Linux操作系統(tǒng)基礎(chǔ)優(yōu)化系列

1. yum 源優(yōu)化

1.1 Base源和 epel源

# 01. 備份原來(lái)的 repo 文件
mkdir -p /etc/yum.repos.d/backup
mv /etc/yum.repos.d/*.repo /etc/yum.repos.d/backup/

# 02. 配置阿里源
## 原始配置
curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo
curl -o /etc/yum.repos.d/epel.repo https://mirrors.aliyun.com/repo/epel-7.repo

## 經(jīng)過(guò)優(yōu)化
cat >/etc/yum.repos.d/CentOS-Base.repo <<'EOF'
[base]
name=CentOS-$releasever - Base - mirrors.aliyun.com
failovermethod=priority
baseurl=http://mirrors.aliyun.com/centos/$releasever/os/$basearch/
gpgcheck=1
gpgkey=http://mirrors.aliyun.com/centos/RPM-GPG-KEY-CentOS-7

[updates]
name=CentOS-$releasever - Updates - mirrors.aliyun.com
failovermethod=priority
baseurl=http://mirrors.aliyun.com/centos/$releasever/updates/$basearch/
gpgcheck=1
gpgkey=http://mirrors.aliyun.com/centos/RPM-GPG-KEY-CentOS-7

[extras]
name=CentOS-$releasever - Extras - mirrors.aliyun.com
failovermethod=priority
baseurl=http://mirrors.aliyun.com/centos/$releasever/extras/$basearch/
gpgcheck=1
gpgkey=http://mirrors.aliyun.com/centos/RPM-GPG-KEY-CentOS-7
EOF

cat >/etc/yum.repos.d/epel.repo <<'EOF'
[epel]
name=Extra Packages for Enterprise Linux 7 - $basearch
baseurl=http://mirrors.aliyun.com/epel/7/$basearch
failovermethod=priority
enabled=1
gpgcheck=0
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-7
EOF

1.2 docker 源和 k8s源

# 01. docker 源
curl -o /etc/yum.repos.d/docker-ce.repo https://download.docker.com/linux/centos/docker-ce.repo
sed -i 's+download.docker.com+mirrors.tuna.tsinghua.edu.cn/docker-ce+' /etc/yum.repos.d/docker-ce.repo

# 可查看所有版本 并指定 版本安裝
yum list docker-ce --showduplicates
yum -y install docker-ce-19.03.8 docker-ce-cli-19.03.8


# 02. k8s 源
cat  > /etc/yum.repos.d/kubernetes.repo <<'EOF'
[kubernetes]
name=Kubernetes
baseurl=https://mirrors.aliyun.com/kubernetes/yum/repos/kubernetes-el7-x86_64/
enabled=1
gpgcheck=0
repo_gpgcheck=0
EOF

# 查看所有版本 并 指定版本安裝
yum -y list kubeadm --showduplicates | sort -r
yum -y install kubeadm-1.18.0-0 kubelet-1.18.0-0 kubectl-1.18.0-0

2. 安全優(yōu)化

2.1 關(guān)閉安全設(shè)備

#  關(guān)閉防火墻 
systemctl stop firewalld
systemctl disable firewalld

# 關(guān)閉 selinux
setenforce 0
sed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/selinux/config 

# 檢查
systemctl status firewalld
getenforce
grep SELINUX /etc/selinux/config

2.2 開(kāi)啟防火墻

# firewalld 系列
firewall-cmd --zone=public --add-port=$port/tcp --permanent && firewall-cmd --reload

# 配置文件
cat /etc/firewalld/zones/public.xml

# iptables 系列
iptables -I INPUT -s 0.0.0.0/0 -p tcp --dport $port -j ACCEPT && /etc/init.d/iptables save >/dev/null 2>&1

# 7版本需要安裝
yum install iptables-services -y
systemctl start iptables

# 加載防火墻內(nèi)核
## 防火墻相關(guān)模塊 加載到內(nèi)核中
## 寫(xiě)入到 開(kāi)機(jī)自啟動(dòng)
cat >> /etc/rc.local <<EOF
modprobe ip_tables
modprobe iptables_filter
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_state
EOF

# 檢查加載的內(nèi)容
lsmod | grep -E 'filter|nat|ipt'
[root@lb01 ~]# lsmod | grep -E 'filter|nat|ipt'
nf_nat_ftp             12809  0 
nf_conntrack_ftp       18478  1 nf_nat_ftp
iptable_nat            12875  0 
nf_nat_ipv4            14115  1 iptable_nat
nf_nat                 26583  2 nf_nat_ftp,nf_nat_ipv4
ipt_REJECT             12541  2 
nf_reject_ipv4         13373  1 ipt_REJECT
iptable_filter         12810  1 
nf_conntrack          139264  8 nf_nat_ftp,ip_vs,nf_nat,xt_state,nf_nat_ipv4,xt_conntrack,nf_conntrack_ftp,nf_conntrack_ipv4
ip_tables              27126  2 iptable_filter,iptable_nat
libcrc32c              12644  4 xfs,ip_vs,nf_nat,nf_conntrack

# 保存輸出到屏幕
iptables-save

# 保存至文件(可自定義文件)
iptables-save > /etc/sysconfig/iptables

# 恢復(fù)
iptables-restore < /etc/sysconfig/iptables

3. 常用軟件優(yōu)化

yum install -y vim tree wget bash-completion bash-completion-extras lrzsz net-tools sysstat iotop iftop htop unzip nc nmap telnet bc psmisc httpd-tools bind-utils nethogs expect ntpdate

4. 優(yōu)化 ssh

sed -i -e 's/#UseDNS yes/UseDNS no/g' -e 's#GSSAPIAuthentication yes#GSSAPIAuthentication no#g' /etc/ssh/sshd_config 
systemctl restart sshd

5. 配置時(shí)間同步

ntp1.aliyun.com
ntp2.aliyun.com
ntp1.tencent.com
ntp2.tencent.com

5.1 通過(guò)定時(shí)任務(wù)實(shí)現(xiàn)

# 編輯定時(shí)任務(wù)
crontab -e

# cron-id-001: sync the system time by yunxi
*/5 * * * *    /sbin/ntpdate ntp1.aliyun.com &>/dev/null

5.2 通過(guò) chrony 服務(wù)實(shí)現(xiàn)

# 01. 安裝軟件
yum install chrony -y

# 02. 修改配置 (/etc/chrony.conf)
server ntp1.aliyun.com iburst
server ntp1.tencent.com iburst

# 03. 啟動(dòng)服務(wù)
systemctl enable --now chronyd

## 注意：時(shí)間異常之后妻导，需要重啟服務(wù)虎锚，才能同步

6. 網(wǎng)絡(luò)服務(wù)優(yōu)化

# 關(guān)閉 NetworkManager 服務(wù)
systemctl stop NetworkManager
systemctl disable NetworkManager

# 優(yōu)化網(wǎng)卡配置文件 eth0
cat >/etc/sysconfig/network-scripts/ifcfg-eth0 <<'EOF'
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=none
DEFROUTE=yes
NAME=eth0
DEVICE=eth0
ONBOOT=yes
IPADDR=10.0.0.210
PREFIX=24
GATEWAY=10.0.0.2
DNS1=223.5.5.5
EOF

# 優(yōu)化網(wǎng)卡配置文件 eth1
cat >/etc/sysconfig/network-scripts/ifcfg-eth1 <<'EOF'
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=none
DEFROUTE=yes
NAME=eth1
DEVICE=eth1
ONBOOT=yes
IPADDR=172.16.1.210
PREFIX=24
EOF

# 重啟網(wǎng)絡(luò)服務(wù)
systemctl restart network

7. 修改文件描述符

 # 永久修改
echo "*    -    nofile  65535" >>/etc/security/limits.conf
 
 # 臨時(shí)修改
ulimit -SHn 65535

8. 普通用戶提權(quán)

## 建議使用 密鑰認(rèn)證(沒(méi)有有效期)

# 創(chuàng)建普通用戶(CloudScope@110119)
useradd tadmin
echo '123456'|passwd --stdin tadmin

# 禁止root用戶遠(yuǎn)程登錄
sed -i.bak 's/#PermitRootLogin yes/PermitRootLogin no/g' /etc/ssh/sshd_config
sed -i 's/#PubkeyAuthentication yes/PubkeyAuthentication yes/g' /etc/ssh/sshd_config
sed -i 's/PasswordAuthentication yes/PasswordAuthentication no/g' /etc/ssh/sshd_config
systemctl restart sshd

# 配置sudo提權(quán)
cp -a /etc/sudoers{,.bak}
echo "tadmin  ALL=(ALL) ALL" >> /etc/sudoers
visudo -c

# 密鑰對(duì)
.ssh/authorized_keys

9. 用戶登錄超時(shí)時(shí)間配置

#設(shè)置登錄超時(shí)時(shí)間為15分鐘
echo "export TMOUT=900" >>/etc/profile
source /etc/profile

10. 修改賬號(hào)密碼有效期

# 備份 /etc/login.defs 文件
cp /etc/login.defs{,.bak}

# 配置密碼有效期 
sed -i -r 's/PASS_MAX_DAYS.*[0-9]+$/PASS_MAX_DAYS   90/g' /etc/login.defs

# 配置密碼最小長(zhǎng)度
sed -i -r 's/PASS_MIN_LEN.*[0-9]+$/PASS_MIN_LEN   12/g' /etc/login.defs

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者

人面猴
序言：七十年代末，一起剝皮案震驚了整個(gè)濱河市浪册，隨后出現(xiàn)的幾起案子江醇，更是在濱河造成了極大的恐慌，老刑警劉巖，帶你破解...
沈念sama閱讀 219,366評(píng)論 6贊 508
死咒
序言：濱河連續(xù)發(fā)生了三起死亡事件囱稽，死亡現(xiàn)場(chǎng)離奇詭異，居然都是意外死亡二跋，警方通過(guò)查閱死者的電腦和手機(jī)战惊，發(fā)現(xiàn)死者居然都...
沈念sama閱讀 93,521評(píng)論 3贊 395
救了他兩次的神仙讓他今天三更去死
文/潘曉璐我一進(jìn)店門，熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái)扎即，“玉大人吞获，你說(shuō)我怎么就攤上這事⊙璞桑” “怎么了各拷？”我有些...
開(kāi)封第一講書(shū)人閱讀 165,689評(píng)論 0贊 356
道士緝兇錄：失蹤的賣姜人
文/不壞的土叔我叫張陵，是天一觀的道長(zhǎng)闷营。經(jīng)常有香客問(wèn)我烤黍，道長(zhǎng)，這世上最難降的妖魔是什么傻盟？我笑而不...
開(kāi)封第一講書(shū)人閱讀 58,925評(píng)論 1贊 295
?港島之戀（遺憾婚禮）
正文為了忘掉前任速蕊，我火速辦了婚禮，結(jié)果婚禮上娘赴，老公的妹妹穿的比我還像新娘规哲。我一直安慰自己，他們只是感情好筝闹，可當(dāng)我...
茶點(diǎn)故事閱讀 67,942評(píng)論 6贊 392
惡毒庶女頂嫁案：這布局不是一般人想出來(lái)的
文/花漫我一把揭開(kāi)白布媳叨。她就那樣靜靜地躺著，像睡著了一般关顷。火紅的嫁衣襯著肌膚如雪糊秆。梳的紋絲不亂的頭發(fā)上，一...
開(kāi)封第一講書(shū)人閱讀 51,727評(píng)論 1贊 305
城市分裂傳說(shuō)
那天议双，我揣著相機(jī)與錄音痘番，去河邊找鬼。笑死平痰，一個(gè)胖子當(dāng)著我的面吹牛汞舱，可吹牛的內(nèi)容都是我干的。我是一名探鬼主播宗雇，決...
沈念sama閱讀 40,447評(píng)論 3贊 420
雙鴛鴦連環(huán)套：你想象不到人心有多黑
文/蒼蘭香墨我猛地睜開(kāi)眼昂芜，長(zhǎng)吁一口氣：“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼！你這毒婦竟也來(lái)了赔蒲？” 一聲冷哼從身側(cè)響起泌神，我...
開(kāi)封第一講書(shū)人閱讀 39,349評(píng)論 0贊 276
萬(wàn)榮殺人案實(shí)錄
序言：老撾萬(wàn)榮一對(duì)情侶失蹤良漱，失蹤者是張志新（化名）和其女友劉穎，沒(méi)想到半個(gè)月后欢际，有當(dāng)?shù)厝嗽跇?shù)林里發(fā)現(xiàn)了一具尸體母市，經(jīng)...
沈念sama閱讀 45,820評(píng)論 1贊 317
?護(hù)林員之死
正文獨(dú)居荒郊野嶺守林人離奇死亡，尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛以下內(nèi)容為張勛視角年9月15日...
茶點(diǎn)故事閱讀 37,990評(píng)論 3贊 337
?白月光啟示錄
正文我和宋清朗相戀三年损趋，在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了患久。大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
茶點(diǎn)故事閱讀 40,127評(píng)論 1贊 351
活死人
序言：一個(gè)原本活蹦亂跳的男人離奇死亡浑槽，死狀恐怖蒋失，靈堂內(nèi)的尸體忽然破棺而出，到底是詐尸還是另有隱情括荡，我是刑警寧澤高镐，帶...
沈念sama閱讀 35,812評(píng)論 5贊 346
?日本核電站爆炸內(nèi)幕
正文年R本政府宣布，位于F島的核電站畸冲，受9級(jí)特大地震影響嫉髓，放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜邑闲，卻給世界環(huán)境...
茶點(diǎn)故事閱讀 41,471評(píng)論 3贊 331
男人毒藥：我在死后第九天來(lái)索命
文/蒙蒙一算行、第九天我趴在偏房一處隱蔽的房頂上張望。院中可真熱鬧苫耸，春花似錦州邢、人聲如沸。這莊子的主人今日做“春日...
開(kāi)封第一講書(shū)人閱讀 32,017評(píng)論 0贊 22
一樁弒父案量淌，背后竟有這般陰謀
文/蒼蘭香墨我抬頭看了看天上的太陽(yáng)。三九已至嫌褪，卻和暖如春呀枢，著一層夾襖步出監(jiān)牢的瞬間，已是汗流浹背笼痛。一陣腳步聲響...
開(kāi)封第一講書(shū)人閱讀 33,142評(píng)論 1贊 272
情欲美人皮
我被黑心中介騙來(lái)泰國(guó)打工裙秋，沒(méi)想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留，地道東北人缨伊。一個(gè)月前我還...
沈念sama閱讀 48,388評(píng)論 3贊 373
代替公主和親
正文我出身青樓摘刑，卻偏偏與公主長(zhǎng)得像，于是被迫代替她去往敵國(guó)和親刻坊。傳聞我的和親對(duì)象是個(gè)殘疾皇子枷恕，可洞房花燭夜當(dāng)晚...
茶點(diǎn)故事閱讀 45,066評(píng)論 2贊 355

Linux操作系統(tǒng)基礎(chǔ)優(yōu)化系列

1. yum 源優(yōu)化

1.1 Base源 和 epel源

1.2 docker 源 和 k8s源

2. 安全優(yōu)化

2.1 關(guān)閉安全設(shè)備

2.2 開(kāi)啟防火墻

3. 常用軟件優(yōu)化

4. 優(yōu)化 ssh

5. 配置時(shí)間同步

5.1 通過(guò)定時(shí)任務(wù)實(shí)現(xiàn)

5.2 通過(guò) chrony 服務(wù)實(shí)現(xiàn)

6. 網(wǎng)絡(luò)服務(wù)優(yōu)化

7. 修改文件描述符

8. 普通用戶提權(quán)

9. 用戶登錄超時(shí)時(shí)間 配置

10. 修改賬號(hào)密碼 有效期

推薦閱讀更多精彩內(nèi)容

1.1 Base源和 epel源

1.2 docker 源和 k8s源

9. 用戶登錄超時(shí)時(shí)間配置

10. 修改賬號(hào)密碼有效期