linux服務器初始化（防火牆、內核優化、時間同步、打開文件數）

#!/bin/bash

read -p 'enter the network segment for visiting the server:' ips

# 關閉firewalld和selinux
systemctl stop firewalld
systemctl disable firewalld
sed -i  's\SELINUX=enforcing\SELINUX=disabled\g' /etc/selinux/config
setenforce 0

# 配置時間同步（阿里源）
rpm -qa chrony
if [ $? -ne 0];then
    yum -y install chrony
fi
sed -i s/^server/#server/g /etc/chrony.conf
sed -i '/3.centos.pool.ntp.org/a\server ntp1.aliyun.com iburst' /etc/chrony.conf
systemctl start chronyd
systemctl enable chronyd

# 配置iptables 防火牆
rpm -qa iptables-services
if [ $? -ne 0 ];then
    yum -y install iptables-services
fi

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p all -s ips -j ACCEPT
iptables -P INPUT DROP
iptables-save > /etc/sysconfig/iptables
systemctl enable iptables

# 下載經常使用工具
yun -y install vim wget

# 設置系統時間及顯示方式
# tzselect
#rm -rf /etc/localtime
#ln -s /usr/share/zoneinfo/Asia/Shanghai /etc/localtime


# 系統優化（system optimization）

cat <<EOF > /etc/sysctl.conf
#禁用包過濾功能 
net.ipv4.ip_forward = 0  
#啓用源路由覈查功能 
net.ipv4.conf.default.rp_filter = 1  
#禁用全部IP源路由 
net.ipv4.conf.default.accept_source_route = 0  
#使用sysrq組合鍵是瞭解系統目前運行狀況，爲安全起見設爲0關閉
kernel.sysrq = 0  
#控制core文件的文件名是否添加pid做爲擴展
kernel.core_uses_pid = 1  
#開啓SYN Cookies，當出現SYN等待隊列溢出時，啓用cookies來處理
net.ipv4.tcp_syncookies = 1  
#每一個消息隊列的大小（單位：字節）限制
kernel.msgmnb = 65536  
#整個系統最大消息隊列數量限制
kernel.msgmax = 65536  
#單個共享內存段的大小（單位：字節）限制，計算公式64G*1024*1024*1024(字節)
kernel.shmmax = 68719476736  
#全部內存大小（單位：頁，1頁 = 4Kb），計算公式16G*1024*1024*1024/4KB(頁)
kernel.shmall = 4294967296  
#timewait的數量，默認是180000
net.ipv4.tcp_max_tw_buckets = 6000  
#開啓有選擇的應答
net.ipv4.tcp_sack = 1  
#支持更大的TCP窗口. 若是TCP窗口最大超過65535(64K), 必須設置該數值爲1
net.ipv4.tcp_window_scaling = 1  
#TCP讀buffer
net.ipv4.tcp_rmem = 4096 131072 1048576
#TCP寫buffer
net.ipv4.tcp_wmem = 4096 131072 1048576   
#爲TCP socket預留用於發送緩衝的內存默認值（單位：字節）
net.core.wmem_default = 8388608
#爲TCP socket預留用於發送緩衝的內存最大值（單位：字節）
net.core.wmem_max = 16777216  
#爲TCP socket預留用於接收緩衝的內存默認值（單位：字節）  
net.core.rmem_default = 8388608
#爲TCP socket預留用於接收緩衝的內存最大值（單位：字節）
net.core.rmem_max = 16777216
#每一個網絡接口接收數據包的速率比內核處理這些包的速率快時，容許送到隊列的數據包的最大數目
net.core.netdev_max_backlog = 262144  
#web應用中listen函數的backlog默認會給咱們內核參數的net.core.somaxconn限制到128，而nginx定義的NGX_LISTEN_BACKLOG默認爲511，因此有必要調整這個值
net.core.somaxconn = 2048 
#系統中最多有多少個TCP套接字不被關聯到任何一個用戶文件句柄上。這個限制僅僅是爲了防止簡單的DoS攻擊，不能過度依靠它或者人爲地減少這個值，更應該增長這個值(若是增長了內存以後)net.ipv4.tcp_max_orphans = 3276800  #記錄的那些還沒有收到客戶端確認信息的鏈接請求的最大值。對於有128M內存的系統而言，缺省值是1024，小內存的系統則是128
net.ipv4.tcp_max_syn_backlog = 262144  
時間戳能夠避免序列號的卷繞。一個1Gbps的鏈路確定會遇到之前用過的序列號。時間戳可以讓內核接受這種「異常」的數據包。這裏須要將其關掉
net.ipv4.tcp_timestamps = 0  
#爲了打開對端的鏈接，內核須要發送一個SYN並附帶一個迴應前面一個SYN的ACK。也就是所謂三次握手中的第二次握手。這個設置決定了內核放棄鏈接以前發送SYN+ACK包的數量
net.ipv4.tcp_synack_retries = 1  
#在內核放棄創建鏈接以前發送SYN包的數量
net.ipv4.tcp_syn_retries = 1  
#開啓TCP鏈接中time_wait sockets的快速回收
net.ipv4.tcp_tw_recycle = 1  
#開啓TCP鏈接複用功能，容許將time_wait sockets從新用於新的TCP鏈接（主要針對time_wait鏈接）
net.ipv4.tcp_tw_reuse = 1  
#1st低於此值,TCP沒有內存壓力,2nd進入內存壓力階段,3rdTCP拒絕分配socket(單位：內存頁)
net.ipv4.tcp_mem = 94500000 915000000 927000000   
#若是套接字由本端要求關閉，這個參數決定了它保持在FIN-WAIT-2狀態的時間。對端能夠出錯並永遠不關閉鏈接，甚至意外當機。缺省值是60 秒。2.2 內核的一般值是180秒，你能夠按這個設置，但要記住的是，即便你的機器是一個輕載的WEB服務器，也有由於大量的死套接字而內存溢出的風險，FIN- WAIT-2的危險性比FIN-WAIT-1要小，由於它最多隻能吃掉1.5K內存，可是它們的生存期長些。
net.ipv4.tcp_fin_timeout = 15  
#表示當keepalive起用的時候，TCP發送keepalive消息的頻度（單位：秒）
net.ipv4.tcp_keepalive_time = 30  
#對外鏈接端口範圍
et.ipv4.ip_local_port_range = 2048 65000
#表示文件句柄的最大數量
fs.file-max = 102400
EOF
#使配置文件生效
sysctl –p 

# 設置進程最大可打開的文件數
cat <<EOF >> //etc/security/limits.conf
# 用戶或組    硬限制或軟限制    限制的項目    限制的值
    *        soft             nofile         100000
    *         hard             nofile         100000
EOF
# ulimit -a              # 查看全部屬性值
ulimt -Hn 100000       # 設置硬限制（臨時規則）
ulimt -Sn 100000       # 設置軟限制（臨時規則）