【linux安全基线配置】浅谈Linux优化及安全配置个人体会总结
【shitiku.jxxyjl.com--Linux交流指导】
在网上看到不少有关linux优化方面的好文章,在此我也不赘述这些文章了,我只想从我自己的体会来谈谈这方面的问题。 作为一个系统管理员,我下面说的都是基于服务器应用的linux来谈的,由于个人电脑上使用linux也许不是像服务器上一样,优先追求安全和稳定,因此个人电脑使用的朋友只做个参考吧。 本文提及的系统,如没有特别声明,均采用redhat公司的redhat linux系统。 关于优化 说起优化,其实最好的优化就是提升硬件的配置,例如提高cpu的运算能力,提高内存的容量,个人认为如果你考虑升级硬件的话,建议优先提高内存的容量,因为一般服务器应用,对内存的消耗使用要求是最高的。当然这都是题外话了。 这里我们首要讨论的,是在同等硬件配置下(同一台服务器,不提升硬件的情况下)对你的系统进行优化。 作为系统管理员,我认为,首先我们要明确一个观点:在服务器上作任何操作,升级和修改任何配置文件或软件,都必须首要考虑安全性,不是越新的东西就越好,这也是为什么linux管理感觉上和windows有所不同的地方,windows首先推荐大家去使用它的最新版本软件和操作系统,其实我个人认为这是一种商业行为,作为从系统管理上来讲,这是很不好的,使用新的软件和系统可能带来新的问题,有些甚至是致命的。 因此,作为管理,我们还是应该考虑稳定的长期使用的软件版本来作为我们的版本,具体的好处我就不多说了。相信作为管理员的你应该知道的。 其实个人使用的linux最直接的一个优化就是升级内核,自己编译的内核是根据自己的系统编译而来,将得到最大的性能和最小的内核。 但是,服务器就不太一样了,当然我们也希望每一台服务器都是自己手工编译的内核,高效而精巧。但是实际和愿望是有差距的,试想一下,如果你管理100来台 linux主机,而每一台也许配置都不一样,那编译内核的一个过程将是一个浩大工程,而且从实际考虑,工作量大得难以想象。我想你也不会愿意做这种事情吧。因此,个人建议,采用官方发布的内核升级包是很好的选择。 首先,我们对新安装的系统,将做一系列升级,包括软件和内核,这是很重要的步骤,(这方面的详细情况欢迎察看我另一篇关于升级方面的文章)。 在升级好所有软件后,基本的防火墙和配置都做好以后,我们开始优化一些细节配置,如果你是老系统,那么在作本问题及的一些操作和优化你系统之前,务必被备份所有数据到其他介质。 1、虚拟内存优化 首先查看虚拟内存的使用情况,使用命令 # free 查看当前系统的内存使用情况。 一般来说,linux的物理内存几乎是完全used。这个和windows非常大的区别,它的内存管理机制将系统内存充分利用,并非windows无论多大的内存都要去使用一些虚拟内存一样。这点需要注意。 linux下面虚拟内存的默认配置通过命令 # cat /proc/sys/vm/freepages 可以查看,显示的三个数字是当前系统的:最小内存空白页、最低内存空白页和最高内存空白。 注意,这里系统使用虚拟内存的原则是:如果空白页数目低于最高空白页设置,则使用磁盘交换空间。当达到最低空白页设置时,使用内存交换(注:这个是我查看一些资料得来的,具体应用时还需要自己观察一下,不过这个不影响我们配置新的虚拟内存参数)。内存一般以每页4k字节分配。最小内存空白页设置是系统中内存数量的2倍;最低内存空白页设置是内存数量的4倍;最高内存空白页设置是系统内存的6倍。这些值在系统启动时决定。 一般来讲在配置系统分配的虚拟内存配置上,我个人认为增大最高内存空白页是一种比较好的配置方式,以1g的内存配置为例: 可将原来的配置比例修改为: 2048 4096 6444 通过命令 # echo "2048 4096 6444" > /proc/sys/vm/freepages 因为增加了最高空白页配置,那么可以使内存更有效的利用。 2、硬盘优化 如果你是scsi硬盘或者是ide阵列,可以跳过这一节,这节介绍的参数调整只针对使用ide硬盘的服务器。 我们通过hdparm程序来设置ide硬盘, 使用dma和32位传输可以大幅提升系统性能。使用命令如下: # /sbin/hdparm -c 1 /dev/hda 此命令将第一个ide硬盘的pci总线指定为32位,使用 -c 0参数来禁用32位传输。 在硬盘上使用dma,使用命令: # /sbin/hdparm -d 1 /dev/hda 关闭dma可以使用 -d 0的参数。 更改完成后,可以使用hdparm来检查修改后的结果,使用命令: # /sbin/hdparm -t /dev/had 为了确保设置的结果不变,使用命令:# /sbin/hdparm -k 1 /dev/hda hdparm命令的一些常用的其他参数功能 -g 显示硬盘的磁轨,磁头,磁区等参数。 -i 显示硬盘的硬件规格信息,这些信息是在开机时由硬盘本身所提供。 -i 直接读取硬盘所提供的硬件规格信息。 -p 设定硬盘的pio模式。 -tt 评估硬盘的读取效率和硬盘快取的读取效率。 -u <0或1> 在硬盘存取时,允许其他中断要求同时执行。 -v 显示硬盘的相关设定。 3、其他优化 关闭不需要的服务,关于系统自动启动的服务,网上有很多资料,在此我就不赘述了。本文来源:https://shitiku.jxxyjl.com/linuxjiaoliuzhidao/6734.html
相关试题
-
[linux 网络安全]Linux网络安全之经验谈(3)详细阅读
关于su命令 如果你不想任何人能够su为root的话,你应该编辑 etc pam d su文件,加下面几行: auth sufficient lib- security pam_rootok- so debug auth required lib- secur...
-
linux学习路线图_LINUX学习高手经验之谈详细阅读
现在好多的人开始接触电脑的时候,见到的应该是windows98说实话,98 已经是一个很人性化,封装的很好的一个系统了一个对电脑一窍不通的人都能很快的使用它。这样很多人对 电脑的印象和那些和我一样一开始接触的是dos人是绝然不同的。在dos时代,如果你对电脑的基础知识不懂的...
-
linux系统就业方向|关于Linux系统学习的方向以及方法浅谈详细阅读
学习方向: 一、桌面系统 就是系统安装好后的视窗系统,在windows下叫windows,在linux下叫 x windows,其实只是名字不一样而已(看看红旗做的桌面,真是跟windows要做象有多象,这样虽然有助于linux桌面的使用,但对于linux系统的推广真是没什么...
-
【linux 网络安全】Linux网络安全之经验谈(2)详细阅读
关于telnet 如果你希望用户用telnet远程登录到你的服务器时不要显示操作系统和版本信息(可以避免有针对性的漏洞攻击),你应该改写 etc inetd conf中的一行象下面这样: telnet stream tcp nowait root usr sbin tcpd...
-
linux 网络安全_Linux网络安全之经验谈(4)详细阅读
关于用户资源 对你的系统上所有的用户设置资源限制可以防止dos类型攻击,如最大进程数,内存数量等。例如,对所有用户的限制, 编辑 etc security limits con加入以下几行: * hard core 0 * hard rss 5000 * hard npr...
-
【linux查看服务器硬盘】优化Linux服务器硬盘性能的七个实用技巧详细阅读
所有的文件系统随着时间的推移都趋向于碎片化。linux文件系统减少了碎片化,但是并没有消除。由于它不经常出现,所以对于一个单用户的工作站来说,可能根本不是问题。然而在繁忙的服务器中,随着时间的过去,文件碎片化将降低硬盘性能,硬盘性能只有从硬盘读出或写入数据时才能注意到。下面是优化li...
-
[linux 网络安全]Linux网络安全之经验谈(5)详细阅读
关于日志 所有的日志都在 var log下(仅对linux系统而言),默认情况下linux的日志就已经很强大了,但除ftp外。因此我们可以通过修改 etc ftpaccess 或者 etc inetd conf,来保证每一个ftp连接日志都能够纪录下来。下面是一个修改inetd ...
-
【linux传文件到linux】Linux认证--Linux文件权限的设置技巧详细阅读
windows系统其实和linux系统有相似的地方,windows系统文件、目录的属性有只读、隐藏,而linux也一样。 linux中,每一个文件都具有特定的属性。主要包括文件类型和文件权限两个方面。可以分为5种不同的类型:普通文件、目录文件、链接文件、设备文件和管道文件。 所谓...
-
【linux实训心得】技巧心得:Linux技巧小总结详细阅读
1、处理特殊的文件名 假设linux系统中有一个文件名叫-aaa,如果我们想对它进行操作,例如现在要删除它,如果我们按照一般的删除方法在命令行中输入rm -aaa命令,界面将会提示我们是无效选项(invalid option),原来由于文件名的第一个字符为 - ,linux把文件名当作选项了,我...
-
初学linux用什么系统_Linux系统初学之学习方向和方法浅谈详细阅读
学习方向: 一、桌面系统就是系统安装好后的视窗系统,在windows下叫windows,在linux下叫 x windows,其实只是名字不一样而已(看看红旗做的桌面,真是跟windows要做象有多象,真 晕,这样虽然有助于linux桌面的使用,但对于linux系统的推广真是没什么...