科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Linux系统:系统优化和安全配置两方面

Linux系统:系统优化和安全配置两方面

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

我们来说一下基于服务器应用的Linux,由于个人电脑上使用Linux也许不会象服务器上的那样,优先追求安全和稳定,所以这是给个人电脑使用Linux的朋友做个参考。

来源:CCW 2010年1月12日

关键字: linux安全 系统安全

  • 评论
  • 分享微博
  • 分享邮件

  我们来说一下基于服务器应用的Linux,由于个人电脑上使用Linux也许不会象服务器上的那样,优先追求安全和稳定,所以这是给个人电脑使用Linux的朋友做个参考。

  第一点:系统优化

  优化的最好办法当然是提升服务器硬件的配置啦,最基本的就是提高CPU的运算内容、内存的容量等等,我个人认为要升级应该优先考虑提高内存,因为一般的服务器应用,对内存消耗使用要求是非常高的。

  现在我们首要讨论的,是在同等硬件配置下(同一台服务器,不作任何硬件提升的情况下)对你的系统进行优化。

  作为一个系统管理员,首先我们要明确一个观点:在服务器上作任何操作,升级和修改任何配置文件或软件,都必须首要考虑安全性,而不是越新的东西就会是越好的,这也是为什么Linux管理感觉上和Windows系统有所不同的地方,Windows系统会推荐大家去用它的最新版本和新的软件,这也许只是一个商业性的行为罢了。从系统管理上来手,这是一个不好的习惯,频繁使用新软件和系统可能会带来一系列新的问题,甚至这些问题是致命性的。

  因此,我们考虑的还是稳定的长期使用的软件版本来作为我们的系统版本。

  其实个人使用的Linux最直接的一个优化就是升级内核,自己编译的内核是根据自己的系统编译而来,将得到最大的性能和最小的内核。

  不过,服务器就不太一样了,当然我们也希望每一台服务器都是自己手工编译的内核,高效而精巧。但是实际和愿望是有差距的,试想一下,如果你管理100来台Linux主机,而每一台也许配置都不一样,那编译内核的一个过程将是一个浩大工程,而且从实际考虑,工作量大得难以想象。我想给你你也不会去做这样的傻事吧。我个人建议,采用官方发布的内核升级包是很好的选择。

  首先,我们对新安装的系统,将做一系列升级,包括软件和内核,要记住这是一个很重要的步骤。

  在升级好所有软件后,基本的防火墙和配置都做好以后,我们开始优化一些细节配置,如果你是老系统,那么在作本问题及的一些操作和优化你系统之前,务必被备份所有数据到其他介质。

  1、虚拟内存优化

  首先查看虚拟内存的使用情况,使用命令

  # free

  查看当前系统的内存使用情况。

  一般来说,Linux系统的物理内存几乎是完全used。这个和windows系统有很大的区别,它的内存管理机制将将系统内存充分地利用,并非象windows系统那样无论多大的内存都要去使用虚拟内存。这点大家要注意一下。

  Linux下面虚拟内存的默认配置通过命令

  # cat /proc/sys/vm/freepages

  可以查看,显示的三个数字是当前系统的:最小内存空白页、最低内存空白页和最高内存空白。

  注意,这里系统使用虚拟内存的原则是:如果空白页数目低于最高空白页设置,则使用磁盘交换空间。当达到最低空白页设置时,使用内存交换(注:这些是查资料得到的,具体的还是大家自己观察一下吧,当然这个问题不影响我们配置新的虚拟内存参数的喔)。

  内存一般以每页4k字节分配。最小内存空白页设置是系统中内存数量的2倍;最低内存空白页设置是内存数量的4倍;最高内存空白页设置是系统内存的6倍。这些值在系统启动时决定。

  一般来讲在配置系统分配的虚拟内存配置上,我个人认为增大最高内存空白页是一种比较好的配置方式,以1G的内存配置为例:

  可将原来的配置比例修改为:

  2048 4096 6444

  通过命令

  # echo “2048 4096 6444″ > /proc/sys/vm/freepages

  因为增加了最高空白页配置,那么可以使内存更有效的利用。

  2、硬盘优化

  如果你是scsi硬盘或者是ide阵列,那么你就可以跳过这一节了,这节介绍的参数调整只针对使用ide硬盘的服务器,其他的看这里都是浪费你的时间。下面我们将通过Hdparm程序来配置IDE硬盘,使用DMA和32位传输可以大幅度提升系统的性能,使用的命令如下:

  # /sbin/hdparm -c 1 /dev/hda

  此命令将第一个IDE硬盘的PCI总线指定为32位,使用 -c 0参数来禁用32位传输。

  在硬盘上使用DMA,使用命令:

  # /sbin/hdparm -d 1 /dev/hda

  关闭DMA可以使用 -d 0的参数。

  更改完成后,可以使用hdparm来检查修改后的结果,使用命令:

  # /sbin/hdparm -t /dev/had

  为了确保设置的结果不变,使用命令:# /sbin/hdparm -k 1 /dev/hda

  Hdparm命令的一些常用的其他参数功能

  [td] [pre]-g 显示硬盘的磁轨,磁头,磁区等参数。

  -i 显示硬盘的硬件规格信息,这些信息是在开机时由硬盘本身所提供。

  -I 直接读取硬盘所提供的硬件规格信息。

  -p 设定硬盘的PIO模式。

  -Tt 评估硬盘的读取效率和硬盘快取的读取效率。

  -u <0或1> 在硬盘存取时,允许其他中断要求同时执行。

  -v 显示硬盘的相关设定。[/pre] [/td]

  3、其他优化

  关闭不需要的服务,关于系统自动启动的服务,网上有很多资料,在此我就不赘述了;

  安全配置

  作为一个系统管理员来说,定期对系统作一次全面的安全检查很重要的,最近遇到一些朋友来信说出现了一些莫名其妙的问题,例如最大的一个问题就是明显感觉网络服务缓慢,这极有可能是被攻击的现象。

  实践证明,无论是那种系统,默认安装都是不安全的,实际不管你用windows也好,Linux,bsd或其他什么系统,默认安装的都有很多漏洞,那怎么才能成为安全的系统呢,这正是我们系统管理人员需要做的事情。配置配置再配置。

  任何系统,只要细心的配置,堵住已知的漏洞,可以说这个系统是安全的,其实并非很多朋友说的那样,安装了系统,配置了防火墙,安装了杀毒软件,那么就安全了,其实如果对系统不作任何安全设置,那就等于向黑客敞开一扇纸做的大门,数十分钟就能完全控制!

  这并非骇人听闻。

  作为Linux系统,同样存在很多漏洞,黑可能利用这些漏洞控制你的整个系统,要防止这些问题,我们需要做以下步骤:

  1、 升级系统中所有软件包的最新版本;

  2、 设置较为强壮的防火墙;

  3、 定期检查关键记录文件,配置杀毒软件

  4、 多关心一下发布安全信息警告的网站,掌握一些最新的病毒和黑客程序的特点,这些都利于系统的正常运作。

  这篇文章主要以优化为主,为了配合这一主题,安全部分我们只讨论一下日常的一些维护工作。

  除了上面列出的4条是管理员必修之课外,对一些Linux系统细节的维护也很重要。

  包括:

  1、 配置日志轮训工具,定期下载备份日志,是个非常好的习惯,这样不但能减少日志的消耗的磁盘空间,提高系统效率,更能及时发现问题,Linux下有些很好的系统日志分析器,能直接提取日志中的特殊项目,省去了阅读日志的烦恼;

  2、 使用命令lsof –i ,netstat –a ,ps –e等命令,定期检查系统服务端口监听等情况,也可制作一个定期执行的脚本,将这些命令定期执行后发到邮箱中;

  3、 定期检查root用户的history列表,last列表,vipw用户列表是否正常;

  4、 定期备份文件,用tar命令就能很好的备份了,当然需要下载这些备份并转移介质;

  如一点发现有任何特别的没见过的情况或端口,那么要引起足够的重视,切勿因小失大。

  以上是我对Linux系统安全和优化的一些浅显认识,希望大家都能安全高效的使用Linux为你的工作生活带来方便。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章