Centos7系统初始化配置优化记录

软件更新

1
yum update -y

安装必要软件包

1
yum install -y unzip wget git vim lsof ntpdate ntp-doc

修改主机名

1
2
hostnamectl  --static set-hostname [host-name]
hostnamectl  set-hostname  [host-name]

修改时区及时间同步设置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
timedatectl set-timezone Asia/Shanghai

#手动同步
/usr/sbin/ntpdate 0.cn.pool.ntp.org > /dev/null 2>&1
/usr/sbin/hwclock --systohc
/usr/sbin/hwclock -w

#定时同步
cat > /var/spool/cron/root << EOF
10 0 * * * /usr/sbin/ntpdate 0.cn.pool.ntp.org > /dev/null 2>&1
* * * * */1 /usr/sbin/hwclock -w > /dev/null 2>&1
EOF
chmod 600 /var/spool/cron/root
systemctl restart crond

设置字符集

1
2
localectl set-locale LANG=zh_CN.UTF-8
source  /etc/locale.conf

关闭seLinux

1
2
3
4
#修改配置文件需要重启服务器配置才会生效
sed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/selinux/config
#关闭SELinux,立即生效,重启服务器后配置失效。
setenforce 0

关闭防火墙

1
2
3
4
#临时关闭
systemctl stop firewalld
#永久关闭
systemctl disable firewalld

优化ssh服务

1
2
3
4
5
6
7
8
9
10
11
#备份/etc/ssh/sshd_conf
cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
#不允许基于GSSAPI的用户认证
sed -i 's/^GSSAPIAuthentication yes$/GSSAPIAuthentication no/' /etc/ssh/sshd_config
#不允许sshd对远程主机名进行反向解析
sed -i 's/#UseDNS yes/UseDNS no/' /etc/ssh/sshd_config
#禁止root用户登录
#sed -i 's%#PermitRootLogin yes%PermitRootLogin no%' /etc/ssh/sshd_config
#不允许空密码登录
sed -i 's%#PermitEmptyPasswords no%PermitEmptyPasswords no%' /etc/ssh/sshd_config
systemctl restart sshd

优化limits

1
2
3
4
5
#备份/etc/sysctl.conf
cp /etc/security/limits.conf /etc/security/limits.bak
#编辑配置文件
vim /etc/security/limits.conf
#添以下下内容
* soft nofile 655350
* hard nofile 655350
* soft nproc 655360
* hard nproc 655360
zf soft nofile 655350
zf hard nofile 655350
zf soft nproc 655360
zf hard nproc 655360 

优化内核参数

1
2
3
4
5
#备份/etc/sysctl.conf
cp /etc/sysctl.conf /etc/sysctl.bak
#编辑配置文件
vim /etc/sysctl.conf
#添加以下内容
net.ipv4.tcp_max_tw_buckets = 6000
#允许TIME-WAIT套接字数量的最大值。超过些数字,TIME-WAIT套接字将立刻被清除同时打印警告信息。默认是180000,过多的TIME-WAIT套接字会使webserver变慢

net.core.netdev_max_backlog = 65535
#每个网络接口接收数据包的速率比内核处理这些包的速率快时,允许发送到队列的数据包的最大数目

net.core.somaxconn = 65535
#该参数用于调节系统同时发起的TCP连接数,该默认值较小,肯那个导致连接超时或重传问题

net.ipv4.tcp_timestamps = 0
#该参数用于设置时间戳,可以避免序列号的卷绕。一个1Gbps的链路肯定会遇到以前用过的序列号。时间戳能够让内核接受这种“异常”的数据包

net.ipv4.tcp_synack_retries = 1
#该参数用于设置内核放弃TCP连接之前向客户端发送SYN+ACK包的数量。

net.ipv4.tcp_syn_retries = 1
#该参数的作用与上一个参数类似,设置内核放弃建立连接之前发送SYN包的数量

net.ipv4.tcp_tw_reuse = 1
#1代表允许将状态为TIME-WAIT状态的socket连接重新用于新的连接。

net.ipv4.tcp_fin_timeout = 15
#当服务器主动关闭链接时,socket保持FN-WAIT-2状态的最大时间

net.ipv4.tcp_keepalive_time = 30
#当keepalive启用时,TCP发送keepalive消息的频率。默认是2个小时。将其调小一些,可以更快的清除无用的连接

net.ipv4.ip_local_port_range = 10240    65000
#UDP和TCP连接中本地端口(不包括连接的远端)的取值范围

net.ipv4.tcp_tw_recycle = 1
#允许将TIME-WAIT sockets重新用于新的TCP连接

net.ipv4.tcp_max_tw_buckets = 20000
#容纳TIME_WAIT状态的连接数,如果超过,则立即销毁TIME_WAIT套接字