linux系统优化:系统优化和安全配置两方面讲Linux系统安全

 


作为个系统管理员下面我们聊下基于服务器应用linux由于个人电脑上使用linux也许不是像服务器上优先追求安全和稳定因此个人电脑使用朋友只做个参考吧

系统优化

说起优化其实最好优化就是提升硬件配置例如提高cpu运算能力提高内存容量个人认为如果你考虑升级硬件建议优先提高内存容量般服务器应用对内存消耗使用要求是最高当然这都是题外话了

这里我们首要讨论是在同等硬件配置下(同台服务器不提升硬件情况下)对你系统进行优化

作为系统管理员我认为首先我们要明确个观点:在服务器上作任何操作升级和修改任何配置文件或软件Software都必须首要考虑安全性不是越新东西就越好这也是为什么linux管理感觉上和windows有所区别地方windows首先推荐大家去使用它最新版本软件Software和操作系统其实我个人认为这是种商业行为作为从系统管理上来讲这是很不好使用新软件Software和系统可能带来新问题有些甚至是致命

因此作为管理我们还是应该考虑稳定长期使用软件Software版本来作为我们版本具体好处我就不多说了相信作为管理员你应该知道

其实个人使用linux最直接个优化就是升级内核自己编译内核是根据自己系统编译而来将得到最大性能和最小内核

但是服务器就不太样了当然我们也希望每台服务器都是自己手工编译内核高效而精巧但是实际和愿望是有差距试想如果你管理100来台linux主机而每台也许配置都不那编译内核个过程将是个浩大工程而且从实际考虑工作量大得难以想象我想你也不会愿意做这种事情吧因此个人建议采用官方发布内核升级包是很好选择

首先我们对新安装系统将做系列升级包括软件Software和内核这是很重要步骤

在升级好所有软件Software后基本防火墙和配置都做好以后我们开始优化些细节配置如果你是老系统那么在作本问题及些操作和优化你系统的前务必被备份所有数据到其他介质

1、虚拟内存优化

首先查看虚拟内存使用情况使用命令

# free

查看当前系统内存使用情况

般来说linux物理内存几乎是完全used这个和windows非常大区别内存管理机制将系统内存充分利用并非windows无论多大内存都要去使用些虚拟内存这点需要注意

Linux下面虚拟内存默认配置通过命令

# cat /proc/sys/vm/freepages

可以查看显示 3个数字是当前系统:最小内存空白页、最低内存空白页和最高内存空白

注意这里系统使用虚拟内存原则是:如果空白页数目低于最高空白页设置则使用磁盘交换空间当达到最低空白页设置时使用内存交换(注:这个是我查看些资料得来具体应用时还需要自己观察不过这个不影响我们配置新虚拟内存参数)

内存般以每页4k字节分配最小内存空白页设置是系统中内存数量2倍;最低内存空白页设置是内存数量4倍;最高内存空白页设置是系统内存6倍这些值在系统启动时决定

般来讲在配置系统分配虚拟内存配置上我个人认为增大最高内存空白页是种比较好配置方式以1G内存配置为例:

可将原来配置比例修改为:

2048 4096 6444

通过命令

# echo "2048 4096 6444" > /proc/sys/vm/freepages

增加了最高空白页配置那么可以使内存更有效利用

2、硬盘优化

如果你是scsi硬盘或者是ide阵列可以跳过这这节介绍参数调整只针对使用ide硬盘服务器

我们通过hdparm来设置IDE硬盘

使用DMA和32位传输可以大幅提升系统性能使用命令如下:

# /sbin/hdparm -c 1 /dev/hda

此命令将第个IDE硬盘PCI总线指定为32位使用 -c 0参数来禁用32位传输

在硬盘上使用DMA使用命令:

# /sbin/hdparm -d 1 /dev/hda

关闭DMA可以使用 -d 0参数

更改完成后可以使用hdparm来检查修改后结果使用命令:

# /sbin/hdparm -t /dev/had

为了确保设置结果不变使用命令:# /sbin/hdparm -k 1 /dev/hda

Hdparm命令些常用其他参数功能


-g 显示硬盘磁轨磁头磁区等参数
-i 显示硬盘硬件规格信息这些信息是在开机时由硬盘本身所提供
-I 直接读取硬盘所提供硬件规格信息
-p 设定硬盘PIO模式
-Tt 评估硬盘读取效率和硬盘快取读取效率
-u <0或1> 在硬盘存取时允许其他中断要求同时执行
-v 显示硬盘相关设定

3、其他优化

关闭不需要服务有关系统自动启动服务网上有很多资料在此我就不赘述了

安全配置

作为个系统管理员来说定期对系统作次全面安全检查很重要最近遇到些朋友来信说出现了些莫名其妙问题例如最大个问题就是明显感觉网络服务缓慢这极有可能是被攻击现象

实战证明无论是那种系统默认安装都是不安全实际不管你用windows也好linux,bsd或其他什么系统默认安装都有很多漏洞那如何才能成为安全系统呢这正是我们系统管理人员需要做事情配置配置再配置

任何系统只要细心配置堵住已知漏洞可以说这个系统是安全其实并非很多朋友说那样安装了系统配置了防火墙安装了杀毒软件Software那么就安全了其实如果对系统不作任何安全设置那就等于向黑客敞开扇纸做大门数十分钟就能完全控制!

这并非骇人听闻

作为linux系统同样存在很多漏洞黑可能利用这些漏洞控制你整个系统要防止这些问题我们需要做以下步骤:

1、 升级系统中所有软件Software包最新版本;

2、 设置较为强壮防火墙;

3、 定期检查关键记录文件配置杀毒软件Software

4、 多关心下发布安全信息警告网站WebSite掌握些最新病毒和黑客特点这些都利于系统正常运作

这篇文章主要以优化为主为了配合这主题安全部分我们只讨论下日常些维护工作

除了上面列出4条是管理员必修的课外些linux系统细节维护也很重要

包括:

1、 配置日志轮训工具定期下载备份日志是个非常好习惯这样不但能减少日志消耗磁盘空间提高系统效率更能及时发现问题linux下有些很好系统日志分析器能直接提取日志中特殊项目省去了阅读日志烦恼;

2、 使用命令lsof –i ,netstat –a ,ps –e等命令定期检查系统服务端口监听等情况也可制作个定期执行脚本将这些命令定期执行后发到邮箱中;

3、 定期检查root用户history列表last列表vipw用户列表是否正常;

4、 定期备份文件用tar命令就能很好备份了当然需要下载这些备份并转移介质;

点发现有任何特别没见过情况或端口那么要引起足够重视切勿因小失大

以上是我对linux系统安全和优化些浅显认识希望大家都能安全高效使用linux为你工作生活带来方便


Tags:  linux系统网络配置 linux系统配置管理 linux系统配置 linux系统优化

延伸阅读

最新评论

发表评论