Linux系統(tǒng)的服務器優(yōu)化及安全配置

本文提及的系統(tǒng)，如沒有特別聲明，均采用RedHat公司的RedHatLinux系統(tǒng)。

關于優(yōu)化

說起優(yōu)化，其實最好的優(yōu)化就是提升硬件的配置，例如提高cpu的運算能力，提高內存的容量，個人認為如果你考慮升級硬件的話，建議優(yōu)先提高內存的容量，因為一般服務器應用，對內存的消耗使用要求是最高的。當然這都是題外話了。

這里我們首要討論的，是在同等硬件配置下（同一臺服務器，不提升硬件的情況下）對你的系統(tǒng)進行優(yōu)化。

作為系統(tǒng)管理員，我認為，首先我們要明確一個觀點：在服務器上作任何操作，升級和修改任何配置文件或軟件，都必須首要考慮安全性，不是越新的東西就越好，這也是為什么Linux管理感覺上和Windows有所不同的地方，Windows首先推薦大家去使用它的最新版本軟件和操作系統(tǒng)，其實我個人認為這是一種商業(yè)行為，作為從系統(tǒng)管理上來講，這是很不好的，使用新的軟件和系統(tǒng)可能帶來新的問題，有些甚至是致命的。

因此，作為管理，我們還是應該考慮穩(wěn)定的長期使用的軟件版本來作為我們的版本，具體的好處我就不多說了。相信作為管理員的你應該知道的。

其實個人使用的Linux最直接的一個優(yōu)化就是升級內核，自己編譯的內核是根據自己的系統(tǒng)編譯而來，將得到最大的性能和最小的內核。

但是，服務器就不太一樣了，當然我們也希望每一臺服務器都是自己手工編譯的內核，高效而精巧。但是實際和愿望是有差距的，試想一下，如果你管理100來臺Linux主機，而每一臺也許配置都不一樣，那編譯內核的一個過程將是一個浩大工程，而且從實際考慮，工作量大得難以想象。我想你也不會愿意做這種事情吧。因此，個人建議，采用官方發(fā)布的內核升級包是很好的選擇。

首先，我們對新安裝的系統(tǒng)，將做一系列升級，包括軟件和內核，這是很重要的步驟，（這方面的詳細情況歡迎察看我另一篇關于升級方面的文章）。

在升級好所有軟件后，基本的防火墻和配置都做好以后，我們開始優(yōu)化一些細節(jié)配置，如果你是老系統(tǒng)，那么在作本問題及的一些操作和優(yōu)化你系統(tǒng)之前，務必被備份所有數據到其他介質。

1、虛擬內存優(yōu)化

首先查看虛擬內存的使用情況，使用命令:

#free

查看當前系統(tǒng)的內存使用情況。

一般來說，Linux的物理內存幾乎是完全used。這個和Windows非常大的區(qū)別，它的內存管理機制將系統(tǒng)內存充分利用，并非Windows無論多大的內存都要去使用一些虛擬內存一樣。這點需要注意。

Linux下面虛擬內存的默認配置通過命令:

#cat/proc/sys/vm/freepages

可以查看，顯示的三個數字是當前系統(tǒng)的：最小內存空白頁、最低內存空白頁和最高內存空白。

注意，這里系統(tǒng)使用虛擬內存的原則是：如果空白頁數目低于最高空白頁設置，則使用磁盤交換空間。當達到最低空白頁設置時，使用內存交換（注：這個是我查看一些資料得來的，具體應用時還需要自己觀察一下，不過這個不影響我們配置新的虛擬內存參數）。

內存一般以每頁4kB字節(jié)分配。最小內存空白頁設置是系統(tǒng)中內存數量的2倍；最低內存空白頁設置是內存數量的4倍；最高內存空白頁設置是系統(tǒng)內存的6倍。這些值在系統(tǒng)啟動時決定。

一般來講在配置系統(tǒng)分配的虛擬內存配置上，我個人認為增大最高內存空白頁是一種比較好的配置方式，以1GB的內存配置為例，可將原來的配置比例修改為：

204840966444

通過命令:

#echo"204840966444">/proc/sys/vm/freepages

因為增加了最高空白頁配置，那么可以使內存更有效的利用。

2、硬盤優(yōu)化

如果你是scsi硬盤或者是ide陣列，可以跳過這一節(jié)，這節(jié)介紹的參數調整只針對使用ide硬盤的服務器。

我們通過hdparm程序來設置IDE硬盤，使用DMA和32位傳輸可以大幅提升系統(tǒng)性能。使用命令如下：

#/sbin/hdparm-c1/dev/hda

此命令將第一個IDE硬盤的PCI總線指定為32位，使用-c0參數來禁用32位傳輸。

在硬盤上使用DMA，使用命令：

#/sbin/hdparm-d1/dev/hda

關閉DMA可以使用-d0的參數。

更改完成后，可以使用hdparm來檢查修改后的結果，使用命令：

#/sbin/hdparm-t/dev/had

為了確保設置的結果不變，使用命令：

#/sbin/hdparm-k1/dev/hda

Hdparm命令的一些常用的其他參數功能：

-g顯示硬盤的磁軌，磁頭，磁區(qū)等參數。

-i顯示硬盤的硬件規(guī)格信息，這些信息是在開機時由硬盤本身所提供。

-I直接讀取硬盤所提供的硬件規(guī)格信息。

-p設定硬盤的PIO模式。

-Tt評估硬盤的讀取效率和硬盤快取的讀取效率。

-u<0或1>在硬盤存取時，允許其他中斷要求同時執(zhí)行。

-v顯示硬盤的相關設定。

3、其他優(yōu)化

關閉不需要的服務，關于系統(tǒng)自動啟動的服務，網上有很多資料，在此我就不贅述了。
關于安全檢查

作為一個系統(tǒng)管理員來說，定期對系統(tǒng)作一次全面的安全檢查很重要的，最近遇到一些朋友來信說出現(xiàn)了一些莫名其妙的問題，例如最大的一個問題就是明顯感覺網絡服務緩慢，這極有可能是被攻擊的現(xiàn)象。實踐證明，無論是那種系統(tǒng)，默認安裝都是不安全的，實際不管你用Windows也好，Linux,BSD或其他什么系統(tǒng)，默認安裝的都有很多漏洞，那怎么才能成為安全的系統(tǒng)呢，這正是我們系統(tǒng)管理人員需要做的事情。配置配置再配置。任何系統(tǒng)，只要細心的配置，堵住已知的漏洞，可以說這個系統(tǒng)是安全的，其實并非很多朋友說的那樣，安裝了系統(tǒng)，配置了防火墻，安裝了殺毒軟件，那么就安全了，其實如果對系統(tǒng)不作任何安全設置，那就等于向黑客敞開一扇紙做的大門，數十分鐘就能完全控制!這并非駭人聽聞。作為Linux系統(tǒng)，同樣存在很多漏洞，黑可能利用這些漏洞控制你的整個系統(tǒng)，要防止這些問題，我們需要做以下步驟：

a、升級系統(tǒng)中所有軟件包的最新版本；

b、設置較為強壯的防火墻；

c、定期檢查關鍵記錄文件，配置殺毒軟件

d、多關心一下發(fā)布安全信息警告的網站，掌握一些最新的病毒和黑客程序的特點，這些都利于系統(tǒng)的正常運作。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]