study-5系统优化

一，最小化原则

1，安装系统最小化原则，能不装则不用装

2，开启程序服务也是最小化原则

3，操作最小化原则

4，登录最小化原则（SSH登录用非root登录）

5，权限最小化

6，参数合理，不要最大化

二，更改SSH服务远程登录的配置

1， /etc/ssh/sshd_config  头部  增加

#added by users start

Port 52113   #修改默认连接端口

PermitRootLogin no  #不允许root通过SSH连接

PermitEmptyPasswords no  #不允许空密码

UseDNS no

GSSAPIAuthentication no  # 提高SSH远程连接速度

#added by users end

/etc/init.d/sshd restart/reload

2，普通用户转为root的方法：

su - root  ：改朝换代

或sudo su - root：让普通用户可以拥有指定的root的权限，普通用户的角色没变，类似root给了普通用户一把尚方宝剑

（99gg: VI 编辑器快速定位到98行）

（yy: 复制 ； p:粘接）

visudo == vi /etc/sudoers  (不建议直接改sudoers)

用户（%用户组）   机器=（授权哪个角色的权利，多个用逗号分割）

visudo : 编辑   oldboy  ALL=(ALL)       NOPASSWD: ALL

sudo su - /  sudo useradd  : 就不需要加密码了  （不告诉root密码给A用户，但是A用户可以不输入root密码的情况下，切换到root用户或执行root操作）

3，查看环境变量：echo $PATH;

临时设置环境变量：PATH=/xxxx:$PATH
永久设置环境变量：echo ‘PATH=/xxx/:$PATH’ >> /etc/profile;    source /etc/profile : 让profile马上全局生效

或普通用户生效编辑：~/.bash_profile 或 ~/.bashrc

netstat -lntup | grep 52113  （lsof -i :52113 ）: 查看网络

        

4，隐藏系统版本信息：

cat /etc/issue

> /etc/issue  或 cat  /dev/null > /etc/issue           ： /dev/null   黑洞

5，锁定系统关键文件，防止被黑客攻击 ： 

加锁：chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab      （root用户也不能编辑那些文件）

解锁：chattr -i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab        （可以编辑了）

修改chattr 命令名称为oldboy1，防止黑客猜中： mv /usr/bin/chattr /usr/bin/oldboy1 , 将来就用oldboy1 +i xxx 

查看文件是否加锁：

[root@moban ~]# lsattr /etc/passwd
----i--------e- /etc/passwd                                       ：     有i参数表示加锁了

6，LINUX基础优化内容：

1）不用root，添加普通用户，通过sudo授权管理

2）更改默认的远程连接SH服务端口及禁止root用户远程连接

3）定时自动更新服务器时间

4）配置yum更新源，从国内更新源下载安装rpm包

5）关闭SELINUX（vim /etc/selinux/config）及iptables（iptables工作场景如果有外网IP一般要打开，高并发除外）

6）调整文件描述符的数量

7）定时自动清理/var/spool/clientmquene/目录垃圾文件，防止inodes（df -i查看）节点被占满（centos 6.x 默认没有sendmail，因此可以不配）

8）精简开机参数优化（crond , sshd  ,  network ,  syslog/rsyslog）（ for n in `chkconfig --list|grep "3:on"|awk '{print $1}'|grep -vE "sshd|rsyslog|crond|network"`; do chkconfig $n off; done;）

9）linux内核参数优化 /etc/sysctl.conf，sysctl -p生效

10）更改字符集，支持中文，但建议还是用英文字符集，防止乱码

11）锁定关键系统文件(chattr +i  xxx）