淺談Linux最佳化及安全配置(轉)
前言:
很久沒有寫過文章了,最近收到不少朋友來信,提及了有關最佳化配置和一些新的安全問題,在此我想和大家淺顯討論一下這些問題,有什麼不準確和有更好的方式,請給我來信共同討論提高。
在網上看到不少有關linux最佳化方面的好文章,在此我也不贅述這些文章了,我只想從我自己的體會來談談這方面的問題。
作為一個系統管理員,我下面說的都是基於伺服器應用的linux來談的,由於個人電腦上使用linux也許不是像伺服器上一樣,優先追求安全和穩定,因此個人電腦使用的朋友只做個參考吧。
本文提及的系統,如沒有特別宣告,均採用redhat公司的redhat linux系統。
關於最佳化
說起最佳化,其實最好的最佳化就是提升硬體的配置,例如提高cpu的運算能力,提高記憶體的容量,個人認為如果你考慮升級硬體的話,建議優先提高記憶體的容量,因為一般伺服器應用,對記憶體的消耗使用要求是最高的。當然這都是題外話了。
這裡我們首要討論的,是在同等硬體配置下(同一臺伺服器,不提升硬體的情況下)對你的系統進行最佳化。
作為系統管理員,我認為,首先我們要明確一個觀點:在伺服器上作任何操作,升級和修改任何配置檔案或軟體,都必須首要考慮安全性,不是越新的東西就越好,這也是為什麼linux管理感覺上和windows有所不同的地方,windows首先推薦大家去使用它的最新版本軟體和作業系統,其實我個人認為這是一種商業行為,作為從系統管理上來講,這是很不好的,使用新的軟體和系統可能帶來新的問題,有些甚至是致命的。
因此,作為管理,我們還是應該考慮穩定的長期使用的軟體版本來作為我們的版本,具體的好處我就不多說了。相信作為管理員的你應該知道的。
其實個人使用的linux最直接的一個最佳化就是升級核心,自己編譯的核心是根據自己的系統編譯而來,將得到最大的效能和最小的核心。
但是,伺服器就不太一樣了,當然我們也希望每一臺伺服器都是自己手工編譯的核心,高效而精巧。但是實際和願望是有差距的,試想一下,如果你管理100來臺linux主機,而每一臺也許配置都不一樣,那編譯核心的一個過程將是一個浩大工程,而且從實際考慮,工作量大得難以想象。我想你也不會願意做這種事情吧。因此,個人建議,採用官方釋出的核心升級包是很好的選擇。
首先,我們對新安裝的系統,將做一系列升級,包括軟體和核心,這是很重要的步驟。
在升級好所有軟體後,基本的防火牆和配置都做好以後,我們開始最佳化一些細節配置,如果你是老系統,那麼在作本問題及的一些操作和最佳化你係統之前,務必被備份所有資料到其他介質。
1、虛擬記憶體最佳化
首先檢視虛擬記憶體的使用情況,使用命令
# free
檢視當前系統的記憶體使用情況。
一般來說,linux的實體記憶體幾乎是完全used。這個和windows非常大的區別,它的記憶體管理機制將系統記憶體充分利用,並非windows無論多大的記憶體都要去使用一些虛擬記憶體一樣。這點需要注意。
Linux下面虛擬記憶體的預設配置透過命令
# cat /proc/sys/vm/freepages
可以檢視,顯示的三個數字是當前系統的:最小記憶體空白頁、最低記憶體空白頁和最高記憶體空白。
注意,這裡系統使用虛擬記憶體的原則是:如果空白頁數目低於最高空白頁設定,則使用磁碟交換空間。當達到最低空白頁設定時,使用記憶體交換(注:這個是我檢視一些資料得來的,具體應用時還需要自己觀察一下,不過這個不影響我們配置新的虛擬記憶體引數)。
記憶體一般以每頁4k位元組分配。最小記憶體空白頁設定是系統中記憶體數量的2倍;最低記憶體空白頁設定是記憶體數量的4倍;最高記憶體空白頁設定是系統記憶體的6倍。這些值在系統啟動時決定。
一般來講在配置系統分配的虛擬記憶體配置上,我個人認為增大最高記憶體空白頁是一種比較好的配置方式,以1G的記憶體配置為例:
可將原來的配置比例修改為:
2048 4096 6444
透過命令
# echo "2048 4096 6444" > /proc/sys/vm/freepages
因為增加了最高空白頁配置,那麼可以使記憶體更有效的利用。
2、硬碟最佳化
如果你是scsi硬碟或者是ide陣列,可以跳過這一節,這節介紹的引數調整隻針對使用ide硬碟的伺服器。
我們透過hdparm程式來設定IDE硬碟,
使用DMA和32位傳輸可以大幅提升系統效能。使用命令如下:
# /sbin/hdparm -c 1 /dev/hda
此命令將第一個IDE硬碟的PCI匯流排指定為32位,使用 -c 0引數來禁用32位傳輸。
在硬碟上使用DMA,使用命令:
# /sbin/hdparm -d 1 /dev/hda
關閉DMA可以使用 -d 0的引數。
更改完成後,可以使用hdparm來檢查修改後的結果,使用命令:
# /sbin/hdparm -t /dev/had
為了確保設定的結果不變,使用命令:# /sbin/hdparm -k 1 /dev/hda
Hdparm命令的一些常用的其他引數功能
-g 顯示硬碟的磁軌,磁頭,磁區等引數。
-i 顯示硬碟的硬體規格資訊,這些資訊是在開機時由硬碟本身所提供。
-I 直接讀取硬碟所提供的硬體規格資訊。
-p 設定硬碟的PIO模式。
-Tt 評估硬碟的讀取效率和硬碟快取的讀取效率。
-u <0或1> 在硬碟存取時,允許其他中斷要求同時執行。
-v 顯示硬碟的相關設定。
3、其他最佳化
關閉不需要的服務,關於系統自動啟動的服務,網上有很多資料,在此我就不贅述了;
關於安全
1、安全檢查
作為一個系統管理員來說,定期對系統作一次全面的安全檢查很重要的,最近遇到一些朋友來信說出現了一些莫名其妙的問題,例如最大的一個問題就是明顯感覺網路服務緩慢,這極有可能是被攻擊的現象。
實踐證明,無論是那種系統,預設安裝都是不安全的,實際不管你用windows也好,linux,bsd或其他什麼系統,預設安裝的都有很多漏洞,那怎麼才能成為安全的系統呢,這正是我們系統管理人員需要做的事情。配置配置再配置。
任何系統,只要細心的配置,堵住已知的漏洞,可以說這個系統是安全的,其實並非很多朋友說的那樣,安裝了系統,配置了防火牆,安裝了防毒軟體,那麼就安全了,其實如果對系統不作任何安全設定,那就等於向駭客敞開一扇紙做的大門,數十分鐘就能完全控制!
這並非駭人聽聞。
作為linux系統,同樣存在很多漏洞,黑可能利用這些漏洞控制你的整個系統,要防止這些問題,我們需要做以下步驟:
1、 升級系統中所有軟體包的最新版本;
2、 設定較為強壯的防火牆;
3、 定期檢查關鍵記錄檔案,配置防毒軟體
4、 多關心一下發布安全資訊警告的網站,掌握一些最新的病毒和駭客程式的特點,這些都利於系統的正常運作。
這篇文章主要以最佳化為主,為了配合這一主題,安全部分我們只討論一下日常的一些維護工作。
除了上面列出的4條是管理員必修之課外,對一些linux系統細節的維護也很重要。
包括:
1、 配置日誌輪訓工具,定期下載備份日誌,是個非常好的習慣,這樣不但能減少日誌的消耗的磁碟空間,提高系統效率,更能及時發現問題,linux下有些很好的系統日誌分析器,能直接提取日誌中的特殊專案,省去了閱讀日誌的煩惱;
2、 使用命令lsof –i ,netstat –a ,ps –e等命令,定期檢查系統服務埠監聽等情況,也可製作一個定期執行的指令碼,將這些命令定期執行後發到郵箱中;
3、 定期檢查root使用者的history列表,last列表,vipw使用者列表是否正常;
4、 定期備份檔案,用tar命令就能很好的備份了,當然需要下載這些備份並轉移介質;
如一點發現有任何特別的沒見過的情況或埠,那麼要引起足夠的重視,切勿因小失大。
以上是我對linux系統安全和最佳化的一些淺顯認識,希望大家都能安全高效的使用linux為你的工作生活帶來方便。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10748419/viewspace-940021/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 淺談Linux最佳化及安全配置個人體會(轉)Linux
- 淺談linux作業系統的最佳化及安全配置(轉)Linux作業系統
- 淺談linux作業系統的最佳化及安全Linux作業系統
- 淺談php web安全 【轉】PHPWeb
- Linux系統配置與最佳化經驗談(轉)Linux
- 淺談 Web 安全Web
- 淺談Acegi配置
- 淺談斜率最佳化DP
- 淺談遊戲安全 (一)遊戲
- 應用安全淺談
- 淺談session及其安全Session
- Linux 淺談Linux 作業系統的安全設定Linux作業系統
- 淺談Linux的檔案系統(轉)Linux
- Linux 網路安全和最佳化 (轉)Linux
- 短網址安全淺談
- 漠漠孤雲盡成雨---淺談CGI指令碼安全(轉)指令碼
- 淺談App的啟動最佳化APP
- linux基本安全配置手冊(轉)Linux
- 淺談 Java執行緒狀態轉換及控制Java執行緒
- 淺談指標 (轉)指標
- Linux網路安全之經驗談(轉)Linux
- 淺談PHP弱型別安全PHP型別
- 淺談Linux下的媒體播放器(轉)Linux播放器
- 淺談App響應時間最佳化APP
- 淺談資料結構最佳化DP資料結構
- 談linux磁碟結構及分割槽(轉)Linux
- 淺談GPU 及 “App渲染流程”GPUAPP
- 淺談JavaScript原型及原型鏈JavaScript原型
- 淺談微服務轉型微服務
- 淺談 URI 及其轉義
- 淺談人工智慧 (轉)人工智慧
- 顏色模型淺談 (轉)模型
- 淺談Redis安全策略佑葉Redis
- 淺談前端安全以及如何防範前端
- 淺談 JVM GC 的安全點與安全區域JVMGC
- 配置安全的Linux作業系統(轉)Linux作業系統
- Ruby 札記 - 淺談和配置 Ruby
- iOS 淺談GPU及“App渲染流程”iOSGPUAPP