Linux操作系統優(yōu)化及安全配置

一、關(guān)于優(yōu)化

說(shuō)起優(yōu)化，其實(shí)最好的優(yōu)化就是提升硬件的配置，例如提高cpu的運算能力，提高內存的容量，個(gè)人認為如果你考慮升級硬件的話(huà)，建議優(yōu)先提高內存的容量，因為一般服務(wù)器應用，對內存的消耗使用要求是最高的。當然這都是題外話(huà)了。

這里我們首要討論的，是在同等硬件配置下(同一臺服務(wù)器，不提升硬件的情況下)對你的系統進(jìn)行優(yōu)化。

作為系統管理員，我認為，首先我們要明確一個(gè)觀(guān)點(diǎn)：在服務(wù)器上作任何操作，升級和修改任何配置文件或軟件，都必須首要考慮安全性，不是越新的東西就越好，這也是為什么linux管理感覺(jué)上和windows有所不同的地方，windows首先推薦大家去使用它的最新版本軟件和操作系統，其實(shí)我個(gè)人認為這是一種商業(yè)行為，作為從系統管理上來(lái)講，這是很不好的，使用新的軟件和系統可能帶來(lái)新的問(wèn)題，有些甚至是致命的。

因此，作為管理，我們還是應該考慮穩定的長(cháng)期使用的軟件版本來(lái)作為我們的版本，具體的好處我就不多說(shuō)了。相信作為管理員的你應該知道的。

其實(shí)個(gè)人使用的linux最直接的一個(gè)優(yōu)化就是升級內核，自己編譯的內核是根據自己的系統編譯而來(lái)，將得到最大的性能和最小的內核。

但是，服務(wù)器就不太一樣了，當然我們也希望每一臺服務(wù)器都是自己手工編譯的內核，高效而精巧。但是實(shí)際和愿望是有差距的，試想一下，如果你管理100來(lái)臺linux主機，而每一臺也許配置都不一樣，那編譯內核的一個(gè)過(guò)程將是一個(gè)浩大工程，而且從實(shí)際考慮，工作量大得難以想象。我想你也不會(huì )愿意做這種事情吧。因此，個(gè)人建議，采用官方發(fā)布的內核升級包是很好的選擇。

首先，我們對新安裝的系統，將做一系列升級，包括軟件和內核，這是很重要的步驟，(這方面的詳細情況歡迎察看我另一篇關(guān)于升級方面的文章)。

在升級好所有軟件后，基本的防火墻和配置都做好以后，我們開(kāi)始優(yōu)化一些細節配置，如果你是老系統，那么在作本問(wèn)題及的一些操作和優(yōu)化你系統之前，務(wù)必被備份所有數據到其他介質(zhì)。

1、虛擬內存優(yōu)化

首先查看虛擬內存的使用情況，使用命令

#free

查看當前系統的內存使用情況。

一般來(lái)說(shuō)，linux的物理內存幾乎是完全used.這個(gè)和windows非常大的區別，它的內存管理機制將系統內存充分利用，并非windows無(wú)論多大的內存都要去使用一些虛擬內存一樣。這點(diǎn)需要注意。

Linux下面虛擬內存的默認配置通過(guò)命令

#cat/proc/sys[img]file:///C:DOCUME~1ADMINI~1LOCALS~1Temp[LC3U)F{0XCAB)LKNIT0K@G.gif[/img]m/freepages

可以查看，顯示的三個(gè)數字是當前系統的：最小內存空白頁(yè)、最低內存空白頁(yè)和最高內存空白。

注意，這里系統使用虛擬內存的原則是：如果空白頁(yè)數目低于最高空白頁(yè)設置，則使用磁盤(pán)交換空間。當達到最低空白頁(yè)設置時(shí)，使用內存交換(注：這個(gè)是我查看一些資料得來(lái)的，具體應用時(shí)還需要自己觀(guān)察一下，不過(guò)這個(gè)不影響我們配置新的虛擬內存參數)。

內存一般以每頁(yè)4k字節分配。最小內存空白頁(yè)設置是系統中內存數量的2倍;最低內存空白頁(yè)設置是內存數量的4倍;最高內存空白頁(yè)設置是系統內存的6倍。這些值在系統啟動(dòng)時(shí)決定。

一般來(lái)講在配置系統分配的虛擬內存配置上，我個(gè)人認為增大最高內存空白頁(yè)是一種比較好的配置方式，以1G的內存配置為例：

可將原來(lái)的配置比例修改為：

204840966444

通過(guò)命令

#echo“204840966444”>/proc/sys[img]file:///C:DOCUME~1ADMINI~1LOCALS~1Temp[LC3U)F{0XCAB)LKNIT0K@G.gif[/img]m/freepages

因為增加了最高空白頁(yè)配置，那么可以使內存更有效的利用。

2、硬盤(pán)優(yōu)化

如果你是SCsi硬盤(pán)或者是ide陣列，可以跳過(guò)這一節，這節介紹的參數調整只針對使用ide硬盤(pán)的服務(wù)器。

我們通過(guò)hdparm程序來(lái)設置IDE硬盤(pán)，使用DMA和32位傳輸可以大幅提升系統性能。使用命令如下：

#/sbinfile:///C:DOCUME~1ADMINI~1LOCALS~1TempMNZG)S@Y~O64{]B~UL$X2KN.gifparm-c1/devfile:///C:DOCUME~1ADMINI~1LOCALS~1TempMNZG)S@Y~O64{]B~UL$X2KN.gifa

此命令將第一個(gè)IDE硬盤(pán)的PCI總線(xiàn)指定為32位，

使用-c0參數來(lái)禁用32位傳輸。

在硬盤(pán)上使用DMA,使用命令：

#/sbinfile:///C:DOCUME~1ADMINI~1LOCALS~1TempMNZG)S@Y~O64{]B~UL$X2KN.gifparm-d1/devfile:///C:DOCUME~1ADMINI~1LOCALS~1TempMNZG)S@Y~O64{]B~UL$X2KN.gifa

關(guān)閉DMA可以使用-d0的參數。

更改完成后，可以使用hdparm來(lái)檢查修改后的結果，使用命令：

#/sbinfile:///C:DOCUME~1ADMINI~1LOCALS~1TempMNZG)S@Y~O64{]B~UL$X2KN.gifparm-t/dev/had

為了確保設置的結果不變，使用命令：

#/sbinfile:///C:DOCUME~1ADMINI~1LOCALS~1TempMNZG)S@Y~O64{]B~UL$X2KN.gifparm-k1/devfile:///C:DOCUME~1ADMINI~1LOCALS~1TempMNZG)S@Y~O64{]B~UL$X2KN.gifa

Hdparm命令的一些常用的其他參數功能

-g顯示硬盤(pán)的磁軌，磁頭，磁區等參數。

-i顯示硬盤(pán)的硬件規格信息，這些信息是在開(kāi)機時(shí)由硬盤(pán)本身所提供。

-I直接讀取硬盤(pán)所提供的硬件規格信息。

-p設定硬盤(pán)的PIO模式。

-Tt評估硬盤(pán)的讀取效率和硬盤(pán)快取的讀取效率。

-u0或1>在硬盤(pán)存取時(shí)，允許其他中斷要求同時(shí)執行。

-v顯示硬盤(pán)的相關(guān)設定。

3、其他優(yōu)化

關(guān)閉不需要的服務(wù)，關(guān)于系統自動(dòng)啟動(dòng)的服務(wù)，網(wǎng)上有很多資料，在此我就不贅述了;

二、關(guān)于安全

1、安全檢查

作為一個(gè)系統管理員來(lái)說(shuō)，定期對系統作一次全面的安全檢查很重要的，最近遇到一些朋友來(lái)信說(shuō)出現了一些莫名其妙的問(wèn)題，例如最大的一個(gè)問(wèn)題就是明顯感覺(jué)網(wǎng)絡(luò )服務(wù)緩慢，這極有可能是被攻擊的現象。實(shí)踐證明，無(wú)論是那種系統，默認安裝都是不安全的，實(shí)際不管你用windows也好，linux,bsd或其他什么系統，默認安裝的都有很多漏洞，那怎么才能成為安全的系統呢，這正是我們系統管理人員需要做的事情。配置配置再配置。任何系統，只要細心的配置，堵住已知的漏洞，可以說(shuō)這個(gè)系統是安全的，其實(shí)并非很多朋友說(shuō)的那樣，安裝了系統，配置了防火墻，安裝了殺毒軟件，那么就安全了，其實(shí)如果對系統不作任何安全設置，那就等于向黑客敞開(kāi)一扇紙做的大門(mén)，數十分鐘就能完全控制!