#一、yum源优化以及添加epel源,有需要可以搭建本地yum仓库
#1、yum源优化
##CentOS 6:
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo
###或者
curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo
##CentOS 7:
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
###或者
curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
#2、添加epel源
##Centos-6:
wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-6.repo
##Centos-7:
wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
#二、关闭selinux
sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config
grep SELINUX=disabled /etc/selinux/config
setenforce 0
getenforce
#三、关闭iptables
##Centos-6
/etc/init.d/iptables stop
chkconfig iptables off
##Centos-7
systemctl stop firewalld.service
systemctl disabled firewalld.service
#四、精简开机自启服务
##Centos-6
chkconfig |egrep -v "crond|sshd|network|rsyslog|sysstat" |awk '{print "chkconfig",$1,"off"}'|bash
#五、普通用户sudo授权
useradd USER
echo 123456|passwd --stdin USER
cp /etc/sudoers{,.bak}
echo "USER ALL=(ALL) NOPASSWD: ALL"
visudo -c
#六、设置字符集
##Centos-6
cp /etc/sysconfig/i18n{,.bak}
echo 'LANG="zh_CN.UTF-8"' >/etc/sysconfig/i18n
source /etc/sysconfig/i18n
echo $LANG
##Centos-7
localectl set-locale LANG=zh_CN.utf8
#七、时间同步
#建议搭建局域网内的ntp服务来校对时间,参考http://www.cnblogs.com/ExzaiTin/p/7845033.html
echo '#time sync ' >>/var/spool/cron/root
echo '*/5 * * * * /use/sbin/ntpdate ntp1.aliyun.com >/dev/null 2&>1' >>/var/spool/cron/root
#八、命令行记录优化
cat >>/etc/profile<<EOF
## history
export TMOUT=300
export HISTSIZE=5
export HISTFILESIZE=5
EOF
#九、设置文件描述符
echo '* - nofile 65535 ' >>/etc/security/limits.conf
#十、内核优化
/etc/sysctl.conf下,请不要相信任何人的优化建议
sysctl -p
#十一、内网主机之间hosts解析
cat >>/etc/hosts<<EOF
......
EOF
#十二、系统升级(慎用)
yum -y update 升级所有包,改变软件设置和系统设置,系统版本内核都升级
yum -y upgrade 升级所有包,不改变软件设置和系统设置,系统版本升级,内核不改变
#基础优化还包括以下
1. 不用root登陆管理系统,而以普通用户sudo授权管理
2. 更改默认的远程SSH服务端口,禁止root用户远程连接,甚至要更改SSH服务只监听内网IP
3. 定时自动更新服务器的时间,使其和互联网时间同步
4. 配置yum更新源,从国内更新源下载安装软件包
5. 关闭SElinux及iptables(在工作场景中,如果有外部IP一般要打开iptables,高并发高流量的服务器可能无法开启)
6. 调整文件描述符的数量、进程及文件的打开都会消耗文件描述符数量
7. 定时自动清理邮件临时目录垃圾文件、防止磁盘的inodes数被小文件占满
8. 精简并保留必要的开机自启动服务(如crond、sshd、network、rsyslog、sysstat)。
9. Linux内核参数优化/etc/sysctl.conf,执行sysctl -p生效。
10. 更改系统字符集为“zh_CN.UTF-8”,使其支持中文,防止出现乱码问题。
11. 锁定关键系统文件如/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow、/etc/inittab, 处理以上内容后把chattr、lsattr改名为oldboy,转移走,这样就安全多了。
12. 清空/etc/issue、/etc/issue.net,去除系统及内核版本登录前的屏幕显示。
13. 清除多余的系统虚拟用户账号。
14. 为grub引导菜单加密码。
15. 禁止主机被ping。
16. 打补丁并升级有已知漏洞的软件。