如何给安装好Linux服务器进行优化设置和安全设置

1、 关闭不需要的服务

这个应该很容易理解的，凡是我们的系统不需要的服务，一概关闭，这样一个好处是减少内存和CPU时间的占用，另一个好处相对可以提高安全性

那么哪些服务是肯定要保留的呢?

在linux机器上通常有四项服务是必须保留的

iptables

linux下强大的防火墙，只要机器需要连到网上，哪里离得开它

network

linux机器的网络，如果不上网可以关闭，只要上网当然要打开它

sshd

这是openssh server,如果你的机器不是本地操作，而是托管到IDC机房，

那么访问机器时需要通过这个sshd服务进行

syslog

这是linux系统的日志系统，必须要有，

否则机器出现问题时会找不到原因

除了这四项必需的服务之外，其他的服务需要保留哪些呢?

这时就可以根据系统的用途而定，比如：数据库服务器，就需要启用mysqld(或oracle)

web服务器，就需要启用apache

2、 关闭不需要的tty

请编辑你的/etc/inittab

找到如下一段：

1:2345:respawn:/sbin/mingetty tty1

2:2345:respawn:/sbin/mingetty tty2

3:2345:respawn:/sbin/mingetty tty3

4:2345:respawn:/sbin/mingetty tty4

5:2345:respawn:/sbin/mingetty tty5

6:2345:respawn:/sbin/mingetty tty6

这段命令使init为你打开了6个控制台，分别可以用alt+f1到alt+f6进行访问

此6个控制台默认都驻留在内存中，事实上没有必要使用这么多的

你用ps auxf这个命令可以看到，是六个进程

root 3004 0.0 0.0 1892 412 tty1 Ss+ Jun29 0:00 /sbin/mingetty tty1

root 3037 0.0 0.0 2492 412 tty2 Ss+ Jun29 0:00 /sbin/mingetty tty2

root 3038 0.0 0.0 2308 412 tty3 Ss+ Jun29 0:00 /sbin/mingetty tty3

root 3051 0.0 0.0 1812 412 tty4 Ss+ Jun29 0:00 /sbin/mingetty tty4

root 3056 0.0 0.0 2116 412 tty5 Ss+ Jun29 0:00 /sbin/mingetty tty5

root 3117 0.0 0.0 2396 412 tty6 Ss+ Jun29 0:00 /sbin/mingetty tty6

3. 如何关闭这些进程?

通常我们保留前2个控制台就可以了，

把后面4个用#注释掉就可以了

然后无需重启机器，只需要执行 init q 这个命令即可

init q

q作为参数的含义：重新执行/etc/inittab中的命令

修改完成后需重启机器使之生效

4 、如何关闭atime?

一个linux文件默认有3个时间：

atime:对此文件的访问时间

ctime:此文件inode发生变化的时间

mtime:此文件的修改时间

如果有多个小文件时通常没有必要记录文件的访问时间，

这样可以减少磁盘的io,比如web服务器的页面上有多个小图片

如何进行设置呢?

修改文件系统的配置文件：vi /etc/fstab

在包含大量小文件的分区中使用noatime,nodiratime两项

例如：

/dev/md5 /data/pics1 ext3 noatime,nodiratime 0 0

这样文件被访问时就不会再产生写磁盘的io

5、 一定要让你的服务器运行在level 3上

做法：

vi /etc/inittab

id:3:initdefault:

让服务器运行X是没有必要的

6, 优化sshd

X11Forwarding no //不进行x图形的转发

UseDNS no //不对IP地址做反向的解析

7、 优化shell

修改命令history记录

# vi /etc/profile

找到 HISTSIZE=1000 改为 HISTSIZE=100

然后 source /etc/profile

Linux系统优化的12个步骤：

1、登录系统。

2、禁止SSH远程。

3、时间同步。

4、配置yum更新源。

5、关闭selinux及iptables。

6、调整文件描述符数量。

7、定时自动清理/var/spool/clientmquene/目录垃圾文件。

8、精简开机启动服务。

9、Linux内核参数优化/etc/sysctl.conf，执行sysct -p生效。

10、更改字符集，防止乱码问题出现。

11、锁定关键系统文件。

12、清空/etc/issue，去除系统及内核版本登陆前的屏幕显示。

Linux系统的主要特性：

基本思想

Linux的基本思想有两点：第一，一切都是文件；第二，每个软件都有确定的用途。其中第一条详细来讲就是系统中的所有都归结为一个文件，包括命令、硬件和软件设备、操作系统、进程等等对于操作系统内核而言，都被视为拥有各自特性或类型的文件。至于说Linux是基于Unix的，很大程度上也是因为这两者的基本思想十分相近。

完全免费

Linux是一款免费的操作系统，用户可以通过网络或其他途径免费获得，并可以任意修改其源代码。这是其他的操作系统所做不到的。正是由于这一点，来自全世界的无数程序员参与了Linux的修改、编写工作，程序员可以根据自己的兴趣和灵感对其进行改变，这让Linux吸收了无数程序员的精华，不断壮大。

完全兼容POSIX1.0标准

这使得可以在Linux下通过相应的模拟器运行常见的DOS、Windows的程序。这为用户从Windows转到Linux奠定了基础。许多用户在考虑使用Linux时，就想到以前在Windows下常见的程序是否能正常运行，这一点就消除了他们的疑虑。

多用户、多任务

Linux支持多用户，各个用户对于自己的文件设备有自己特殊的权利，保证了各用户之间互不影响。多任务则是现在电脑最主要的一个特点，Linux可以使多个程序同时并独立地运行。

良好的界面

Linux同时具有字符界面和图形界面。在字符界面用户可以通过键盘输入相应的指令来进行操作。它同时也提供了类似Windows图形界面的X-Window系统，用户可以使用鼠标对其进行操作。在X-Window环境中就和在Windows中相似，可以说是一个Linux版的Windows。

支持多种平台

Linux可以运行在多种硬件平台上，如具有x86、680x0、SPARC、Alpha等处理器的平台。此外Linux还是一种嵌入式操作系统，可以运行在掌上电脑、机顶盒或游戏机上。2001年1月份发布的Linux 2.4版内核已经能够完全支持Intel 64位芯片架构。同时Linux也支持多处理器技术。多个处理器同时工作，使系统性能大大提高。

在Windows系统中，磁盘碎片是一个常见的问题，如果不注意，系统性能可能被侵蚀。Linux使用第二扩展文件系统(ext2)，它以一种完全不同的方式处理文件存储。Linux没有Windows系统中发现的那种问题，这使得许多人认为磁盘碎片化根本不是一个问题。但是，这是不正确的。

所有的文件系统随着时间的推移都趋向于碎片化。Linux文件系统减少了碎片化，但是并没有消除。由于它不经常出现，所以对于一个单用户的工作站来说，可能根本不是问题。然而在繁忙的服务器中，随着时间的过去，文件碎片化将降低硬盘性能，硬盘性能只有从硬盘读出或写入数据时才能注意到。下面是优化Linux系统硬盘性能的一些具体措施。

一、清理磁盘

这种方法看上去很简单:清理磁盘驱动器，删除不需要的文件，清除所有需要被保存但将不被使用的文件。如果可能的话，清除多余的目录，并减少子目录的数目。这些建议似乎显而易见，但是你会惊讶地发现，每个磁盘上确实积累了非常多的垃圾。释放磁盘空间可以帮助系统更好地工作。

二、整理磁盘碎片

Linux系统上的磁盘碎片整理程序与Windows 98或Windows NT系统中的磁盘碎片整理程序不同。Windows 98引入FAT 32文件系统，虽然运行Windows 98不必转换为FAT 32文件系统。Windows可以被设置为使用FAT或一个叫NTFS的增强文件系统。所有这些文件系统以本质上相同的方式处理文件存储。

Linux最好的整理磁盘碎片的方法是做一个完全的备份，重新格式化分区，然后从备份恢复文件。当文件被存储时，它们将被写到连续的块中，它们不会碎片化。这是一个大工作，可能对于像/usr之类不经常改变的程序分区是不必要的，但是它可以在一个多用户系统的/home分区产生奇迹。它所花费的时间与Windows NT服务器磁盘碎片整理花费的时间大致上相同。

如果硬盘性能仍不令人满意，还有许多其它的步骤可以考虑，但是任何包含升级或购买新设备的硬件解决方案可能会是昂贵的。

三、从IDE升级到SCSI

如果你的硬盘是一个IDE驱动器，可以通过升级到SCSI驱动器获得更好的整体性能。因为IDE控制器必须访问CPU，CPU和磁盘密集型操作可能变得非常缓慢。SCSI控制器不用通过CPU处理读写。当IDE驱动器在读或写时，用户可能会因为CPU周期被IDE驱动器占用而抱怨系统的缓慢。

获取更快的控制器和磁盘驱动器

标准的SCSI控制器不能比标准的IDE控制器更快地读写数据，但是一些非常快的“UltraWide”SCSI控制器能够使读写速度有一个真正的飞跃。

EIDE和UDMA控制器是非常快的IDE控制器。新的UDMA控制器能够接近SCSI控制器的速度。UDMA控制器的顶级速度是猝发速度，但持续传输的速度明显慢得多。IDE控制器包括UDMA，是嵌入在驱动器本身中的。不需要购买一个控制器，只要购买一个驱动器，它就包含了控制器，可以获得UDMA性能。

磁盘驱动器经常忽视的一个方面是磁盘本身的速度。磁盘的速度以rpm为单位给出，它代表每分钟旋转多少次。rpm越大，磁盘速度也越快。如果你有这方面的预算，大多数服务器系统厂商可提供7500rpm甚至10000rpm SCSI磁盘。标准SCSI和IDE磁盘提供5400rpm速度。

四、使用多个控制器

IDE和SCSI磁盘可以被链接。IDE链最多包括两个设备，标准SCSI链最多包括七个设备。如果在系统中有两个或更多SCSI磁盘，很可能被链接到同一个控制器。这样对大多数操作是足够的，尤其是把计算机当作单用户的工作站时。但是如果有一个服务器，那么就能够通过对每个SCSI驱动器提供一个控制器改善性能。当然，好的控制器是昂贵的。

五、调整硬盘参数

使用hdparm工具可以调整IDE硬盘性能，它设计时专门考虑了使用UDMA驱动器。在缺省情况下，Linux使用是最安全的，但是设置访问IDE驱动器是最慢的。缺省模式没有利用UDMA可能的最快的性能。

使用hdparm工具，通过激活下面的特性可以显著地改善性能:

◆ 32位支持 缺省设置是16位

◆ 多部分访问 缺省设置是每次中断单部分传送。

注意:在使用hdparm之前，确保对系统已经做了完全的备份。使用hdparm改变IDE参数，如果出错可能会引起驱动器上全部数据的丢失。

hdparm可以提供关于硬盘的大量信息。打开一个终端窗口，输入下面命令获取系统中第一个IDE驱动器的信息(改变设备名获取其它IDE驱动器的信息):

hdparm -v /dev/had

上面命令显示出当系统启动时从驱动器获得的信息，包括驱动器操作在16位或32位模式(I/O Support)下，是否为多部分访问(Multcount)。关于磁盘驱动器的更详细信息的显示可使用-i参数。

Hdparm也可以测试驱动器传输速率。输入命令测试系统中第一个IDE驱动器:

hdparm -Tt /dev/hda

此测试可测量驱动器直接读和高速缓冲存储器读的速度。结果是一个优化的“最好的事例”数字。改变驱动器设置，激活32位传输

六、使用软件RAID

RAID廉价驱动器的冗余阵列，也可以改善磁盘驱动器性能和容量。Linux支持软件RAID和硬件RAID。软件RAID嵌入在Linux 内核中，比硬件RAID花费要少得多。软件RAID的惟一花费就是购买系统中的磁盘，但是软件RAID不能使硬件RAID的性能增强。硬件RAID使用特殊设计的硬件，控制系统的多个磁盘。硬件RAID可能是昂贵的，但是得到的性能改善与之相匹配。RAID的基本思想是组合多个小的、廉价的磁盘驱动器成为一个磁盘驱动器阵列，提供与大型计算机中单个大驱动器相同的性能级别。RAID驱动器阵列对于计算机来说像单独一个驱动器，它也可以使用并行处理。磁盘读写在RAID磁盘阵列的并行数据通路上同时进行。

IBM公司在加利福尼亚大学发起一项研究，得到RAID级别的一个最初定义。现在有六个已定义的RAID级别，如下所示。

RAID 0:级别0只是数据带。在级别0中，数据被拆分到多于一个的驱动器，结果是更高的数据吞吐量。这是RAID的最快和最有效形式。但是，在这个级别没有数据镜像，所以在阵列中任何磁盘的失败将引起所有数据的丢失。

RAID 1:级别1是完全磁盘镜像。在独立的磁盘上创建和支持数据两份拷贝。级别1阵列与一个驱动器相比读速度快、写速度慢，但是如果任一个驱动器错误，不会有数据丢失。这是最昂贵的RAID级别，因为每个磁盘需要第二个磁盘做它的镜像。这个级别提供最好的数据安全。

RAID 2:级别2设想用于没有内嵌错误检测的驱动器。因为所有的SCSI驱动器支持内嵌错误检测，这个级别已过时，基本上没用了。Linux不使用这个级别。

RAID 3:级别3是一个有奇偶校验磁盘的磁盘带。存储奇偶校验信息到一个独立的驱动器上，允许恢复任何单个驱动器上的错误。Linux不支持这个级别。

RAID 4:级别4是拥有一个奇偶校验磁盘的大块带。奇偶校验信息意味着任何一个磁盘失败数据可以被恢复。级别4阵列的读性能非常好，写速度比较慢，因为奇偶校验数据必须每次更新。

RAID 5:级别5与级别4相似，但是它将奇偶校验信息分布到多个驱动器中。这样提高了磁盘写速度。它每兆字节的花费与级别4相同，提高了高水平数据保护下的高速随机性能，是使用最广泛的RAID系统。

软件RAID是级别0，它使多个硬盘看起来像一个磁盘，但是速度比任何单个磁盘快得多，因为驱动器被并行访问。软件RAID可以用IDE或SCSI控制器，也可以使用任何磁盘组合。

七、配置内核参数

通过调整系统内核参数改善性能有时是很明显的。如果你决定要这样做一定要小心，因为系统内核的改变可能优化系统，也可能引起系统崩溃。

注意:不要在一个正在使用的系统上改变内核参数，因为有系统崩溃的危险。因此，必须在一个没有人使用的系统上进行测试。设置一个测试机器，对系统进行测试，确保所有工作正常。

Tweak内存性能

在Linux中，可以Tweak系统内存。如果遇到内存不足错误或者系统是用于网络的，可以调整内存分配设置。

内存一般以每页4千字节分配。调整“空白页”设置，可以在性能上有显著的改善。打开终端窗口，输入下面的命令查看系统的当前设置:

cat /proc/sys/vm/freepages

这样将获得三个数字，就像下面这样:

128 256 384

这些是最小空白页、空白页低和空白页高设置。这些值在启动时决定。最小设置是系统中内存数量的两倍低设置是内存数量的4倍高设置是系统内存的6倍自由内存不能小于最小空白页数。

如果空白页数目低于空白页高设置，则交换(使用磁盘空间分配到交换文件)开始。当达到空白页低设置时，密集型交换开始。

增加空白页高设置有时可以改善整体性能，比如试试增加高设置到1MB，用echo命令可以调整这个设置。使用样本设置，输入这个命令增加空白页高设置到1MB:

注意:当系统还没有被使用时测试这个设置，以确保在做任何调整时监视系统性能。这样可以确定哪个设置对系统是最好的。

---