方网站 2

1.5 字符集

临时

[root@clsn ~]# echo $LANG

zh_CN.UTF-

永久

[root@clsn ~]# cat /etc/locale.conf

LANG="zh_CN.UTF-8"

[root@oldboyedu39 ~]# export LANG=en_US.UTF-8 ####修改

[root@oldboyedu39 ~]#  echo $LANG  ###查看

en_US.UTF-8

[root@oldboyedu39 ~]#

 

线上测验境遇

DEVICE=eno16777736

设置Linux暗中认可历史记录数

命令如下,注意此时的配置仅临时生效。

  1. #设置历史记录数5

  2. [root@oldboy66 ~]# HISTSIZE=5

把计划参数归入配置文件,使得永远生效。

  1. #安装极端超时时间

  2. [root@oldboy66 ~]# echo 'TMOUT=300' >>/etc/profile

  3. #安装历史记录数

  4. [root@oldboy66 ~]# echo 'HISTSIZE=5' >>/etc/profile

  5. #安装文件记录数cat ~/.bash_history

  1. [root@oldboy66 ~]# echo 'HISTFILESIZE=5' >>/etc/profile

TMOUT=10:连接的晚点时间调控变量。

HISTSIZE=5:命令行的历史记录数量变量。

HISTFILESIZE=10:历史记录文件的命令行数量变量(~/.bash_history)。

历史记录清空:history -c。

剔除钦定历史记录:history -d 10(删除10号历史记录)。

1.6 开机运营项优化

[root@kickstart ~]# systemctl list-unit-files|egrep "^ab|^aud|^kdump|vm|^md|^mic|^post|lvm"  |awk '{print $1}'|sed -r 's#(.*)#systemctl disable &#g'|bash

线上正式情形

TYPE=Ethernet

加大服务器文件叙述符

文件叙述符的概念

1、表示格局为整数数字(0——65535)。

2、进度使用的时候会攻陷文件汇报符(标记展开的公文)。

查看暗许文件陈说符

  1. [root@oldboy66 ~]# ulimit -n

  2. 1024

3、调解文件叙述符

方法一:

直接把ulimit -SHn 65535发令加入到/etc/rc.local,然后每回开机运转的时候生效。

  1. #一时生效

  2. [root@oldboy66 ~]# ulimit -SHn 65535

  1. [root@oldboy66 ~]# ulimit -n

  2. 65535

写入rc.local:

  1. cat >>/etc/rc.local<<EOF
  1. ulimit -HSn 65535

  2. ulimit -s 65535

  3. EOF

方法二:

在/etc/sercurity/limits.conf里面配备。

  1. [root@oldboy66 ~]# echo '* - nofile 65535' >>/etc/security/limits.conf

  2. [root@oldboy66 ~]# tail -1 /etc/security/limits.conf

  3. * - nofile 65536

1.从安装系统开始打算

ONBOOT=yes

调节基础参数文件/etc/sysctl.conf

vim编辑:shift g切换来文件结尾

优化参数:

  1. net.ipv4.tcp_fin_timeout = 2

  2. net.ipv4.tcp_tw_reuce = 1

  3. net.ipv4.tcp_tw_recycle = 1

  4. net.ipv4.tcp_syncookies = 1

  5. net.ipv4.tcp_keepalive_time = 600

  1. net.ipv4.ip_local_port_range = 4000 65000

  2. net.ipv4.tcp_max_syn_backlog = 16384

  1. net.ipv4.tcp_max_tw_buckets = 36000
  1. net.ipv4.route.gc_timeout = 100
  1. net.ipv4.tcp_syn_retries = 1

  2. net.ipv4.tcp_synack_retries = 1

  1. net.core.somaxconn = 16384

  2. net.core.netdev_max_backlog = 16384

  1. net.ipv4.tcp_max_orphans = 16384
  1. #以下参数是对iptables防火墙的优化,防火墙不开会提醒,能够忽略不理
  1. #net.nf_conntrack_max = 25000000
  1. #net.netfilter.nf_conntrack_tcp_timeout_established = 180

  2. #net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120

  3. #net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60

  4. #net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120

执行生效:sysctl -p

翻看互联网状态:netstat -an

设置中加多网卡

BOOTPROTO=none

隐敝Linux版本音信

调节Linux显示版本消息的文书

  1. [root@oldboy66 ~]# cat /etc/issue
  1. CentOS release 6.6 (Final)

  2. Kernel r on an m

  3.    

  4. [root@oldboy66 ~]# cat /etc/issue.net

  5. CentOS release 6.6 (Final)

  6. Kernel r on an m

清空那些多个公文就足以了。

eth0

NETMASK=255.255.255.0

锁定重视系统文件,幸免提权被曲解

命令:

  1. [root@oldboy66 ~]# chattr i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab

破除锁定:chattr -i

ip 10.0.0.210

GATEWAY=192.168.88.2

为grub菜单加密码

为grub菜单加密码的目标是堤防别人修改grub做基础等运营设置。

1、先用/sbin/grub-md5-crypt产生三个MD5密码串。

  1. [root@oldboy66 ~]# /sbin/grub-md5-crypt

  2. Password:

  3. Retype password:

  4. $1$T2zU4/$KmlABHIkQGczWjh1DdwWU.

2、修改grub.conf文件增加

password --md5 $1$T2zU4/$KmlABHIkQGczWjh1DdwWU.。

  1. [root@oldboy66 ~]# vim /etc/grub.conf

  2.   1 # grub.conf generated by anaconda

  1.   2 #

  2.   3 # Note that you do not have to rerun grub after making changes

  3.      to this file

  4.   4 # NOTICE: You have a /boot partition. This means that

  5.   5 # all kernel and initrd paths are relative to /boot/,

  6.      eg.

  7.   6 # root (hd0,0)

  8.   7 # kernel /vmlinuz-version ro root=/dev/sda3

  9.   8 # initrd /initrd-[generic-]version.img

  10.   9 #boot=/dev/sda

  11.  10 default=0

  12.  11 timeout=5

  13.  12 splashimage=(hd0,0)/grub/splash.xpm.gz

  14.  13 hiddenmenu

  15.  14 title CentOS 6 (2.6.32-504.el6.x86_64)

  16.  15 root (hd0,0)

  17.  16 kernel /vmlinuz-2.6.32-504.el6.x86_64 ro root=UUID=e89

  18.     62baa-4051-4832-b0ee-e27aa74f6374 rd_NO_LUKS rd_NO_LVM LANG=en

  19.     _US.UTF-8 rd_NO_MD SYSFONT=latarcyrheb-sun16 crashkernel=auto

  20.      KEYBOARDTYPE=pc KEYTABLE=us rd_NO_DM rhgb quiet

  21.  17 initrd /initramfs-2.6.32-504.el6.x86_64.img

留神:password要加在splashimage和title之间,不然只怕不见效。

netmask 24

DNS1=114.114.114.114

禁止Linux系统被ping

命令:

  1. [root@oldboy66 ~]# echo "net.ipv4.icmp_echo_ignore_all=1" >> /etc/sysctl.conf

  2. #立时生效

  3. [root@oldboy66 ~]# sysctl -p

gateway 10.0.0.254

DNS2=8.8.8.8

提高具备一级漏洞的软件版本

首先查占卜关软件的本子号

  1. [root@oldboy66 ~]# rpm -qa openssl openssh bash

  2. openssl-1.0.1e-30.el6.x86_64

  3. bash-4.1.2-29.el6.x86_64

  4. openssh-5.3p1-104.el6.x86_64

试行晋级已知漏洞的软件版本到新型。

  1. [root@oldboy66 ~]# yum install openssl openssh bash

DNS servers 223.5.5.5

IPADDR=192.168.88.100

配置yum源

翻开当前yum源

  1. [root@oldboy66 ~]# cat /etc/yum.repos.d/CentOS-Base.repo

布局Ali云的yum源

  1. wget -O /etc/yum.repos.d/CentOS-Base.repo

wget:下载,wget http://url;-O:下载到钦点路径并改名;--spider:爬虫,检查网址是还是不是好的,不会下载只是反省;-T(--timeout):钦定超时时间(--timeout=seconds);--tries:钦点重试的次数(--tries=2);-q(--quiet):后台下载,关闭输出;

总结:

1、不用root管理,以普通客户的名义通过sudo授权管理。

2、退换暗中认可的长距离连接SSH服务端口,禁止root客户远程连接,以至要改动为只监听内网IP。

3、定期自动更新服务器时间,使其和网络时间一齐。

4、配置yum更新域,从境内更新源下载安装软件包。

5、关闭SELinux及iptables(在生产场景中,要是有表面IP一般要展开)

6、调节文件呈报符的数目,进度及文件的开发都会成本文件陈说符。

7、定期自动清理邮件目录垃圾文件,防止inodes节点被占满。

8、精简并保存须要的开机自运转服务(如crond、sshd、network、rsyslog、stsstat)。

9、Linux内核参数优化/etc/sysctl.conf,推行sysctl -p 生效。

10、改动字符集,使其扶助普通话。

11、锁定入眼系统文件如/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow、/etc/inittab,处理后把chattr、lasttr改名。

12、清空/etc/issue、/etc/issue.net,去除系统及基础版本登陆前的显示屏展现。

13、清楚多余的系统虚构账号。

14、为grub菜单加密码。

15、禁止被ping。

16、升级漏洞软件。

   

less:按屏(空格、page up/page down)或按行(回车)查看文件。

more:按屏(空格)或按行(回车)查看文件,不能够向上翻。

eth1

=========================================================================

Linux目录结构

linux独有三个终端/(根),别的具有目录都在根下。根上边的装有目录是二个有档期的顺序的树状结构,像一颗倒挂着的大树。

  1. [root@oldboy66 ~]# tree -L 1 /
  1. /

  2. ├── bin

  3. ├── boot

  4. ├── dev

  5. ├── etc

  6. ├── home

  7. ├── lib

  8. ├── lib64

  9. ├── lost found

  10. ├── media

  11. ├── mnt

  12. ├── oldboy

  13. ├── opt

  14. ├── proc

  15. ├── root

  16. ├── sbin

  17. ├── selinux

  18. ├── srv

  19. ├── sys

  20. ├── tmp

  21. ├── usr

  22. └── var

tree:展现目录结构,-L:钦命展现多少层;-d:只突显目录。

linux的目录结交涉磁盘分区是分开的,能够自由组合。

/

├── bin    Essential command binaries

├── boot    Static files of the boot loader

├── dev    Device files

├── etc    Host-specific system configuration

├── home    User home directories(optional)

├── lib    Essential shared libraries and kernel modules

├── lib64

├── lost found

├── media

├── mnt    Mount point for mounting a filesystem temporarily

├── oldboy

├── opt    Add-on application software packages

├── proc    进度音讯及基础音信(cpu、硬盘分区、内部存款和储蓄器消息等)

├── root    Home directory for the root user(optional)

├── sbin    Essential system binaries

├── selinux

├── srv

├── sys

├── tmp    Temporary files

├── usr    Secondary hierarchy

└── var    Variable data

cat /proc/meminfo    内部存款和储蓄器消息

cat /proc/cpuinfo cpu信息

cat /proc/mounts     挂载消息

cat /proc/loadavg 负载(系统繁忙程度)

小结:

1、linux系统的有所目录时三个有档次的倒着的树状目录结构,/根是怀有目录的起源。

2、不一致的目录数据足以超过不一致的磁盘分区或分歧的磁盘设备。

/dev/ 设备目录

/etc/ 系统计划即服务配置文件、启动命令的目录

/proc 展现内核及经过新闻的设想文件系统

/tmp 一时文件目录

/home 普通客户家目录

/root 顶尖管理员的家目录

/var 变化的目录,一般是日记文件,cache的目录

/usr 顾客程序及数量、协助文件、二进制命令等的目录

/bin、/sbin、/usr/sbin 客商命令的目录

ip 172.16.1.210

配备本地-yum源

Linux主要目录路线

netmask 24

mkdir /etc/yum.repos.d/default

/etc/sysconfig/network-scripts/ifcfg-eth0:配置网络地址及GW等。

  1. [root@oldboy66 ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth0

  2. DEVICE=eth0 #物理设备名,eth1代表第二块网卡

  3. HWADDR=00:0c:29:a6:d7:cb #网卡的MAC地址,肆13个人(克隆后要删减)

  4. TYPE=Ethernet #以太网

  5. UUID=cd11ee91-579f-43be-9074-a14cabe2e0c6 #uuid独一客户标志(克隆后要删减)

  6. ONBOOT=yes #操纵网卡是还是不是开机运营

  1. NM_CONTROLLED=yes

  2. BOOTPROTO=dhcp #proto值:none,辅导时不行使左券;static,静态分配地址;bootp,使用BOOTP左券;dhcp,使用DHCP公约

  1. DNS2=202.106.0.20 #DNS把baidu.com形成baidu服务器IP。DNS域名和IP的解析工具

  2. DNS1=8.8.8.8

  3. USERCTL=no

  4. PEERDNS=yes

  5. IPV6INIT=no

IPADDR=10.0.0.7 #addr是IP地址

NETMASK=255.255.255.0 #子网掩码,划分互连网位和主飞机地方10.0.0.0/24

GATEWAY=10.0.0.254 #网关地址,路由器的地点

修改配置生效命令:

  1. [root@oldboy66 ~]# /etc/init.d/network restart #ONBOOT=yes

  2. [root@oldboy66 ~]# ifdown eth0 && ifup eth0 #关闭和开发银行

ifup:启动

ifdown:关闭

2.集结互联网景况

mv /etc/yum.repos.d/CentOS-* /etc/yum.repos.d/default

/etc/resolv.conf:DNS管理

  1. [root@oldboy66 ~]# cat /etc/resolv.conf

  2. ; generated by /sbin/dhclient-script

  1. search localdomain

  2. nameserver 8.8.8.8

  3. nameserver 202.106.0.20

小结:

1、客户端DNS能够在网卡配置文件里设置(ifcfg-eth0)。

2、客商端DNS也得以在/etc/resolv.conf里安装。

3、网卡里的装置DNS优先于/etc/resolv.conf。

网关都以10.0.0.254

vim /etc/yum.repos.d/local.repo

/etc/hosts:设定客户IP与域名的应和平解决析表

对应windows的文件C:WindowsSystem32driversetchosts。

  1. [root@oldboy66 ~]# cat /etc/hosts
  1. 127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4

  2. ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6

  3. 192.168.131.128 oldboy66

hosts在合营社里的效果:

1、开采、产品、测验等职员,用于通过正式的域名测验行生产品。

2、服务器之间的调用能够用域名(内部的DNS),方便迁移。

VMware里-编辑-设想网络编辑器-NAT设置-网关IP-10.0.0.254

[local]

/etc/sysconfig/network:修改机器名及网卡运行,网关等配备。

  1. [root@oldboy66 ~]# cat /etc/sysconfig/network

  2. NETWORKING=yes

  3. HOSTNAME=oldboy66

更换主机名:

1、vi /etc/sysconfig/network

2、hostname 主机名

並且修改。

调整面板网络和 Internet互联网连接-VMnet8-10.0.253

name=localsrc

澳门新萄京官方网站centos7最早优化,期中架构。/etc/fstab:设置文件系统挂载信息的公文,使得开机能够活动挂载磁盘分区

  1. [root@oldboy66 ~]# df –h #翻开磁盘挂载消息

  2. Filesystem Size Used Avail Use% Mounted on

  3. /dev/sda3 7.1G 1.4G 5.4G 21% /

  4. tmpfs 497M 0 497M 0% /dev/shm

  5. /dev/sda1 190M 27M 153M 15% /boot

   

  1. [root@oldboy66 ~]# cat /etc/fstab
  1. UUID=e8962baa-4051-4832-b0ee-e27aa74f6374 / ext4 defaults 1 1

  2. UUID=9782b8eb-4b2d-4919-b3b7-14ee46d04ae8 /boot ext4 defaults 1 2

  3. UUID=60b51f07-216b-4e38-9eee-d3de8d897e01 swap swap defaults 0 0

  4. tmpfs /dev/shm tmpfs defaults 0 0 #挂载的设施 挂载点    挂载文件系统类型    挂载选项(读、写)是否系统备份 是不是开机自检查

  5. devpts /dev/pts devpts gid=5,mode=620 0 0

  6. sysfs /sys sysfs defaults 0 0

  7. proc /proc proc defaults 0 0

  8. [root@oldboy66 ~]#

fsck:磁盘检查(不要检查好磁盘),卸载的境况

挂载形式:

1、命令挂载

mount -t ext4 -o noexec /dev/sda1 /mnt

2、/etc/fstab

   

测验手动挂载:

1、创造一个设想的块设备。

dd if=/dev/zero of=/dev/sdb1 bs=4906 count=100

2、格式化

mkfs.ext4 /dev/sdb1

3、挂载

mount -t ext4 -o loop,noatime,noexec /dev/sda1 /mnt

4、查看

df -h

先是列挂载的设施能够是设备名或UUID、磁盘标签。

fstab出标题,修复情势:

1、开机提醒输入密码修复。

2、救援情势rescue修改/etc/fatab只读状态,mount -o rw,remount /。

2.5服务器ip地址规划

baseurl=file:///mnt

/etc/rc.local:用于存松手机自运转程序命令的文书

让贰个主次开机运营:

1、chkconfig(/etc/init.d/sshd)。

2、放入/etc/rc.local。

选料提出:/etc/rc.local,专业中把/etc/rc.local作为服务器档案文件,全部程序开机运维归入/etc/rc.local并加注释。

rc.local与fstab区别:rc.local在系统运行达成最后加载。

NFS互联网文件系统挂载是,网卡还没运转,就早已加载fstab。(mount -t nfs 10.0.0.7:/data /mnt)

服务器表达       外网IP(NAT) 内网IP(LAN区段/Host-only) 主机名规划

enabled=1

/etc/inittab:设定系统运转时init进度将把系统设置成什么样的runlevel运维品级及加载相关的等第对应运营文件设置

Linux运营进度:

澳门新萄京官方网站 3

1、开机BIOS自检

2、MBR引导

硬盘0柱面0磁盘1扇区的前446byte。

3、grub携带菜单

cat /etc/grub.conf

4、加载内核kernel

5、启动init进程

ps -ef|grep init

A1-nginx负载服务器01  10.0.0.5/24 172.16.1.5/24 lb01

gpgcheck=0

/etc/init.d

A1-nginx负载服务器02  10.0.0.6/24      172.16.1.6/24 lb02

保留退出vim

/etc/profile:系统全局情状变量永世生效的安排文件

B1-nginx web服务器    10.0.0.7/24 172.16.1.7/24 web02

mount /dev/cdrom /mnt/

/etc/profile.d:登陆后施行的剧本所在地

B2-nginx web服务器    10.0.0.8/24 172.16.1.8/24 web01

yum clean all

/etc/motd:登陆后显得的字符串

C3-mysql数据库服务器  10.0.0.51/44 172.16.1.551%4 db01

yum makecache

/etc/issue:记录客户登陆前体现的种类版本等新闻

  1. [root@oldboy66 ~]# cat -n /etc/issue
  1.      1 CentOS release 6.6 (Final)
  1.      2 Kernel r on an m

C1-NFS存款和储蓄服务器      10.0.0.355%4 172.16.1.3二分之一4 nfs01

=========================================================================

/etc/group:设定客户的组名与相关音信

C2-rsync存款和储蓄服务器    10.0.0.4一半4 172.16.1.452%4 /

长久挂载CD

/etc/passwd:账号音信文件

X-管理服务器   10.0.0.661%4 172.16.1.6一半4 m01

vim /etc/fstab

/etc/shadow:密码消息文件

3.种类优化

/dev/cdrom /mnt iso9660 defaults 0 0

/etc/gshadow:组密码音信文件

#负有服务器模板机的为主优化

=========================================================================

/etc/sudoers:可以进行使用sudo命令的配备文件

visudo -c:检查语法

yum remove tree -y:yum删除(会去除重视,慎用)

cp /etc/hosts{,.bak}

一声令下自动补全

/var/log/messages:系统日志,自动轮询按周(rsyslog)

cat >/etc/hosts<<EOF

# yum install -y bash-completion

/var/log/secure:安整天志,SSH连接日志

127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4

=========================================================================

dmesg:内核打字与印刷的错误音讯,比方硬件故障

::1 localhost localhost.localdomain localhost6 localhost6.localdomain6

命令行普通话

/var/spool/cron/root:定期任务crond配置文件

172.16.1.5 lb01

# localectl  set-locale LANG=zh_CN.utf8

/proc/mounts:设备挂载音讯与df -h类似

172.16.1.6 lb02

=========================================================================

172.16.1.7 web02

安装vim

172.16.1.8 web01

# yum install -y vim

172.16.1.51 db01 db01.etiantian.org

=========================================================================

172.16.1.31 nfs01

关SELinux和防火墙

172.16.1.41 backup

# getenforce

172.16.1.61 m01

# setenforce 0

EOF

# vim /etc/sysconfig/selinux

#0、更改yum源

---SELINUX=disabled

mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup

# systemctl stop firewalld.service

mv /etc/yum.repos.d/epel.repo /etc/yum.repos.d/epel.repo.backup

# systemctl disable firewalld.service

mv /etc/yum.repos.d/epel-testing.repo /etc/yum.repos.d/epel-testing.repo.backup

=========================================================================

wget -O /etc/yum.repos.d/CentOS-Base.repo

安装本地时间

wget -O /etc/yum.repos.d/epel.repo

# date -s '2017-05-24 13:26:10'

#yum makecache

# clock -w                        >>> 将改成写入到cmos中

#1、关闭selinuxsed -i.bak 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config

=========================================================================

grep SELINUX=disabled /etc/selinux/config

制作周期陈设职务(同步时间)

setenforce 0

202.120.2.101  >>>(上海浙大互联网宗旨NTP服务器地址)

getenforce

# systemctl status crond.service

#2、关闭iptables

# crontab -e

/etc/init.d/iptables stop

# */5 * * * * ntpdate 202.120.2.101

/etc/init.d/iptables stop

=========================================================================

chkconfig iptables off

yum install -y postfix

#3、精简开机自运营服务

yum install -y mailx

export LANG=en

布局好邮箱服务(请看另外笔记)

chkconfig|egrep -v "crond|sshd|network|rsyslog|sysstat"|awk '{print

=========================================================================

"chkconfig",$1,"off"}'|bash

yum install -y createrepo

chkconfig --list|grep 3:on

=========================================================================

#4、提权oldboy可以sudo

yum install -y net-tools

useradd oldboy

=========================================================================

echo 123456|passwd --stdin oldboy

mkdir /bao

cp /etc/sudoers /etc/sudoers.ori

echo "oldboy ALL=(ALL) NOPASSWD: ALL " >>/etc/sudoers

visudo -c

#5、爱尔兰语字符集

cp /etc/sysconfig/i18n /etc/sysconfig/i18n.ori

echo 'LANG="en_US.UTF-8"' >/etc/sysconfig/i18n

source /etc/sysconfig/i18n

echo $LANG

#6、时间同步

echo '#time sync by lidao at 2017-03-08' >>/var/spool/cron/root

echo '*/5 * * * * /usr/sbin/ntpdate ntp1.aliyun.com >/dev/null 2>&1' >>/var/spool/cron/root

crontab -l

#8、加大文件汇报

echo '* - nofile 65535 ' >>/etc/security/limits.conf

tail -1 /etc/security/limits.conf

#9、内核优化

cat >>/etc/sysctl.conf<<EOF

net.ipv4.tcp_fin_timeout = 2

net.ipv4.tcp_tw_reuse = 1

net.ipv4.tcp_tw_recycle = 1

net.ipv4.tcp_syncookies = 1

net.ipv4.tcp_keepalive_time = 600

net.ipv4.ip_local_port_range = 4000 65000

net.ipv4.tcp_max_syn_backlog = 16384

net.ipv4.tcp_max_tw_buckets = 36000

net.ipv4.route.gc_timeout = 100

net.ipv4.tcp_syn_retries = 1

net.ipv4.tcp_synack_retries = 1

net.core.somaxconn = 16384

net.core.netdev_max_backlog = 16384

net.ipv4.tcp_max_orphans = 16384

#以下参数是对iptables防火墙的优化,防火墙不开会提示,能够忽略不理。

net.nf_conntrack_max = 25000000

net.netfilter.nf_conntrack_max = 25000000

net.netfilter.nf_conntrack_tcp_timeout_established = 180

net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120

net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60

net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120

EOF

sysctl -p

#10、安装任何小软件

yum install lrzsz nmap tree dos2unix nc telnet sl -y

#11、 ssh连接速度慢优化sed -i.bak 's@#UseDNS yes@UseDNS no@g;s@^GSSAPIAuthentication yes@GSSAPIAuthentication

no@g' /etc/ssh/sshd_config

/etc/init.d/sshd reload

4.学会克隆虚构机

****仿造前盘算

1清2删

1清

>/etc/udev/rules.d/70-persistent-net.rules

2删

sed -ri '/UUID|HWADDR/d' /etc/sysconfig/network-scripts/ifcfg-eth*

sed -i '/IPADDR/s#210$#41#g' /etc/sysconfig/network-scripts/ifcfg-eth*

sed -i "s#$(hoastname)#backup#g" /etc/sysconfig/network

/etc/init.d/network restart

本文由澳门新萄京官方网站发布于澳门新萄京官方网站,转载请注明出处:澳门新萄京官方网站centos7最早优化,期中架构

关键词: