最新消息:运维之路

CentOS6.x系统初始安装基本优化操作

系统运维 admin 237浏览 0评论

“linux logo”的图片搜索结果

前提:在生产环境下系统安装完成后并不能直接立即投入使用,为了最大化利用并发挥机器硬件性能,我们需要对系统进行一些必要的优化..

本文件是采用的模板是centos 6.x,相较于centos 5.x与centos 7.x系列有些区别,不能一概而论。

优化条目:

 1 修改ip地址、网关、主机名、DNS等
 2 关闭selinux,清理iptables
 3 更新yum源及必要软件安装
 4 服务器时间同步
 5 去除系统及内核版本登录前的屏幕显示
 6 调整文件描述符大小
 7 内核参数优化

1、修改ip地址、网关、主机名、DNS等

[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0 #网卡名字
BOOTPROTO=static #静态IP地址获取状态 如:DHCP表示自动获取IP地址
IPADDR=192.168.1.113 #IP地址
NETMASK=255.255.255.0 #子网掩码
ONBOOT=yes #引导时是否激活 NO改为YES
GATEWAY=192.168.1.1 #网关地址

上述信息需要按照自身环境去设定
[root@localhost ~]# vim /etc/sysconfig/network
NETWORKING=yes #使用网络
HOSTNAME=Centos #设置主机名称

然后开始修改:

[root@localhost ~]# vim /etc/hosts
在后面追加一条主机名映射
127.0.0.1 Centos
上述操作后需要重启才生效 临时生效方法如下
[root@localhost ~]# hostname Centos
修改DNS___这里使用的是阿里的DNS
[root@localhost ~]# vi /etc/resolv.conf #修改DNS信息
nameserver 223.5.5.5
nameserver 223.6.6.6

[root@localhost ~]# service network restart #重启网卡,生效

2、关闭selinux,清理iptables

SELINUX基本是没啥用的,在线上需要关闭,不然会带来很多不必要的烦恼.iptables防火墙清理下加入些许防网络攻击规则

SELinux 的状态模式:

  • enforcing : 强制启用SELinux
  • permissive : 只显示警告讯息以替代强制启用SELinux
  • disabled : 停用SELinux

#防止SYN攻击 轻量级预防
iptables -N syn-flood
iptables -A INPUT -p tcp --syn -j syn-flood
iptables -I syn-flood -p tcp -m limit --limit 3/s --limit-burst 6 -j RETURN
iptables -A syn-flood -j REJECT

#防止DOS太多连接进来,可以允许外网网卡每个IP最多15个初始连接,超过的丢弃
iptables -A INPUT -i eth0 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

关闭Selinux

sed –i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config   #需要重启生效
setenforce  0                                                               #临时生效命令

3、更新yum源及必要软件安装

强烈你安装epel(Extra Packages for Enterprise),epel是社区强烈打造的免费开源发行软件包版本库,系统包含大概有1万多个软件包,163和sohu的镜像是没有这么多软件了.

# rpm -Uvh http://mirrors.kernel.org/fedora-epel/6/i386/epel-release-6-8.noarch.rpm

安装完成之后你就可以直接使用yum来安装额外的软件包了

yum clean    all
rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY* 
yum update

4、服务器时间同步


ntpdate pool.ntp.org
[ ! -e "/var/spool/cron/root" -o -z "`grep 'ntpdate' /var/spool/cron/root`" ] && { echo "*/20 * * * * `which ntpdate` pool.ntp.org > /dev/null 2>&1" >> /var/spool/cron/root;chmod 600 /var/spool/cron/root; }
service crond restart

5、 去除系统及内核版本登录前的屏幕显示


[root@localhost ~]# cat /dev/null  > /etc/redhat-release 
[root@localhost ~]# cat /dev/null  > /etc/issue 

6、调整文件描述符大小
参照阿里云的配置 修改文件需要重启 可以修改后使用命令临时生效 ulimit -SHn 65535


[root@localhost ~]#vim /etc/security/limits.conf
* soft nofile 65535
* hard nofile 65535
* soft nproc 65535
* hard nproc 65535
* soft nofile 65535
* hard nofile 65535

7、 内核参数优化
仅供参考 可以按照自己需求自行修改 下面有详细点的说明

cat >> /etc/sysctl.conf << EOF
net.ipv4.tcp_fin_timeout = 1
net.ipv4.tcp_keepalive_time = 1200
net.ipv4.tcp_mem = 94500000 915000000 927000000
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_synack_retries = 1
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_tw_recycle = 1
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.core.netdev_max_backlog = 262144
net.core.somaxconn = 262144
net.ipv4.tcp_max_orphans = 3276800
net.ipv4.tcp_max_syn_backlog = 262144
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
EOF
/sbin/sysctl -p
接收套接字缓冲区大小的默认值(以字节为单位)。
net.core.rmem_default = 262144
接收套接字缓冲区大小的最大值(以字节为单位)。
net.core.rmem_max = 16777216
发送套接字缓冲区大小的默认值(以字节为单位)。
net.core.wmem_default = 262144
发送套接字缓冲区大小的最大值(以字节为单位)。
net.core.wmem_max = 16777216
用来限制监听(LISTEN)队列最大数据包的数量,超过这个数量就会导致链接超时或者触发重传机制。
net.core.somaxconn = 262144
当网卡接收数据包的速度大于内核处理的速度时,会有一个队列保存这些数据包。这个参数表示该队列的最大值。
net.core.netdev_max_backlog = 262144
表示系统中最多有多少TCP套接字不被关联到任何一个用户文件句柄上。如果超过这里设置的数字,连接就会复位并输出警告信息。这个限制仅仅是为了防止简单的DoS攻击。此值不能太小。
net.ipv4.tcp_max_orphans = 262144
表示那些尚未收到客户端确认信息的连接(SYN消息)队列的长度,默认为1024,加大队列长度为262144,可以容纳更多等待连接的网络连接数。
net.ipv4.tcp_max_syn_backlog = 262144
表示系统同时保持TIME_WAIT套接字的最大数量。如果超过此数,TIME_WAIT套接字会被立刻清除并且打印警告信息。之所以要设定这个限制,纯粹为了抵御那些简单的DoS攻击,不过,过多的TIME_WAIT套接字也会消耗服务器资源,甚至死机。
net.ipv4.tcp_max_tw_buckets = 10000
表示允许系统打开的端口范围。
net.ipv4.ip_local_port_range = 1024 65500
以下两参数可解决生产场景中大量连接的服务器中TIME_WAIT过多问题。
表示开启TCP连接中TIME_WAIT套接字的快速回收,默认为0,表示关闭。
net.ipv4.tcp_tw_recycle = 1
表示允许重用TIME_WAIT状态的套接字用于新的TCP连接,默认为0,表示关闭。
net.ipv4.tcp_tw_reuse = 1
当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击,默认为0,表示关闭。
net.ipv4.tcp_syncookies = 1
表示系统允许SYN连接的重试次数。为了打开对端的连接,内核需要发送一个SYN并附带一个回应前面一个SYN的ACK包。也就是所谓三次握手中的第二次握手。这个设置决定了内核放弃连接之前发送SYN+ACK包的数量。
net.ipv4.tcp_synack_retries = 1
表示在内核放弃建立连接之前发送SYN包的数量。
net.ipv4.tcp_syn_retries = 1
减少处于FIN-WAIT-2连接状态的时间,使系统可以处理更多的连接。
net.ipv4.tcp_fin_timeout = 30
这个参数表示当keepalive启用时,TCP发送keepalive消息的频度。默认是2小时,若将其设置得小一些,可以更快地清理无效的连接。
net.ipv4.tcp_keepalive_time = 600
探测消息未获得响应时,重发该消息的间隔时间(秒)。系统默认75秒。
net.ipv4.tcp_keepalive_intvl = 30
在认定连接失效之前,发送多少个TCP的keepalive探测包。系统默认值是9。这个值乘以tcp_keepalive_intvl之后决定了,一个连接发送了keepalive探测包之后可以有多少时间没有回应。
net.ipv4.tcp_keepalive_probes = 3
确定TCP栈应该如何反映内存使用,每个值的单位都是内存页(通常是4KB)。第一个值是内存使用的下限;第二个值是内存压力模式开始对缓冲区使用应用压力的上限;第三个值是内存使用的上限。在这个层次上可以将报文丢弃,从而减少对内存的使用。示例中第一个值为7864324/1024/1024=3G,第二个值为10485764/1024/1024=4G,第三个值为1572864*4/1024/1024=6G。
net.ipv4.tcp_mem = 786432 1048576 1572864
此参数限制并发未完成的异步请求数目,应该设置避免I/O子系统故障。
fs.aio-max-nr = 1048576
该参数决定了系统中所允许的文件句柄最大数目,文件句柄设置代表linux系统中可以打开的文件的数量。
fs.file-max = 6815744
#第一列,表示每个信号集中的最大信号量数目。
#第二列,表示系统范围内的最大信号量总数目。
#第三列,表示每个信号发生时的最大系统操作数目。
#第四列,表示系统范围内的最大信号集总数目。
#第一列*第四列=第二列
kernel.sem = 250 32000 100 128
表示尽量使用内存,减少使用磁盘swap交换分区,内存速度明显高于磁盘一个数量级,linux系统默认为60。
vm.swappiness = 0

附带一个小脚本

	
#!/bin/bash
#only for CentOS 6.x

#check the OS

platform=`uname -i`
if [ $platform != "x86_64" ];then 
echo "this script is only for 64bit Operating System !"
exit 1
fi
echo "the platform is ok"
version=`lsb_release -r |awk '{print substr($2,1,1)}'`
if [ $version != 6 ];then
echo "this script is only for CentOS 6 !"
exit 1
fi
cat << EOF +---------------------------------------+ | your system is CentOS 6 x86_64 | | start optimizing....... | +--------------------------------------- EOF #make new yum repo rpm -Uvh http://mirrors.kernel.org/fedora-epel/6/i386/epel-release-6-8.noarch.rpm rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY* #update the system and set the ntp yum clean all yum -y update glibc\* yum -y update yum\* rpm\* python\* yum -y update bash\* yum -y update yum -y install ntp ntpdate pool.ntp.org [ ! -e "/var/spool/cron/root" -o -z "`grep 'ntpdate' /var/spool/cron/root`" ] && { echo "*/20 * * * * `which ntpdate` pool.ntp.org > /dev/null 2>&1" >> /var/spool/cron/root;chmod 600 /var/spool/cron/root; }
service crond restart


#set the file limit
echo "ulimit -SHn 102400" >> /etc/rc.local
cat >> /etc/security/limits.conf << 
EOF 
* soft nofile 65535 
* hard nofile 65535 
* soft nproc 65535 
* hard nproc 65535 
* soft nofile 65535 
* hard nofile 65535 
EOF

#set the control-alt-delete to guard against the miSUSE 
sed -i 's#exec /sbin/shutdown -r now#\#exec /sbin/shutdown -r now#' /etc/init/control-alt-delete.conf #disable selinux 
sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config 
#tune kernel parametres 
cat >> /etc/sysctl.conf << EOF 
net.ipv4.tcp_fin_timeout = 1 
net.ipv4.tcp_keepalive_time = 1200 
net.ipv4.tcp_mem = 94500000 915000000 927000000 
net.ipv4.tcp_tw_reuse = 1 
net.ipv4.tcp_timestamps = 0 
net.ipv4.tcp_synack_retries = 1 
net.ipv4.tcp_syn_retries = 1 
net.ipv4.tcp_tw_recycle = 1 
net.core.rmem_max = 16777216 
net.core.wmem_max = 16777216 
net.core.netdev_max_backlog = 262144 
net.core.somaxconn = 262144 
net.ipv4.tcp_max_orphans = 3276800 
net.ipv4.tcp_max_syn_backlog = 262144 
net.core.wmem_default = 8388608 
net.core.rmem_default = 8388608 
EOF 
/sbin/sysctl -p 
#define the backspace button can erase the last character typed 
echo 'stty erase ^H' >> /etc/profile
echo "syntax on" >> /root/.vimrc

#stop some crontab
mkdir /etc/cron.daily.bak
mv /etc/cron.daily/makewhatis.cron /etc/cron.daily.bak
mv /etc/cron.daily/mlocate.cron /etc/cron.daily.bak
chkconfig bluetooth off
chkconfig cups off
chkconfig ip6tables off
#disable the ipv6
cat > /etc/modprobe.d/ipv6.conf << EOFI alias net-pf-10 off options ipv6 disable=1 EOFI echo "NETWORKING_IPV6=off" >> /etc/sysconfig/network
cat << EOF
+-------------------------------------------------+
|               Done   .............              |
+-------------------------------------------------+
EOF

转载请注明:DevOps » CentOS6.x系统初始安装基本优化操作

发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址