关于优化
说到优化,其实最好的优化就是提高硬件配置,比如提高cpu的运算能力,增加内存容量。个人认为,如果考虑升级硬件,建议优先增加内存容量,因为一般的服务器应用对内存的消耗和使用要求是最高的。当然这是题外话。
我们这里主要讨论的是用相同的硬件配置(相同的服务器,不升级硬件)优化您的系统。
作为一个系统管理员,我觉得首先要明确一点:在服务器上做任何操作、升级修改任何配置文件或软件时,首先要考虑的是安全性,而不是越新越好,这也是为什么linux管理感觉和windows不一样的原因。windows首先推荐大家使用其最新版本的软件和操作系统。其实我个人认为这是一种商业行为,就系统管理而言是非常不好的。
所以作为管理层还是应该考虑一个稳定长期的软件版本作为我们的版本,具体好处我就不多说了。相信你作为管理员应该知道的。
其实个人用linux最直接的优化就是升级内核。自己编译的内核是按照自己的系统编译的,会得到最大的性能和最小的内核。
但是,服务器不一样。当然,我们也希望每台服务器都是自己编译的内核,高效精致。但是现实和愿望是有差距的。想象一下,如果你管理大约100台linux主机,每台主机可能都有不同的配置,那么一个编译内核的过程将是一个巨大的工程,从实用的角度来看,工作量是不可想象的。我认为你不想做这样的事。所以我个人建议采用官方发布的内核升级包是个不错的选择。
首先,我们会对新安装的系统进行一系列升级,包括软件和内核,这是非常重要的一步。
升级完所有的软件,基本的防火墙和配置完成后,我们就开始优化一些细节。如果你是老系统,在做一些操作和优化你的系统之前,一定要把所有的数据备份到其他介质上。
1.虚拟内存优化
首先,检查虚拟内存的使用情况,并使用命令。
#免费
检查当前系统的内存使用情况。
一般来说,linux的物理内存几乎被完全使用。这和windows很不一样。它的内存管理机制充分利用了系统内存,和windows不管内存多大都要用一些虚拟内存不一样。这需要注意。
下面的Linux虚拟内存的默认配置是通过命令实现的
# cat/proc/sys/VM/freepage
可以看到,显示的三个数字是当前系统的数字:最小内存空白页、最小内存空白页、最大内存空白页。
注意,这里系统使用虚拟内存的原理是:如果空白页数量低于最高空白页设置,则使用磁盘交换空间。当达到最小空白页设置时,使用内存交换(注:这是看一些数据得到的,应用时需要我自己观察,但这不会影响我们配置新的虚拟内存参数)。
内存通常以每页4k字节分配。最小内存空白页设置是系统内存量的两倍;最小内存空白页设置是内存量的4倍;最高内存空白页设置是系统内存的6倍。这些值在系统启动时确定。
总的来说,在配置系统分配的虚拟内存配置上,我个人认为增加最高内存空白页是比较好的配置方法。以1G的内存配置为例:
原始配置比率可以修改为:
2048 4096 6444
传递命令
# echo ' 2048 4096 6444 '/proc/sys/VM/freepages
因为添加了最高的空白页配置,所以可以更有效地使用内存。
2.硬盘优化
如果您是scsi硬盘或ide阵列,可以跳过这一节。本节介绍的参数调整仅适用于使用ide硬盘的服务器。
我们通过hdparm程序设置IDE硬盘,
使用DMA和32位传输可以大大提高系统性能。使用以下命令:
# /sbin/hdparm -c 1 /dev/hda
该命令将第一个IDE硬盘的PCI总线指定为32位,并使用-c 0参数禁用32位传输。
使用硬盘上的DMA,使用命令:
# /sbin/hdparm -d 1 /dev/hda
参数-d 0可以用来关闭DMA。
更改完成后,您可以使用hdparm来检查修改后的结果,使用命令:
# /sbin/hdparm -t /dev/had
为了确保设置的结果不变,可以使用命令:# /sbin/hdparm -k 1 /dev/hda
hdm命令的其他一些常用参数函数
-g显示硬盘的磁道、磁头、扇区等参数。
-i显示硬盘的硬件规格信息,开机时由硬盘自己提供。
-我直接读取硬盘提供的硬件规格信息。
-p设置硬盘的PIO模式。
-Tt评估硬盘的读取效率和硬盘缓存的读取效率。
-u 0或1允许在访问硬盘的同时执行其他中断请求。
-v显示硬盘的相关设置。
3.其他优化
关闭不必要的服务。关于系统自动启动的服务,网上有很多资料,这里就不赘述了;
关于安全
1.安全检查
作为系统管理员,定期对系统进行全面的安全检查非常重要。最近有朋友来信说有一些莫名其妙的问题。比如最大的问题就是网络服务明显变慢,很可能就是被攻击的现象。
实践证明,无论什么样的系统,默认安装都是不安全的。其实不管你用windows,linux,bsd还是其他什么系统,默认安装都有很多漏洞。那么如何才能成为一个安全的系统呢?这正是我们的系统管理员需要做的。配置和重新配置。
任何一个系统,只要精心配置,把已知的漏洞堵住,都可以说是安全的。其实并不是很多朋友说的那样。如果安装了系统,配置了防火墙,安装了杀毒软件,那么就安全了。实际上,如果系统没有任何安全设置,就相当于给黑客打开了一扇纸做的门,完全控制它需要几十分钟!
这并不令人震惊。
作为linux系统,也有很多漏洞。黑客可能会利用这些漏洞来控制您的整个系统。为了防止这些问题,我们需要采取以下步骤:
1.升级系统中所有软件包的最新版本;
2.设置坚固的防火墙;
3.定期检查关键记录文件,配置杀毒软件。
4.多关注发布安全信息预警的网站,掌握一些最新病毒和黑客程序的特征,有利于系统的正常运行。
本文主要关注优化。为了配合这个主题,我们只在安全部分讨论一些日常维护工作。
除了上面列出的对管理员来说是必须的四个项目之外,维护一些linux系统细节也很重要。
包括:
1.配置日志轮换训练工具,定期下载备份日志,这是一个非常好的习惯,不仅可以减少日志消耗的磁盘空间,提高系统效率,还可以及时发现问题。linux下有一些不错的系统日志分析器,可以直接从日志中提取特殊项,省去了读取日志的麻烦;
2.使用命令lsof?Ci,netstat?Ca,ps?Ce命令等。定期检查系统服务端口监视器等。或者制作一个定期执行的脚本,定期执行后将这些命令发送到邮箱;
3.定期检查root用户的历史列表、上次列表、vipw用户列表是否正常;
4.定期备份文件,用tar命令可以备份的很好。当然,你需要下载这些备份,转移媒体;
如果发现什么特殊情况或者没见过的端口,要引起足够的重视,不要因小失大。
以上是我对linux系统安全和优化的粗浅认识。希望大家都能安全高效的使用linux,给你的工作生活带来便利。