Linux服务器 CentOS 6系列最小化安装优化脚本详解01————yum优化、优化启动服务、调整TTY数量、调整TCP/IP网络参数
前言
当最小化安装CentOS 6系列时,在使用过程中,可以基于性能和安全做一些优化,篇幅较多,这里我分篇幅写,希望各位大佬批评指正。
完整的脚本晚些时候会上传至github的。
yum优化
CentOS自带的yum源在国内使用,速度十分缓慢。一般运维人员可以将其更换为国内的yum源。使用网易源或者阿里云都是可以。这里我使用网易源。
详细步骤:
wget http://mirrors.163.com/.help/CentOS6-Base-163.repo
cd /etc/yum.repos.d/
mv CentOS-Base.repo CentOS-Base.repo.bak
mv CentOS6-Base-163.repo CentOS-Base.repo
yum clean all
yum makecache #重建yum缓存
# yum update #升级Linux系统(系统升级的操作根据各自业务的需求进行选择,部分公有云平台不建议升级)
企业版 Linux 附加软件包(以下简称 EPEL)是一个由特别兴趣小组创建、维护并管理的,针对 红帽企业版 Linux(RHEL)及其衍生发行版(比如 CentOS、Scientific Linux、Oracle Enterprise Linux)的一个高质量附加软件包项目。
增加epel源,详细操作步骤:
(1)下载rpm文件进行安装,命令如下:
cd /usr/local/src #用户存放源码程序的位置,可以任意放置
wget http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
rpm -ivh epel-release-6-8.noarch.rpm
(2)安装yum-priorities源优先级工具
Linux 发行版比较多,同时还有很多个人或组织维护了某些特定用途的安装/升级源。Yum Priorities 插件可以用来强制保护源。它通过给各个源设定不同的优先级,使得系统管理员可以将某些源(比如 Linux 发行版的官方源)设定为最高优先级,从而保证系统的稳定性(同时也可能无法更新到其它源上提供的软件最新版本)。
用来给yum源分优先级的。比如你在centos下有centos,epel,rpmfusion三个yum源。三个yum源中可能含有相同的软件,补丁之类的东西。yum管理器为了分辨更新系统或者安装软件的时候用那个yum源的软件所以才有这么个东西。如果说,设置centos官方的yum源优先级最高,epelyum源第二,rpmfusion第三。(用1到99来表示,1最高)那在安装程序的时候,先寻找centos的yum源,如果源里面有要的程序,那就停止寻找,直接安装找到的,如果没有找到,就依次寻找epel和rpmfusion的源。
如果说三个yum源都含有同一个软件,那就安装优先级最高的yum源的。
添加yum源优先级需要在对于的repo文件末尾添加:priority=优先级数字
命令如下:
yum install yum-priorities
如果要开启yum源的优先级功能,就要先确保priorities.conf文件配置正确。
[root@private src]# cat /etc/yum/pluginconf.d/priorities.conf
[main]
enabled = 1
关闭不必要的服务
众所周知,服务越少,系统占用的资源就会越少,所以应当关闭不必要的服务。这样可以极大的节省内存和CPU资源占用。
首先查看系统中存在哪些已经启动了的服务,查看命令:ntsysv
使用该命令会出现Linux字符图形显示目前已经自启动的服务。
服务器根据业务所需进行调整,列出几个需要启动的服务:
- crond:自动计划任务
- network:Linux系统的网络服务
- sshd:OpenSSH服务器守护进程
- rsyslog:Linux的日志系统服务(CentOS5.8以下叫做syslog)
关闭不必要的TTY
需要修改"/etc/init/start-ttys.conf"文件
查看该文件内容:
[root@private ~]# cat /etc/init/start-ttys.conf
#
# This service starts the configured number of gettys.
#
# Do not edit this file directly. If you want to change the behaviour,
# please create a file start-ttys.override and put your changes there.
start on stopped rc RUNLEVEL=[2345]
env ACTIVE_CONSOLES=/dev/tty[1-6]
env X_TTY=/dev/tty1
task
script
. /etc/sysconfig/init
for tty in $(echo $ACTIVE_CONSOLES) ; do
[ "$RUNLEVEL" = "5" -a "$tty" = "$X_TTY" ] && continue
initctl start tty TTY=$tty
done
end script
这段代码使init打开了6个控制台,可分别用ALT+F1到ALT+F6进行访问。此6个控制台默认都驻留在内存中,可以使用ps aux命令查看。
[root@private ~]# ps aux | grep tty | grep -v grep
root 1582 0.0 0.0 4064 548 tty1 Ss+ 12:58 0:00 /sbin/mingetty /dev/tty1
root 1584 0.0 0.0 4064 548 tty2 Ss+ 12:58 0:00 /sbin/mingetty /dev/tty2
root 1586 0.0 0.0 4064 548 tty3 Ss+ 12:58 0:00 /sbin/mingetty /dev/tty3
root 1588 0.0 0.0 4064 548 tty4 Ss+ 12:58 0:00 /sbin/mingetty /dev/tty4
root 1590 0.0 0.0 4064 548 tty5 Ss+ 12:58 0:00 /sbin/mingetty /dev/tty5
root 1592 0.0 0.0 4064 552 tty6 Ss+ 12:58 0:00 /sbin/mingetty /dev/tty6
[root@private ~]#
事实上没有必要使用这么多,可以关闭不用的进程,通常保留两个控制台即可。
需要修改的操作流程:
1.打开"/etc/init/start-ttys.conf",其中有:"env ACTIVE_CONSOLES=/dev/tty[1-6]"
需要将其修改为:"env ACTIVE_CONSOLES=/dev/tty[1-2]"
2.打开"/etc/sysconfig/init "文件,其中有:"ACTIVE_CONSOLES=/dev/tty[1-6]",将其修改为
"ACTIVE_CONSOLES=/dev/tty[1-2]"
可以使用sed命令直接修改:
sed -i "/env ACTIVE/ s/6/2/" /etc/init/start-ttys.conf
sed -i "/ACTIVE_CONSOLES/ s/6/2/" /etc/sysconfig/init
修改完成后,需要重启机器。
调整TCP/IP网络参数
调整TCP/IP网络参数,可以加强对抗SYN Flood的能力。
SYN Flood是一种广为人知的DoS(拒绝服务攻击)是DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。
从防御角度来说,有几种简单的解决方法:第一种是缩短SYN Timeout时间;第二种方法是设置SYN Cookie;
net.ipv4.tcp_syncookies = 1
表示开启SYN Cookies。当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击,默认为 0,表示关闭。
使用命令:
[root@private shell]# echo "net.ipv4.tcp_syncookies = 1" >> /etc/sysctl.conf
[root@private shell]# sysctl -p
