Centos 7 操作系统的优化项

第1章 优化的第一阶段

以下列出的是一些优化项，并不是说得按照这个顺序来一项一项的优化，你得根据你的场景、你的需求以及你对当前操作系统的梳理。并且有些优化项不是千遍一律的。

01 更改yum源

1. ### 更改base源为阿里云的源
2. curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
4. ### 更改epel源
5. yum install -y epel-release

复制代码

02 安装常用工具

1. yum install -y \
2. tree telnet lrzsz wget ntpdate vim nc namp dos2unix tcpdump pstree expect sshpass elinks unzip psmisc \
3. lsof net-tools htop iproute bridge-utils \
4. bind-utils nscd \
5. gcc gcc-c++ make cmake libaio zlib-devel pcre-devel \
6. psmisclsof sysstat yum-utils

复制代码

03 清空系统版本显示

1. >/etc/issue
2. >/etc/issue.net

复制代码

04 关闭selinux

1. sed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/selinux/config
2. setenforce 0

复制代码

05 关闭firewalld防火墙

1. systemctl stop firewalld.service # 临时停止firewalld服务
2. systemctl disable firewalld.service # 不让其开机自启动
3. systemctl mask firewalld.service # 不让其启动和设置开机自启动

复制代码

06 让用户密码永不过期

1. cat >>/etc/login.defs<<EOF
2. PASS_MAX_DAYS 99999
3. PASS_MIN_DAYS 0
4. PASS_MIN_LEN 5
5. PASS_WARN_AGE 7
6. EOF

复制代码

07 命令行及命令行文件对历史操作的记录

1. echo "export HISTSIZE=10" >>/etc/bashrc # 用history只能看到最近操作的10条命令记录
2. echo "export HISTFILESIZE=10" >>/etc/bashrc # 历史文件中只保留最近命令行操作的10条命令记录
3. source /etc/bashrc

复制代码

08 不记录命令行以空格开头的操作记录

1. echo "HISTCONTROL=ignorespace" >>/etc/bashrc
2. source /etc/bashrc

复制代码

09 给危险命令rm做别名

1. echo "alias rm='echo Do not use the rm command'" >>/etc/bashrc
2. source /etc/bashrc

复制代码

10 设置支持中文字符集

1. echo "LANG="zh_CN.UTF-8"" >/etc/locale.conf

复制代码

11 更改/etc/rc.d/rc.local文件权限744

1. chmod 744 /etc/rc.d/rc.local

复制代码

12 校准和更新操作系统的时间

初次更新和校准系统时间

1. ## 创建/etc/sysconfig/clock文件
2. cat >>/etc/sysconfig/clock <<EOF
3. ZONE="Asia/Shanghai"
4. UTC=false
5. ARC=false
6. EOF
8. ## 强制让其与/etc/localtime文件进行软链接
9. ln -sf /usr/share/zoneinfo/Asia/Shanghai /etc/localtime
11. ## 让其与阿里云的时间服务器进行同步一次
12. ntpdate ntp1.aliyun.com
14. ## 设置硬件时间和系统时间一致并校准
15. /sbin/hwclock --systohc
16. hwclock --show

复制代码

系统定时更新系统时间

定时更新Linux操作系统的系统时间

13 调整swap交换页面

1. ## 优化的命令
2. chattr -i /etc/sysctl.conf
3. echo "vm.swappiness=10" >>/etc/sysctl.conf
4. sysctl -p
6. # 我这里是让其当物理内存使用到90%时,才使用swap交换分区
7. # 其实当服务器的物理内存用到80%的时候就要进行报警了;
10. ## 对应的文件(还没有执行上面的命令哈)和说明
11. [root@node31 ~]# cat /proc/sys/vm/swappiness
12. 30
13. # 不同的操作系统这个值是不一样的哈,oracle linux是60,我这里是CentOS linux；
14. # 30的意思是：当服务器的物理内存被用到100%-30%=70%时,就让其使用swap交换页面(分区)了
15. # 如果设置为0,则表示不使用swap交换页面(分区)

复制代码

14 防止Cannot allocate memory(无法分配内存)

值为不超过总内存的1%即可，我这里设置的是512M，min_free_kbytes表示强制 Linux 系统最低保留的空闲内存(Kbytes)，如果系统可用内存低于设定的 min_free_kbytes 值，则默认系统启动 oom-killer 或强制重启。具体行为由内核参数 vm.panic_on_oom 值决定：
若 vm.panic_on_oom=0(默认)，则系统会提示 OOM，并启动 oom-killer 杀掉占用最高内存的进程。
若 vm.panic_on_oom =1，则系统会自动重启。

1. chattr -i /etc/sysctl.conf
2. echo "vm.min_free_kbytes=524288" >>/etc/sysctl.conf
3. sysctl -p

复制代码

14 调整limit限制

1. ## 这是修改全局下
2. cat >>/etc/security/limits.conf<<EOF
3. #### memlock(max locked memory)
4. #### cpu(cpu time)
5. * soft memlock unlimited
6. * hard memlock unlimited
7. * soft cpu unlimited
8. * hard cpu unlimited
10. ### open files(nproc\nofile)
11. * soft nproc 102431
12. * hard nproc 102431
13. * soft nofile 102431
14. * hard nofile 102431
17. ####
18. * soft stack 65536
19. * hard stack 65536
21. ####
22. * soft core unlimited
23. * hard core unlimited
24. EOF
26. ## 调整可以 运行的最大并发进程数
27. echo " * - nproc unlimited" >/etc/security/limits.d/20-nproc.conf
29. echo "session required pam_limits.so" >>/etc/pam.d/login
31. ## 调整sshd服务,当我们用ssh客户端工具连接后,才会生效
32. echo "UsePAM yes" >>/etc/ssh/sshd_config
33. echo "UseLogin yes" >>/etc/ssh/sshd_config
34. systemctl restart sshd

复制代码

15.创建普通用户,让其可以su到超级用户

1. chattr -i /etc/passwd /etc/shadow /etc/group /etc/gshadow
2. useradd chenliang -G wheel
3. echo "chenliang123456"|passwd --stdin chenliang
4. chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow

复制代码

17.ssh服务优化

1. ## 更改firewalld防火墙的ssh服务的端口为921
2. sed -i 's#22#921#g' /usr/lib/firewalld/services/ssh.xml
4. ## ssh服务的优化如下
5. cat >>/etc/ssh/sshd_config<<EOF
6. Port 921
7. PermitRootLogin no
8. PermitEmptyPasswords no
9. UseDNS no
10. GSSAPIAuthentication no
11. EOF
13. ## 重启sshd服务
14. systemctl restart sshd.service

复制代码

二、脚本

脚本名称：Centos7_opt_scrip.sh

1. #!/bin/bash
2. #
3. # ***** For newly installed systems
4. # ***** Have access to the Internet
5. # ***** Root user execution
7. ########## Define variables
8. RETVAL=0
9. Baidu_url="www.baidu.com"
10. Yum_soure="http://mirrors.aliyun.com/repo/Centos-7.repo"
11. ## According to operating system version
13. Common_tools="tree telnet lrzsz wget ntp ntpdate vim net-tools \
14. lsof nc namp dos2unix tcpdump gcc gcc-c++ make \
15. cmake libaio zlib-devel pcre-devel psmisclsof \
16. sysstat yum-utils"
18. Change_ssh_port="921"
19. Firewalld_ssh_file="/usr/lib/firewalld/services/ssh.xml"
21. ########## Determine the user to execute
22. if [ "$UID" -ne $RETVAL ];then
23. echo "Must be root to run scripts"
24. exit 1
25. fi
27. ########## Load local functions
28. [ -f /etc/init.d/functions ] && source /etc/init.d/functions
30. ########## Check Internet access
31. ping -c 2 $Baidu_url >/dev/null 2>&1
32. RETVAL=$?
33. if [ $RETVAL -eq 0 ];then
34. action "Check internet access" /bin/true
35. else
36. action "Check internet access" /bin/false
37. exit 1
38. fi
40. ########## Change domestic yum sources
41. curl -o /etc/yum.repos.d/CentOS-Base.repo $Yum_soure >/dev/null 2>&1
42. RETVAL=$?
43. if [ $RETVAL -eq 0 ];then
44. action "Change yum sources" /bin/true
45. else
46. action "Change yum sources" /bin/false
47. fi
49. ########## Install common toolkits
50. yum install -y $Common_tools >/dev/null 2>&1
51. RETVAL=$?
52. if [ $RETVAL -eq 0 ];then
53. action "Install common toolkits" /bin/true
54. else
55. action "Install common toolkits" /bin/false
56. fi
58. ########## Empty version display
59. if [ -f /etc/issue -a /etc/issue.net ];then
60. >/etc/issue && >/etc/issue.net
61. RETVAL=$?
62. if [ $RETVAL -eq 0 ];then
63. action "Emty version display" /bin/true
64. fi
65. else
66. echo "/etc/issue or /etc/issue.net is not exists"
67. fi
69. ########## Disable selinux
70. if [ -f /etc/selinux/config ];then
71. sed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/selinux/config &&
72. setenforce 0
73. RETVAL=$?
74. if [ $RETVAL -eq 0 ];then
75. action "Disable selinux" /bin/true
76. else
77. action "Disable selinux" /bin/false
78. fi
79. fi
81. ########## User password does not expire
82. if [ -f /etc/login.defs ];then
83. echo -e "\nPASS_MAX_DAYS 99999\nPASS_MIN_DAYS 0\nPASS_MIN_LEN 5\nPASS_WARN_AGE 7\n" >>/etc/login.defs
84. RETVAL=$?
85. if [ $RETVAL -eq 0 ];then
86. action "Set user password not expire" /bin/true
87. else
88. action "Set user password not expire" /bin/false
89. fi
90. fi
92. ########## Command line history sav change
93. echo -e "\nexport HISTSIZE=10\nexport HISTFILESIZE=10\nexport HISTCONTROL=ignorespace" >>/etc/bashrc
94. RETVAL=$?
95. if [ $RETVAL -eq 0 ];then
96. action "Command line history sav change" /bin/true
97. else
98. action "Command line history sav change" /bin/false
99. fi
101. ########## rm command alias set
102. echo "alias rm='echo Do not use the rm command'" >>/etc/bashrc
103. RETVAL=$?
104. if [ $RETVAL -eq 0 ];then
105. action "Command rm alias set" /bin/true
106. else
107. action "Command rm alias set" /bin/false
108. fi
110. ######## Time proofread and first update
111. echo -e "ZONE="Asia/Shanghai"\nUTC=false\nARC=false" >/etc/sysconfig/clock &&
112. ln -sf /usr/share/zoneinfo/Asia/Shanghai /etc/localtime &&
113. ntpdate ntp1.aliyun.com >/dev/null 2>&1 &&
114. /sbin/hwclock --systohc
115. RETVAL=$?
116. if [ $RETVAL -eq 0 ];then
117. action "Time proofread and first update" /bin/true
118. else
119. action "Time proofread and first update" /bin/false
120. fi
122. ######### /etc/rc.d/rc.local file permission change
123. chmod 744 /etc/rc.d/rc.local
124. RETVAL=$?
125. if [ $RETVAL -eq 0 ];then
126. action "/etc/rc.d/rc.local file permission change" /bin/true
127. else
128. action "/etc/rc.d/rc.local file permission change" /bin/false
129. fi

复制代码