企业中linux服务器的基本优化

#一、yum源优化以及添加epel源，有需要可以搭建本地yum仓库

#1、yum源优化
##CentOS 6:
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo
###或者
curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo
##CentOS 7:
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
###或者
curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
#2、添加epel源
##Centos-6:
wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-6.repo
##Centos-7:
wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo


#二、关闭selinux
sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config
grep SELINUX=disabled /etc/selinux/config
setenforce 0
getenforce


#三、关闭iptables
##Centos-6
/etc/init.d/iptables stop
chkconfig iptables off
##Centos-7
systemctl stop firewalld.service
systemctl disabled firewalld.service


#四、精简开机自启服务
##Centos-6
chkconfig |egrep -v "crond|sshd|network|rsyslog|sysstat" |awk '{print "chkconfig",$1,"off"}'|bash


#五、普通用户sudo授权
useradd USER
echo 123456|passwd --stdin USER
cp /etc/sudoers{,.bak}
echo "USER     ALL=(ALL)     NOPASSWD: ALL"
visudo -c


#六、设置字符集
##Centos-6
cp /etc/sysconfig/i18n{,.bak}
echo 'LANG="zh_CN.UTF-8"' >/etc/sysconfig/i18n
source /etc/sysconfig/i18n
echo $LANG
##Centos-7
localectl set-locale LANG=zh_CN.utf8


#七、时间同步
#建议搭建局域网内的ntp服务来校对时间，参考http://www.cnblogs.com/ExzaiTin/p/7845033.html
echo '#time sync ' >>/var/spool/cron/root
echo '*/5 * * * * /use/sbin/ntpdate ntp1.aliyun.com >/dev/null 2&>1' >>/var/spool/cron/root


#八、命令行记录优化
cat >>/etc/profile<<EOF
## history  
export TMOUT=300
export HISTSIZE=5
export HISTFILESIZE=5
EOF


#九、设置文件描述符
echo '*               -       nofile          65535 ' >>/etc/security/limits.conf


#十、内核优化

/etc/sysctl.conf下，请不要相信任何人的优化建议

sysctl -p


#十一、内网主机之间hosts解析
cat >>/etc/hosts<<EOF
......
EOF


#十二、系统升级（慎用）
yum -y update     升级所有包，改变软件设置和系统设置,系统版本内核都升级
yum -y upgrade    升级所有包，不改变软件设置和系统设置，系统版本升级，内核不改变

#基础优化还包括以下
1.    不用root登陆管理系统，而以普通用户sudo授权管理
2.    更改默认的远程SSH服务端口，禁止root用户远程连接，甚至要更改SSH服务只监听内网IP
3.    定时自动更新服务器的时间，使其和互联网时间同步
4.    配置yum更新源，从国内更新源下载安装软件包
5.    关闭SElinux及iptables（在工作场景中，如果有外部IP一般要打开iptables，高并发高流量的服务器可能无法开启）
6.    调整文件描述符的数量、进程及文件的打开都会消耗文件描述符数量
7.    定时自动清理邮件临时目录垃圾文件、防止磁盘的inodes数被小文件占满
8.    精简并保留必要的开机自启动服务（如crond、sshd、network、rsyslog、sysstat）。
9.    Linux内核参数优化/etc/sysctl.conf，执行sysctl -p生效。
10.    更改系统字符集为“zh_CN.UTF-8”，使其支持中文，防止出现乱码问题。
11.    锁定关键系统文件如/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow、/etc/inittab， 处理以上内容后把chattr、lsattr改名为oldboy，转移走，这样就安全多了。
12.    清空/etc/issue、/etc/issue.net，去除系统及内核版本登录前的屏幕显示。
13.    清除多余的系统虚拟用户账号。
14.    为grub引导菜单加密码。
15.    禁止主机被ping。
16.    打补丁并升级有已知漏洞的软件。