3

.1 最小化安装

CentOS有一个minimal版本，相对于标准版去掉了很多Service，比如Network Manager，安装最小版本以后的网络配置是需要admin进行写配置文件的。我个人认为这样是比较好的，因为这样才能知道Linux内核真正关心的是 哪些配置文件，直达核心。一些必要的监控工具，完全可以通过yum install来完成。作为线上机器，还是最小化安装，做到能不开的服务就不开，能关掉的端口就关掉，这样既能将宝贵的硬件资源留下来给应用程序，也能够做到更加的安全。

1.2 足够安全

除了将能关的端口关掉，能不用的服务关掉以外，安全还需要做到特定的服务只能访问特定的内容。哪怕是root账户，不能访问的文件和文件夹还是不能 访问，更加不能操作。开启SELinux以后，能够做到在不修改SELinux的情况下，指定的服务只能访问指定的资源。对于ssh要做到关闭账户密码登 录，只能通过秘钥登录，这样在保证秘钥不被盗用的情况下是最安全的。

1.3 资源按需调度

我们经常会遇到这样一个问题，假设将磁盘sda挂载到/var目录，但是由于log太多或者上传的文件等等其他因素将硬盘吃光了，再创建一块sdb 磁盘就无法挂载到/var目录了，其实Linux自带的lvm已经解决了这个问题，并且CentOS默认就是用lvm来管理磁盘的。我们需要学会如何格式 化一块硬盘为lvm，然后挂载到对应目录，在空间被吃光前能够添加一块硬盘就自动扩容。