linux的内核优化怎么做_一个新运维该如何优化Linux系统的安全和内核？-优快云博客

本文链接：https://blog.youkuaiyun.com/weixin_39917811/article/details/112072698

拿到一个新的linux系统需要做的安全和内核优化，主要是为了提升系统安全和提升性能，满足后续的应用需要。这里简单记录一下拿到一个新的系统需要做的一些事情，仅此抛砖引玉，具体可根据自己实际情况进行设置。

一、入口安全优化

毫无疑问，我们拿到以后登录做的第一件事便于入口的安全优化，相信做运维的基本都可以理解：最小的权限就是最大的安全。主要优化ssh入口。比如：

(1)ssh配置优化。

修改之前，需要将/etc/ssh/sshd_config备份一个，比如/etc/ssh/sshd_config.old，主要优化如下参数：

主要目的更改ssh远程端口、禁用root远程登录(本地还是可以root登录的)、禁用dns、防止ssh超时、解决ssh慢，当然也可以启用密钥登录，这个根据公司需求。注意：修改以后需重启ssh生效，另外需要iptables放行最新ssh端口。

(2)iptables优化。

原则：用到哪些放行哪些，不用的一律禁止。
举下简单的按理：敏感服务比如mysql这种3306控制，默认禁止远程，确实有必要可以放行自己指定IP连接或者通过vpn拨号做跳板连接，不可直接放置于公网；如单位有自己的公网IP或固定IP，那只允许自己的公网IP进行连接ssh或者指定服务端口就更好了。

二、用户权限以及系统安全优化。

(1)非root用户添加以及sudo权限控制。

通过groupadd 以及useradd建立普通用户以后，需要配置对应的sudo权限，授权不同登录人员的可执行命令权限。此时建议普通用户禁止sudo su -切换root的权限。

一般是root都在管理人员手中，而运维或者开发都划分其他对应权限，但建议都不能切换root，同时取消useradd、userdel、passwd以及chattr命令的授权。

(2)用户配置文件锁定。

针对/etc/passwd 、/etc/shadow 、/etc/group和/etc/gshadow进行chattr +i保护，进一步提供系统用户管理安全。
操作办法：

需要进行用户管理的时候，以root身份进行chattr -i取消保护即可。

(3)服务控制。

默认无关服务都禁止运行并chkconfig xxx off，只保留有用服务。这种如果是云计算厂商提供的，一般都是优化过。如果是自己安装的虚拟机或者托管的机器，那就需要优化下，默认只保留network、sshd、iptables、crond、以及rsyslog等必要服务，一些无关紧要的服务就可以off掉了。

(4)主机名更改以及selinux优化。

ssh登录以后，势必会看到主机名，这个主机名建议根据业务需要进行命名，这个命名同时也方便于我们后续的监控自动添加以及saltstack等批量化管理有帮助。
另外部分厂商提供的服务器selinux不一致，有很多开启的，建议关闭，否则影响个别正常使用，比如安装zabbix-agent以后会提示权限失败。操作方法:
修改/etc/selinux/config将SELINUX=enforcing改为SELINUX=disabled后重启机器即可。

三、内核参数优化。

(1) 文件描述符参数优化。

默认ulinit -n看到的是1024，这种如果系统文件开销量非常大，那么就会遇到各种报错比如：
localhost kernel: VFS: file-max limit 65535 reached 或者too many open files 等等，那就是文件句柄打开数量已经超过系统限制，就需要优化了。

这个参数我们优化文件如下：
vim /etc/security/limits.conf