06-系统优化

简述系统优化

    1 不用root登陆 用sudo授权管理
    2 不让ROOT远程登录SSH
    3 定时自动更新时间
    4 配置本地源或国内YUM源更新下载安装RPM包
    5 关闭SELINUX 和 IPTABLES
    6 调整文件描述符数量某进程级文件的打开都会消耗文件描述符
    7 定时清理 /var/spool/clientmquene/目录的垃圾文件 防止INODE节点耗尽
    8 精简开启启动服务 （crond sshd network rsyslog）
    9 linux内核优化 /etc/sysctl.conf 执行sysctl -p 生效
    10 更改字符集 支持中文（建议用英文）
    11 锁定关键文件
        chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab
        把chattr,lsattr 改名问普通管理用户dev
    12 清空 /etc/issue 
    13 清楚无用的默认系统账户（非必须）

Linux优化（安全+性能=32条）

    1.服务器硬件采购优化
      1.1 硬件供货商选择
      1.2主要硬件部件选择
      1.3定制化采购硬件
    2.磁盘RAID选择、mount 及文件系统优化
      2.1 磁盘类型接口选择优化
      2.2 hdparm优化
      2.3磁盘挂载(mount)优化
      2.4 RAID选择优化
    3.操作系统选择优化
    4.最小化软件包安装优化
    5.禁止开机自启动无用服务
    6.禁止root通过SSH远程登录并更改SSH端口
    7. chattr锁定关键系统文件
    8.内核优化（/etc/sysctl.conf）
    9 lvs/haproxy负载均衡代理内核参数配置
      9.1 nginx/apache生产内核参数优化案例
      9.2 squid/varnish/nginx proxy生产内核优化案例
      9.3 内核参数优化特别说明
    10.增加系统文件描述符
    11.配置sudo对普通用户权限精细控制
    12.禁ping(非必须)
    13.关闭多余的控制台(非必须)
    14.清除多余的系统虚拟账号(非必须)
    15.配置防火墙iptables和SELinux
    16. grub加密码(非必须)
    17.设置/etc/hosts.deny、/etc/hosts.allow(非必须)
    18.配置YUM安装源
    19.禁止键盘重启（/etc/inittab），使用字符模式level 3
    20. /tmp临时目录安全
    21.用户口令8位以上、定期更换、动态口令等
    22.注销账号的时间，命令的历史记录数
    23.删除登录信息(非必须)
    24.安装系统性能监控软件监控调试软件
    25.防病毒软件clamav，入侵检测ids、Tripwire
    26.配置服务器和互联网时间同步
    27.配置系统日志审计
    28.操作系统磁盘分区划分优化
    29.负载均衡集群架构不同设备选型优化
      29.1负载均衡器硬件选择及raid级别
      29.2 WEB层硬件选择及raid级别
      29.3 数据库层硬件选择及raid级别(适合mysql和oracle)
      29.4 存储层硬件选择及raid级别
        29.4.1数据备份硬件选择及raid级别
        29.4.2共享存储NFS硬件选择及raid级别
    30 linux服务器尽量少配外网IP地址
    31.linux系统一键优化脚本
    32.linux一键安装（snmp,nagios,cacti,puppet等）客户端脚本