淺談Linux最佳化及安全配置(轉)

gugu99發表於2007-08-10
淺談Linux最佳化及安全配置(轉)[@more@]

  前言:

  很久沒有寫過文章了,最近收到不少朋友來信,提及了有關最佳化配置和一些新的安全問題,在此我想和大家淺顯討論一下這些問題,有什麼不準確和有更好的方式,請給我來信共同討論提高。

  在網上看到不少有關linux最佳化方面的好文章,在此我也不贅述這些文章了,我只想從我自己的體會來談談這方面的問題。

  作為一個系統管理員,我下面說的都是基於伺服器應用的linux來談的,由於個人電腦上使用linux也許不是像伺服器上一樣,優先追求安全和穩定,因此個人電腦使用的朋友只做個參考吧。

  本文提及的系統,如沒有特別宣告,均採用redhat公司的redhat linux系統。

  關於最佳化

  說起最佳化,其實最好的最佳化就是提升硬體的配置,例如提高cpu的運算能力,提高記憶體的容量,個人認為如果你考慮升級硬體的話,建議優先提高記憶體的容量,因為一般伺服器應用,對記憶體的消耗使用要求是最高的。當然這都是題外話了。

  這裡我們首要討論的,是在同等硬體配置下(同一臺伺服器,不提升硬體的情況下)對你的系統進行最佳化。

  作為系統管理員,我認為,首先我們要明確一個觀點:在伺服器上作任何操作,升級和修改任何配置檔案或軟體,都必須首要考慮安全性,不是越新的東西就越好,這也是為什麼linux管理感覺上和windows有所不同的地方,windows首先推薦大家去使用它的最新版本軟體和作業系統,其實我個人認為這是一種商業行為,作為從系統管理上來講,這是很不好的,使用新的軟體和系統可能帶來新的問題,有些甚至是致命的。

  因此,作為管理,我們還是應該考慮穩定的長期使用的軟體版本來作為我們的版本,具體的好處我就不多說了。相信作為管理員的你應該知道的。

  其實個人使用的linux最直接的一個最佳化就是升級核心,自己編譯的核心是根據自己的系統編譯而來,將得到最大的效能和最小的核心。

  但是,伺服器就不太一樣了,當然我們也希望每一臺伺服器都是自己手工編譯的核心,高效而精巧。但是實際和願望是有差距的,試想一下,如果你管理100來臺linux主機,而每一臺也許配置都不一樣,那編譯核心的一個過程將是一個浩大工程,而且從實際考慮,工作量大得難以想象。我想你也不會願意做這種事情吧。因此,個人建議,採用官方釋出的核心升級包是很好的選擇。

  首先,我們對新安裝的系統,將做一系列升級,包括軟體和核心,這是很重要的步驟。

  在升級好所有軟體後,基本的防火牆和配置都做好以後,我們開始最佳化一些細節配置,如果你是老系統,那麼在作本問題及的一些操作和最佳化你係統之前,務必被備份所有資料到其他介質。

  1、虛擬記憶體最佳化

  首先檢視虛擬記憶體的使用情況,使用命令

  # free

  檢視當前系統的記憶體使用情況。

  一般來說,linux的實體記憶體幾乎是完全used。這個和windows非常大的區別,它的記憶體管理機制將系統記憶體充分利用,並非windows無論多大的記憶體都要去使用一些虛擬記憶體一樣。這點需要注意。

  Linux下面虛擬記憶體的預設配置透過命令

  # cat /proc/sys/vm/freepages

  可以檢視,顯示的三個數字是當前系統的:最小記憶體空白頁、最低記憶體空白頁和最高記憶體空白。

  注意,這裡系統使用虛擬記憶體的原則是:如果空白頁數目低於最高空白頁設定,則使用磁碟交換空間。當達到最低空白頁設定時,使用記憶體交換(注:這個是我檢視一些資料得來的,具體應用時還需要自己觀察一下,不過這個不影響我們配置新的虛擬記憶體引數)。

  記憶體一般以每頁4k位元組分配。最小記憶體空白頁設定是系統中記憶體數量的2倍;最低記憶體空白頁設定是記憶體數量的4倍;最高記憶體空白頁設定是系統記憶體的6倍。這些值在系統啟動時決定。

  一般來講在配置系統分配的虛擬記憶體配置上,我個人認為增大最高記憶體空白頁是一種比較好的配置方式,以1G的記憶體配置為例:

  可將原來的配置比例修改為:

  2048 4096 6444

  透過命令

  # echo "2048 4096 6444" > /proc/sys/vm/freepages

  因為增加了最高空白頁配置,那麼可以使記憶體更有效的利用。

  2、硬碟最佳化

  如果你是scsi硬碟或者是ide陣列,可以跳過這一節,這節介紹的引數調整隻針對使用ide硬碟的伺服器。

  我們透過hdparm程式來設定IDE硬碟,

  使用DMA和32位傳輸可以大幅提升系統效能。使用命令如下:

  # /sbin/hdparm -c 1 /dev/hda

  此命令將第一個IDE硬碟的PCI匯流排指定為32位,使用 -c 0引數來禁用32位傳輸。

  在硬碟上使用DMA,使用命令:

  # /sbin/hdparm -d 1 /dev/hda

  關閉DMA可以使用 -d 0的引數。

  更改完成後,可以使用hdparm來檢查修改後的結果,使用命令:

  # /sbin/hdparm -t /dev/had

  為了確保設定的結果不變,使用命令:# /sbin/hdparm -k 1 /dev/hda

  Hdparm命令的一些常用的其他引數功能

  -g 顯示硬碟的磁軌,磁頭,磁區等引數。

  -i 顯示硬碟的硬體規格資訊,這些資訊是在開機時由硬碟本身所提供。

  -I 直接讀取硬碟所提供的硬體規格資訊。

  -p 設定硬碟的PIO模式。

  -Tt 評估硬碟的讀取效率和硬碟快取的讀取效率。

  -u <0或1> 在硬碟存取時,允許其他中斷要求同時執行。

  -v 顯示硬碟的相關設定。

  3、其他最佳化

  關閉不需要的服務,關於系統自動啟動的服務,網上有很多資料,在此我就不贅述了;

  關於安全

  1、安全檢查

  作為一個系統管理員來說,定期對系統作一次全面的安全檢查很重要的,最近遇到一些朋友來信說出現了一些莫名其妙的問題,例如最大的一個問題就是明顯感覺網路服務緩慢,這極有可能是被攻擊的現象。

  實踐證明,無論是那種系統,預設安裝都是不安全的,實際不管你用windows也好,linux,bsd或其他什麼系統,預設安裝的都有很多漏洞,那怎麼才能成為安全的系統呢,這正是我們系統管理人員需要做的事情。配置配置再配置。

  任何系統,只要細心的配置,堵住已知的漏洞,可以說這個系統是安全的,其實並非很多朋友說的那樣,安裝了系統,配置了防火牆,安裝了防毒軟體,那麼就安全了,其實如果對系統不作任何安全設定,那就等於向駭客敞開一扇紙做的大門,數十分鐘就能完全控制!

  這並非駭人聽聞。

  作為linux系統,同樣存在很多漏洞,黑可能利用這些漏洞控制你的整個系統,要防止這些問題,我們需要做以下步驟:

  1、 升級系統中所有軟體包的最新版本;

  2、 設定較為強壯的防火牆;

  3、 定期檢查關鍵記錄檔案,配置防毒軟體

  4、 多關心一下發布安全資訊警告的網站,掌握一些最新的病毒和駭客程式的特點,這些都利於系統的正常運作。

  這篇文章主要以最佳化為主,為了配合這一主題,安全部分我們只討論一下日常的一些維護工作。

  除了上面列出的4條是管理員必修之課外,對一些linux系統細節的維護也很重要。

  包括:

  1、 配置日誌輪訓工具,定期下載備份日誌,是個非常好的習慣,這樣不但能減少日誌的消耗的磁碟空間,提高系統效率,更能及時發現問題,linux下有些很好的系統日誌分析器,能直接提取日誌中的特殊專案,省去了閱讀日誌的煩惱;

  2、 使用命令lsof –i ,netstat –a ,ps –e等命令,定期檢查系統服務埠監聽等情況,也可製作一個定期執行的指令碼,將這些命令定期執行後發到郵箱中;

  3、 定期檢查root使用者的history列表,last列表,vipw使用者列表是否正常;

  4、 定期備份檔案,用tar命令就能很好的備份了,當然需要下載這些備份並轉移介質;

  如一點發現有任何特別的沒見過的情況或埠,那麼要引起足夠的重視,切勿因小失大。

  以上是我對linux系統安全和最佳化的一些淺顯認識,希望大家都能安全高效的使用linux為你的工作生活帶來方便。

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10748419/viewspace-940021/,如需轉載,請註明出處,否則將追究法律責任。

相關文章