3同行回答
当企业集中管理多个 Linux 系统时,可以考虑优化以下公共参数来提高系统的一致性和性能:
- 主机名(Hostname):设置有意义的主机名,以便在集中管理中识别和区分各个主机。
- IP 地址和网络配置:为每个主机分配唯一的 IP 地址,并确保正确的网络配置,包括网关、DNS 解析和网络接口设置等。
- 时间同步(Time synchronization):配置时间同步服务(如 NTP)以确保系统时间的一致性。这对于日志记录、认证和事件跟踪等非常重要。
- 用户和组管理:使用统一的用户和组管理机制,例如LDAP(轻型目录访问协议)或 Active Directory(AD),以便在所有系统上管理和同步用户和组信息。
- 身份验证和访问控制:集中管理用户的身份验证和访问控制机制,例如使用 LDAP、Kerberos 或单点登录(SSO)来实现统一的身份验证。
- 日志和审计:配置集中化的日志收集和审计机制,例如使用 syslog 或专门的日志收集工具,以便跟踪和分析系统事件和安全事件。
- 安全设置:统一配置系统安全设置,包括防火墙规则、访问控制列表(ACL)、SELinux 等,以保护系统免受潜在的威胁。
- 更新和补丁管理:确保所有系统都经过及时的更新和补丁管理,以修复安全漏洞和提供新功能。
- 资源限制和优化:根据需要,在所有系统上配置资源限制和优化策略,如限制 CPU、内存和磁盘使用量,以确保公平共享和性能稳定。
- 远程管理和监控:配置远程管理和监控工具,例如使用 SSH、远程桌面和集中式监控系统,以便远程管理和监控多个系统。
以上只是一些常见的优化参数,实际的配置需根据企业的具体需求和安全策略进行调整。对于企业级的集中管理,建议建立一个统一的标准操作环境(Standard Operating Environment,SOE),并使用自动化工具和配置管理系统来管理和部署公共参数的变更,以确保一致性和效率。
收起
一些常见的需要优化的公共参数有:
1、CPU相关参数,例如net.ipv4.tcp_fin_timeout, net.ipv4.tcp_tw_reuse, net.ipv4.tcp_tw_recycle等,可以调整TCP连接的状态转移和重传策略,提高CPU的利用率和响应速度。
2、内存相关参数,例如net.ipv4.tcp_rmem, net.ipv4.tcp_wmem, net.core.netdev_max_backlog等,可以调整TCP接收和发送缓存的大小和队列长度,提高内存的分配效率和网络性能。
3、文件系统相关参数,例如fs.file-max, net.ipv4.ip_local_port_range等,可以调整单个进程可以打开的文件句柄数目和本地端口的取值范围,提高文件系统的并发能力。
这些参数都可以通过编辑/etc/sysctl.conf文件或者使用sysctl命令来修改。不同的服务应用可能需要不同的优化策略,所以需要根据实际需求和测试结果来调整参数值。
#!/bin/sh
# Name:centos7-os-init.sh
# Write by:Jan
# Last Modify:2019-09-20
# DESC:Linux系统优化和安全加固
# CMD:sh centos7-os-init.sh
# CMD说明:该脚本主要用于centos调优,作为相对通用的模板,有一定的普适性,但是一般在实际生产环境
##########中会根据系统的不同功能,进行不同的参数优化,请各位注意。
#--------------------------------------------------------------------
#0 添加epel的yum源
##echo "[epel] " >> /etc/yum.repos.d/epel.repo
##echo "name=Extra Packages for Centos 7 - \\$basearch " >> /etc/yum.repos.d/epel.repo
##echo "baseurl=http://centos.ustc.edu.cn/epel/7Server/\\$basearch " >> /etc/yum.repos.d/epel.repo
##echo "failovermethod=priority " >> /etc/yum.repos.d/epel.repo
##echo "enabled=1 " >> /etc/yum.repos.d/epel.repo
##echo "gpgcheck=0 " >> /etc/yum.repos.d/epel.repo
###使配置生效
##yum clean all
##yum makecache
##yum repolist
yum install -y wget
wget -P /etc/yum.repos.d/ http://mirrors.aliyun.com/repo/epel-7.repo
yum clean all
yum makecache
yum repolist
##或者直接安装 rpm -ivh http://mirrors.aliyun.com/epel/epel-release-latest-7.noarch.rpm
#1 设定时区,自动同步时间,定义为每天自动同步一次
yum install -y ntpdate
\\cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime
ntp_path=`which ntpdate`
$ntp_path 172.16.2.89
hwclock -w
echo "10 1 * * * $ntp_path 172.16.2.89" >> /var/spool/cron/root
#设置hostname,一般安装的时候就会设置好
#2 创建系统默认目录:
##脚本存放目录
mkdir -p /u01/shell
##软件安装介质存放位置
mkdir -p /u01/src
##日志存放位置
mkdir -p /u02/log
##备份存放位置,一般也会挂载nas存储盘
mkdir -p /u03/bak
mkdir -p /u03/nas
#mount -t cifs -o username="jan",password="123456a?" //172.16.2.78/DB_bak /u03/nas
#3 优化内核参数
##3.1 修改最大系统最大打开文件数和最大进程数。
echo "* soft nproc 65536 ">>/etc/security/limits.conf
echo "* hard nproc 65536 ">>/etc/security/limits.conf
echo "* soft nofile 65536 ">>/etc/security/limits.conf
echo "* hard nofile 65536 ">>/etc/security/limits.conf
echo "* soft nproc 65536">/etc/security/limits.d/20-nproc.conf
echo "root soft nproc unlimited">>/etc/security/limits.d/20-nproc.conf
echo "测试方式:当前session退出后重新登录执行:ulimit -Sn ulimit -Hn"
##3.2 调整内核参数、网络参数、安全参数以应对高并发环境。
cp /etc/sysctl.conf /etc/sysctl.conf.bk
echo ''>/etc/sysctl.conf
#关闭ipv6
echo "net.ipv6.conf.all.disable_ipv6 = 1">>/etc/sysctl.conf
echo "net.ipv6.conf.default.disable_ipv6 = 1">>/etc/sysctl.conf
# 避免放大攻击
echo "net.ipv4.icmp_echo_ignore_broadcasts = 1">>/etc/sysctl.conf
# 开启恶意icmp错误消息保护
echo "net.ipv4.icmp_ignore_bogus_error_responses = 1">>/etc/sysctl.conf
#关闭路由转发
echo "net.ipv4.ip_forward = 0">>/etc/sysctl.conf
echo "net.ipv4.conf.all.send_redirects = 0">>/etc/sysctl.conf
echo "net.ipv4.conf.default.send_redirects = 0">>/etc/sysctl.conf
#开启反向路径过滤
echo "net.ipv4.conf.all.rp_filter = 1">>/etc/sysctl.conf
echo "net.ipv4.conf.default.rp_filter = 1">>/etc/sysctl.conf
#处理无源路由的包
echo "net.ipv4.conf.all.accept_source_route = 0">>/etc/sysctl.conf
echo "net.ipv4.conf.default.accept_source_route = 0">>/etc/sysctl.conf
#关闭sysrq功能
echo "kernel.sysrq = 0">>/etc/sysctl.conf
#core文件名中添加pid作为扩展名
echo "kernel.core_uses_pid = 1">>/etc/sysctl.conf
# 开启SYN洪水攻击保护
echo "net.ipv4.tcp_syncookies = 1">>/etc/sysctl.conf
#修改消息队列长度
echo "kernel.msgmnb = 65536">>/etc/sysctl.conf
echo "kernel.msgmax = 65536">>/etc/sysctl.conf
#设置最大内存共享段大小bytes,这两个参数主要在安装oracle数据库的时候,结合SGA使用
echo "kernel.shmmax = 17179869184">>/etc/sysctl.conf #建议修改为内存大小例如16G内存
echo "kernel.shmall = 4194304">>/etc/sysctl.conf #默认=kernel.shmmax/4KB(4096)
#timewait的数量,默认180000
echo "net.ipv4.tcp_max_tw_buckets = 6000">>/etc/sysctl.conf
echo "net.ipv4.tcp_sack = 1">>/etc/sysctl.conf
echo "net.ipv4.tcp_window_scaling = 1">>/etc/sysctl.conf
echo "net.ipv4.tcp_rmem = 4096 87380 4194304">>/etc/sysctl.conf
echo "net.ipv4.tcp_wmem = 4096 16384 4194304">>/etc/sysctl.conf
echo "net.core.wmem_default = 8388608">>/etc/sysctl.conf
echo "net.core.rmem_default = 8388608">>/etc/sysctl.conf
echo "net.core.rmem_max = 16777216">>/etc/sysctl.conf
echo "net.core.wmem_max = 16777216">>/etc/sysctl.conf
#每个网络接口接收数据包的速率比内核处理这些包的速率快时,允许送到队列的数据包的最大数目
echo "net.core.netdev_max_backlog = 262144">>/etc/sysctl.conf
#限制仅仅是为了防止简单的DoS 攻击
echo "net.ipv4.tcp_max_orphans = 3276800">>/etc/sysctl.conf
#未收到客户端确认信息的连接请求的最大值
echo "net.ipv4.tcp_max_syn_backlog = 262144">>/etc/sysctl.conf
echo "net.ipv4.tcp_timestamps = 0">>/etc/sysctl.conf
#内核放弃建立连接之前发送SYNACK 包的数量
echo "net.ipv4.tcp_synack_retries = 1">>/etc/sysctl.conf
#内核放弃建立连接之前发送SYN 包的数量
echo "net.ipv4.tcp_syn_retries = 1">>/etc/sysctl.conf
#启用timewait 快速回收
echo "net.ipv4.tcp_tw_recycle = 1">>/etc/sysctl.conf
#开启重用。允许将TIME-WAIT sockets 重新用于新的TCP 连接
echo "net.ipv4.tcp_tw_reuse = 1">>/etc/sysctl.conf
echo "net.ipv4.tcp_mem = 94500000 915000000 927000000">>/etc/sysctl.conf
echo "net.ipv4.tcp_fin_timeout = 1">>/etc/sysctl.conf
#当keepalive 起用的时候,TCP 发送keepalive 消息的频度。缺省是2 小时
echo "net.ipv4.tcp_keepalive_time = 30">>/etc/sysctl.conf
#允许系统打开的端口范围
echo "net.ipv4.ip_local_port_range = 32768 65000">>/etc/sysctl.conf
#修改防火墙表大小,默认65536
#net.netfilter.nf_conntrack_max=655350
#net.netfilter.nf_conntrack_tcp_timeout_established=1200
# 确保无人能修改路由表
echo "net.ipv4.conf.all.accept_redirects = 0">>/etc/sysctl.conf
echo "net.ipv4.conf.default.accept_redirects = 0">>/etc/sysctl.conf
echo "net.ipv4.conf.all.secure_redirects = 0">>/etc/sysctl.conf
echo "net.ipv4.conf.default.secure_redirects = 0">>/etc/sysctl.conf
# 开启并记录欺骗,源路由和重定向包
echo "net.ipv4.conf.all.log_martians = 1 ">>/etc/sysctl.conf
echo "net.ipv4.conf.default.log_martians = 1 ">>/etc/sysctl.conf
echo "fs.file-max = 6815744 ">>/etc/sysctl.conf
echo "fs.aio-max-nr = 1048576 ">>/etc/sysctl.conf
echo "kernel.shmmni = 4096 ">>/etc/sysctl.conf
echo "kernel.sem = 250 32000 100 128 ">>/etc/sysctl.conf
echo "net.ipv4.route.gc_timeout=100 ">>/etc/sysctl.conf
#启用内核中的SYN cookie保护:(一般情况下操作系统已经默认开启)
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
#优化swap
echo "vm.swappiness=10">>/etc/sysctl.conf
sysctl -p
#4 安全加固相关:
#4.1 关闭selinux
sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config
#4.2 关闭不常用服务。根据服务器的用途和安装系统时候的选择进行优化,将不必要的服务关闭,提高性能。
#chkconfig iptables off
#chkconfig ip6tables off
#chkconfig abrt-ccpp off
#chkconfig abrtd off
#chkconfig acpid off
#chkconfig atd off
#chkconfig auditd off
#chkconfig autofs off
#chkconfig blk-availability off
#chkconfig bluetooth off
#chkconfig certmonger off
#chkconfig cpuspeed off
#chkconfig cups off
#chkconfig dnsmasq off
#chkconfig firstboot off
#chkconfig kdump off
#chkconfig mdmonitor off
#chkconfig netconsole off
#chkconfig postfix off
#chkconfig quota_nld off
#chkconfig rdisc off
#chkconfig restorecond off
#chkconfig saslauthd off
#chkconfig smartd off
#chkconfig wpa_supplicant off
#chkconfig ypbind off
#4.3 安装监控客户端
##安装监控客户端
#4.4 清除不必要的系统帐户
userdel adm
userdel lp
userdel sync
userdel shutdown
userdel halt
userdel operator
userdel ftp
#4.5 隐藏linux版本号
#>/etc/issue
#>/etc/issue.net
#4.6 系统关闭Ping
#关闭ping,使系统对ping不做反应,对网络安全大有好处。
#echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
#echo "echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all" >> /etc/rc.d/rc.local
#恢复系统的Ping响应:
#echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all
###4.7 升级OpenSSH OpenSSL至安全版本
#######禁止root账户远程登录,更改ssh端口
##sed -i 's/#Port 22/Port 2022/g' /etc/ssh/sshd_config
##sed -i 's/#PermitRootLogin yes/PermitRootLogin no/g' /etc/ssh/sshd_config
#4.8 安装telnet
yum install -y telnet
###4.9 创建普通用户,指定/u01 u02 u03所属
##groupadd gapp
##useradd -g gapp appuser
##echo "apuserPWD" | passwd --stdin appuser
##chown -R appuser.gapp /u01
##chown -R appuser.gapp /u02
##chown -R appuser.gapp /u03
##chown -R appuser.gapp /etc/rc.local
##chown -R appuser.gapp /etc/rc.d/rc.local
##chown -R appuser.gapp /etc/profile
##chown -R appuser.gapp /var/spool/cron
##chown -R root.root /var/spool/cron/root
###4.10 锁定关键文件系统禁止被修改
##chattr +i /etc/passwd
##chattr +i /etc/inittab
##chattr +i /etc/group
##chattr +i /etc/shadow
##chattr +i /etc/gshadow
##chattr +a /var/log/messages
###使用chattr命令后,为了安全我们需要将其改名
##mv /usr/bin/chattr /usr/bin/lockkeyfile
#4.11 history命令加入时间和操作者IP的属性
#echo "HISTFILESIZE=4000">>/etc/profile
#echo "HISTSIZE=4000">>/etc/profile
#echo 'HISTTIMEFORMAT="%F %T `who am i|cut -d\\( -f2|cut -d\\) -f1` `whoami` "'>>/etc/profile
#echo "export HISTTIMEFORMAT">>/etc/profile
echo "
HISTFILESIZE=4000
HISTSIZE=4000
HISTTIMEFORMAT=\\"%F %T \\`who am i|cut -d\\( -f2|cut -d\\) -f1\\` \\`whoami\\` \\"
export HISTTIMEFORMAT
">>/etc/profile
source /etc/profile
systemctl stop firewalld.service
systemctl disable firewalld.service
#5 系统重启
yum install -y gcc
reboot
ChatGPT 回答
企业集中管理Linux时,需要优化的公共参数如下:
- 内存管理:Linux系统默认使用虚拟内存技术,需要根据实际情况调整内存分配策略,避免内存泄漏和过度分配等问题。
- CPU管理:Linux系统默认使用抢占式调度算法,需要根据实际情况调整CPU调度策略,避免CPU占用过高和进程阻塞等问题。
- 硬盘管理:Linux系统默认使用磁盘缓存技术,需要根据实际情况调整磁盘缓存策略,避免磁盘读写速度过慢和数据丢失等问题。
- 网络管理:Linux系统默认使用TCP/IP协议栈,需要根据实际情况调整网络参数,避免网络延迟和丢包等问题。
- 安全管理:Linux系统默认使用SELinux安全模块,需要根据实际情况调整安全策略,避免系统被攻击和数据泄露等问题。
- 日志管理:Linux系统默认使用syslog日志系统,需要根据实际情况调整日志记录策略,避免日志过多和日志记录不完整等问题。
- 内核参数:Linux系统内核参数可以根据实际情况进行调整,如调整文件描述符数量、TCP连接数、内存分配策略等,以提高系统性能和稳定性。
总之,企业集中管理Linux时,需要根据实际情况对系统进行优化,以提高系统性能、稳定性和安全性。