Centos 7.x 系統基礎優化

Centos 7.x 系統基礎優化

一、更換國內yum源

刪除系統帶的centos官方yum源

rm -rf /etc/yum.repos.d/*

使用國內阿里雲源

curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo

使用國內阿里雲epel源

wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo

提示：若是這裏提示沒有wget命令，則須要執行：yum install wget -y

二、安裝系統基礎包

yum install vim lrzsz tree telnet wget lsof net-tools dos2unix sysstat traceroute unzip zip -y

三、市區配置和時間同步

將硬件時鐘調整爲與本地時鐘一致, 0 爲設置爲 UTC 時間

cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime
或者
使用命令：timedatectl set-timezone Asia/Shanghai

yum install chrony -y

配置：
編輯配置文件：/etc/chrony.conf，刪除4-6行，並修改第3行，以下：

server time4.aliyun.com iburst

啓動chrony服務並設置開機自啓

systemctl enable chronyd.service
systemctl start chronyd.service

查看時間同步狀態：

[root@centos7 ~]# chronyc sources
210 Number of sources = 1
MS Name/IP address Stratum Poll Reach LastRx Last sample

===============================================================================
^* 203.107.6.88 2 9 377 287 -182us[ -676us] +/- 19ms

四、關閉selinux和iptables

iptables須要根據實際狀況來決定是否關閉，請自行判斷；


關閉selinux：

sed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/sysconfig/selinux

此配置是重啓後生效，若是沒有條件重啓或者不想重啓可使用：

setenforce 0 #此命令僅是忽略,仍是建議關閉

五、調整文件描述符數量

修改/etc/security/limits.conf配置文件：

echo '* - nofile 65535'>>/etc/security/limits.conf

增長開機啓動：

cat >>/etc/rc.local<<EOF


#open files
ulimit -HSn 65535
#stack size
ulimit -s 65535
EOF

六、鎖定關鍵系統文件，防止提權篡改

上鎖：

chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab

解鎖：

chattr -i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab

七、內核優化

內核優化相關的參數不少，須要根據自身的業務進行相關參數的變動優化
下面提供幾個案例優化參數，僅供參考：

#CTCDN系統優化參數
#關閉ipv6
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
#決定檢查過時多久鄰居條目
net.ipv4.neigh.default.gc_stale_time=120
#使用arp_announce / arp_ignore解決ARP映射問題
net.ipv4.conf.default.arp_announce = 2
net.ipv4.conf.all.arp_announce=2
net.ipv4.conf.lo.arp_announce=2 # 避免放大
net.ipv4.icmp_echo_ignore_broadcasts = 1 # 開啓惡意icmp錯誤消息保護
net.ipv4.icmp_ignore_bogus_error_responses = 1
#關閉路由轉發
net.ipv4.ip_forward = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
#開啓反向路徑過濾
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
#處理無源路由的包
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
#關閉sysrq功能
kernel.sysrq = 0
#core文件名中添加pid做爲擴展名
kernel.core_uses_pid = 1 # 開啓SYN洪水保護
net.ipv4.tcp_syncookies = 1
#修改消息隊列長度
kernel.msgmnb = 65536
kernel.msgmax = 65536
#設置最大內存共享段大小bytes
kernel.shmmax = 68719476736
kernel.shmall = 4294967296
#timewait的數量，默認180000
net.ipv4.tcp_max_tw_buckets = 6000
net.ipv4.tcp_sack = 1
net.ipv4.tcp_window_scaling = 1
net.ipv4.tcp_rmem = 4096 87380 4194304
net.ipv4.tcp_wmem = 4096 16384 4194304
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
#每一個網絡接口接收數據包的速率比內核處理這些包的速率快時，容許送到隊列的數據包的最大數目
net.core.netdev_max_backlog = 262144
#限制僅僅是爲了防止簡單的DoS ***
net.ipv4.tcp_max_orphans = 3276800
#未收到客戶端確認信息的鏈接請求的最大值
net.ipv4.tcp_max_syn_backlog = 262144
net.ipv4.tcp_timestamps = 0
#內核放棄創建鏈接以前發送SYNACK 包的數量
net.ipv4.tcp_synack_retries = 1
#內核放棄創建鏈接以前發送SYN 包的數量
net.ipv4.tcp_syn_retries = 1
#啓用timewait 快速回收
net.ipv4.tcp_tw_recycle = 1
#開啓重用。容許將TIME-WAIT sockets 從新用於新的TCP 鏈接
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_mem = 94500000 915000000 927000000
net.ipv4.tcp_fin_timeout = 1
#當keepalive 起用的時候，TCP 發送keepalive 消息的頻度。缺省是2 小時
net.ipv4.tcp_keepalive_time = 1800
net.ipv4.tcp_keepalive_probes = 3
net.ipv4.tcp_keepalive_intvl = 15
#容許系統打開的端口範圍
net.ipv4.ip_local_port_range = 1024 65000
#修改防火牆表大小，默認65536
net.netfilter.nf_conntrack_max=655350
net.netfilter.nf_conntrack_tcp_timeout_established=1200 # 確保無人能修改路由表
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.secure_redirects = 0

生效

sysctl -p #生效