第三十章 系统优化,网卡命名规则,安装双网卡
作者:互联网
系统优化
1.更新yum源,将其下载的路径变为国内
1. 更新yum源,将其下载的路径变为国内
[root@lxy ~]# ll /etc/yum.repos.d/
total 56
-rw-r--r--. 1 root root 1664 Nov 23 2018 CentOS-Base.repo
-rw-r--r--. 1 root root 1050 Sep 18 07:25 epel.repo
1、备份
[root@lxy ~]# mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup
2、下载新的CentOS-Base.repo 到/etc/yum.repos.d/
[root@lxy ~]# curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
3.添加epel源
[root@lxy ~]# curl -o /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
2.关闭selinux
2. 关闭selinux
[root@lxy ~]# getenforce #显示selinux状态
Enforcing
[root@lxy ~]# setenforce 0 #临时关闭selinux
[root@lxy ~]# getenforce
Permissive
[root@lxy ~]# grep 'SELINUX' /etc/sysconfig/selinux
# SELINUX= can take one of these three values:
SELINUX=enforcing
# SELINUXTYPE= can take one of three values:
SELINUXTYPE=targeted
[root@lxy ~]# sed -i 's#^SELINUX=.*#SELINUX=disabled#g' /etc/sysconfig/selinux #永久修改
[root@lxy ~]# sed -i 's#^SELINUX=.*#SELINUX=disabled#g' /etc/selinux/config #永久修改 ***
[root@lxy ~]# grep 'SELINUX' /etc/selinux/config
# SELINUX= can take one of these three values:
SELINUX=disabled
# SELINUXTYPE= can take one of three values:
SELINUXTYPE=targeted
3.关闭防火墙
3. 关闭firewalld
#临时关闭
[root@lxy ~]# systemctl stop firewalld
#永久关闭
[root@lxy ~]# systemctl disable firewalld
4.同步系统时间
4. 同步系统时间
[root@lxy ~]# yum install -y ntpdate
[root@lxy ~]# crontab -l
#同步系统时间
*/3 * * * * /usr/sbin/ntpdate ntp.aliyun.com &>/dev/null
5.关闭NetworkManager
5. 关闭NetworkManager
在CentOS系统上,目前有NetworkManager和network两种网络管理工具。如果两种都配置会引起冲突,而且NetworkManager在网络断开的时候,会清理路由,如果一些自定义的路由,没有加入到NetworkManager的配置文件中,路由就被清理掉,网络连接后需要自定义添加上去。
NetworkManager:这个服务由几个部分组成;一个是管理系统网络连接;一个是允许用户管理网络连接的客户端程序,使用它可以更好的管理网络
#临时关闭
[root@lxy ~]# systemctl stop NetworkManager
#永久关闭
[root@lxy ~]# systemctl disable NetworkManager
[root@lxy ~]# nmtui #必须NetworkManager启动才能使用图形化管理网卡配置文件
6.加大文件描述符数量
6. 加大文件描述符数量
[root@lxy ~]# vi /etc/security/limits.conf
<domain> <type> <item> <value>
限制的用户 限制类型 限制资源 限制的值
* - nofile 65535
#加大文件描述符
[root@lxy ~]# echo '* - nofile 65535' >> /etc/security/limits.conf
#检查结果
[root@lxy ~]# tail -1 /etc/security/limits.conf
* - nofile 65535
[root@lxy ~]# ulimit -a
core file size (blocks, -c) 0
data seg size (kbytes, -d) unlimited
scheduling priority (-e) 0
file size (blocks, -f) unlimited
pending signals (-i) 3805
max locked memory (kbytes, -l) 64
max memory size (kbytes, -m) unlimited
open files (-n) 65535
pipe size (512 bytes, -p) 8
POSIX message queues (bytes, -q) 819200
real-time priority (-r) 0
stack size (kbytes, -s) 8192
cpu time (seconds, -t) unlimited
max user processes (-u) 3805
virtual memory (kbytes, -v) unlimited
file locks (-x) unlimited
[root@lxy ~]# ulimit -n
65535
7.SSH服务
7. SSH服务
#禁止DNS反向解析
[root@lxy ~]# grep 'UseDNS' /etc/ssh/sshd_config
#UseDNS yes
[root@lxy ~]# sed -i 's#^\#UseDNS.*#UseDNS no#g' /etc/ssh/sshd_config
[root@lxy ~]# grep 'UseDNS' /etc/ssh/sshd_config
UseDNS no
#禁止GSS认证,优化连接速度
[root@lxy ~]# grep 'GSSAPIA' /etc/ssh/sshd_config
GSSAPIAuthentication yes
[root@lxy ~]# sed -i 's#^GSSAPIA.*#GSSAPIAuthentication no#g' /etc/ssh/sshd_config
[root@lxy ~]# grep 'GSSAPIA' /etc/ssh/sshd_config
GSSAPIAuthentication no
#重启生效
[root@lxy ~]# systemctl restart sshd
8.内核优化
8. 内核优化
cat >>/etc/sysctl.conf<<EOF
net.ipv4.tcp_fin_timeout = 2
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_keepalive_time = 600
net.ipv4.ip_local_port_range = 4000 65000
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.tcp_max_tw_buckets = 36000
net.ipv4.route.gc_timeout = 100
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_synack_retries = 1
net.core.somaxconn = 16384
net.core.netdev_max_backlog = 16384
net.ipv4.tcp_max_orphans = 16384
EOF
[root@lxy ~]# sysctl -p #生效
net.ipv4.tcp_fin_timeout = 2
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_keepalive_time = 600
net.ipv4.ip_local_port_range = 4000 65000
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.tcp_max_tw_buckets = 36000
net.ipv4.route.gc_timeout = 100
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_synack_retries = 1
net.core.somaxconn = 16384
net.core.netdev_max_backlog = 16384
net.ipv4.tcp_max_orphans = 16384
9.别名及环境变量优化
9. 别名及环境变量优化
cat>>/etc/profile.d/color.sh<<"EOF"
alias ll='ls -l --color=auto --time-style=long-iso'
PS1="\[\e[37;40m\][\[\e[32;1m\]\u\[\e[37;40m\]@\h \[\e[36;40m\]\w\[\e[0m\]]\[\e[32;1m\]\\$ \[\e[0m\]"
export HISTTIMEFORMAT='%F-%T '
EOF
#生效
[root@lxy ~]# source /etc/profile
10. 安装一些常用软件
10. 安装一些常用软件
[root@lxy ~]# yum -y install tree nmap sysstat lrzsz telnet bash-completion bash-completion-extras vim lsof net-tools rsync ntpdate nfs-utils
11.修改主机名和IP地址的脚本
11. 修改主机名和ip地址的脚本
[root@lxy ~]#cat>/root/hostname_ip.sh<<"EOF"
#!/usr/bin/sh
source /etc/init.d/functions
if [ $# -ne 2 ];then
echo "/bin/sh $0 New hostname New IP address"
exit 1
fi
hostnamectl set-hostname $1
if [ $? -eq 0 ];then
action "hostname update Successfull." /bin/true
else
action "hostname update Failed." /bin/false
fi
sed -ri "/^IPA/s#(.*\.).*#\1$2#g" /etc/sysconfig/network-scripts/ifcfg-eth[01]
if [ $? -eq 0 ];then
action "IP update Successfull." /bin/true
systemctl restart network
else
action "IP update Failed!" /bin/false
fi
bash
EOF
12.系统安全优化总结
12. 系统安全优化总结
1)禁止root用户远程连接,不用root登录管理系统,而以普通用户登录通过sudo授权管理。
2)更改默认的远程连接SSH服务端口,甚至要更改SSH服务只监听内网IP。
3)定时自动更新服务器的时间,使其和互联网时间同步。
4)配置yum更新源,从国内更新源下载安装软件包。
5)关闭SELinux及Firewalld(在工作场景中,如果有外部IP一般要打开Firewalld,高并发高流量的服务器可能无法开启)。
6)调整文件描述符的数量,进程及文件的打开都会消耗文件描述符数量。
7)定时自动清理邮件临时目录垃圾文件,防止磁盘的inodes数被小文件占满。
8)Linux内核参数优化。
9)更改系统字符集为"zh_CN.UTF-8",使其支持中文,防止出现乱码问题。
10)锁定关键系统文件如/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow,处理以上内容后把chattr、lsattr改名,转移走,这样就安全多了。
11)清空/etc/issue、/etc/issue.net,去除系统及内核版本登录前的屏幕显示。
[root@lxy ~]# cat /etc/motd #登录之后显示的
12)清除多余的系统虚拟用户账号
13)为grub引导菜单加密码。
14)禁止主机被ping。echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
15)打补丁并升级有已知漏洞的软件。
网卡命名规则
centos-7 两种命令规则
biosdevname
net.ifnames
如果都没有这两种规则,使用传统命名方式: eth0 eth1
biosdevname == 0 不启用
net.ifnames == 0 不启用
centos-7中
biosdevname == 0 net.ifnames == 1
安装系统的时候 net.ifnames=0
命令行设置:网卡命名规则
#修改网卡配置文件名称
[root@llll ~]# mv /etc/sysconfig/network-scripts/ifcfg-ens33 /etc/sysconfig/network-scripts/ifcfg-eth0
#修改网卡配置中网卡名及设备名
[root@llll ~]# sed -i 's#ens33#eth0#g' /etc/sysconfig/network-scripts/ifcfg-eth0
[root@llll ~]# grep 'eth0' /etc/sysconfig/network-scripts/ifcfg-eth0
NAME=eth0
DEVICE=eth0
#修改grub中的内核参数
[root@llll ~]# cat /etc/sysconfig/grub
GRUB_TIMEOUT=5
GRUB_DISTRIBUTOR="$(sed 's, release .*$,,g' /etc/system-release)"
GRUB_DEFAULT=saved
GRUB_DISABLE_SUBMENU=true
GRUB_TERMINAL_OUTPUT="console"
GRUB_CMDLINE_LINUX="crashkernel=auto rd.lvm.lv=centos/root rd.lvm.lv=centos/swap rhgb net.ifnames=0 quiet"
GRUB_DISABLE_RECOVERY="true"
#将其更改好的参数加载到引导目录中grub配置文件
[root@llll ~]# grub2-mkconfig -o /boot/grub2/grub.cfg
Generating grub configuration file ...
Found linux image: /boot/vmlinuz-3.10.0-957.el7.x86_64
Found initrd image: /boot/initramfs-3.10.0-957.el7.x86_64.img
Found linux image: /boot/vmlinuz-0-rescue-27d18c65315c4bb28b9b0317455eaa91
Found initrd image: /boot/initramfs-0-rescue-27d18c65315c4bb28b9b0317455eaa91.img
done
#重启
[root@llll ~]# reboot
安装双网卡
1.虚拟机添加网卡
#命令行生成网卡
[root@lxy ~]# ifconfig eth1 172.16.1.150/24 up
[root@lxy ~]# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 00:0c:29:02:93:87 brd ff:ff:ff:ff:ff:ff
inet 10.0.0.150/24 brd 10.0.0.255 scope global eth0
valid_lft forever preferred_lft forever
inet6 fe80::20c:29ff:fe02:9387/64 scope link
valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 00:0c:29:02:93:91 brd ff:ff:ff:ff:ff:ff
inet 172.16.1.150/24 brd 172.16.1.255 scope global eth1
valid_lft forever preferred_lft forever
inet6 fe80::20c:29ff:fe02:9391/64 scope link
valid_lft forever preferred_lft forever
#配置eth1的配置文件
[root@lxy ~]# cp /etc/sysconfig/network-scripts/ifcfg-eth0 /etc/sysconfig/network-scripts/ifcfg-eth1
#修改配置文件
[root@lxy ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth1
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=none
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=eth1
DEVICE=eth1
ONBOOT=yes
IPADDR=172.16.1.150
PREFIX=24
IPV6_PRIVACY=no
#重启网络服务
[root@lxy ~]# systemctl restart network
[root@lxy ~]# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 00:0c:29:02:93:87 brd ff:ff:ff:ff:ff:ff
inet 10.0.0.150/24 brd 10.0.0.255 scope global eth0
valid_lft forever preferred_lft forever
inet6 fe80::20c:29ff:fe02:9387/64 scope link
valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 00:0c:29:02:93:91 brd ff:ff:ff:ff:ff:ff
inet 172.16.1.150/24 brd 172.16.1.255 scope global eth1
valid_lft forever preferred_lft forever
inet6 fe80::20c:29ff:fe02:9391/64 scope link
valid_lft forever preferred_lft forever
[root@lxy ~]# ll /etc/sysconfig/network-scripts/ifcfg-eth*
-rw-r--r--. 1 root root 312 Jan 9 12:24 /etc/sysconfig/network-scripts/ifcfg-eth0
-rw-r--r--. 1 root root 282 Jan 9 14:59 /etc/sysconfig/network-scripts/ifcfg-eth1
标签:00,系统优化,lxy,网卡,etc,ipv4,ff,root,双网卡 来源: https://www.cnblogs.com/smyjs172lxy/p/13442419.html