大家好,這次跟大家談談又拍雲的操作系統優化方案。往簡單地說,我們使用的 Linux 操作系統主要都是基於 CentOS6/7 的精簡和優化。往複雜地說,則是我們有兩套系統,業務上使用的定製 Linux 系統和數據中心使用的優化版 Linux 系統。
業務上我們使用裁剪過的定製 Linux 系統,目的是為了更安全、更高效、更加貼近業務需求,方便全國各點進行閃電式部署,但這套系統不具備普適性,所以我們今天暫時不談它。今天主要分享數據中心常用的 Linux 優化版本,因為這個比較通用,適合大家在使用時進行參考。我會從以下幾個方面來進行分享。
在 CentOS 或 RHEL 中,有以下三種定義的主機名:
靜態的(static):「靜態」主機名也稱為內核主機名,是系統在啟動時從 /etc/hostname 自動初始化的主機名。
瞬態的(transient):「瞬態」主機名是在系統運行時臨時分配的主機名如通過 DHCP 或 mDNS 服務器分配。
靈活的(pretty):「靈活」主機名則允許使用自由形式(包括特殊/空白字符)的主機名,以展示給終端用戶(如 Gemini's Computer)。
好的主機名,可以讓非運維的機房人員一目了然地了解和定位機器。比如: 用途名 + 省份 + 機房名 + 機櫃號 + 編號,示例如下:
HOST="DBS-ZJ-FUD-009"hostnamectl set-hostname --static $HOSThostnamectl set-hostname --pretty $HOSThostnamectl set-hostname --transient $HOSTecho "$HOST" > /proc/sys/kernel/hostname登陸 Linux 的歡迎界面可由 /etc/issue和/etc/motd 控制。如下顯示,不用登錄系統就能一目了然的知道系統版本、CPU 和內存型號容量、運行狀態、應用版本號及網絡連接情況。
好的字符集,可以避免終端顯示下的亂碼。建議使用 en_US.utf8 字符集。
# 查看操作系統支持的所有字符集# locale -acat > /etc/locale.conf <<EOFLANG=en_US.utf8LC_CTYPE=en_US.utf8EOFlocalectl set-locale LANG=en_US.UTF8因為使用的都是基於 CentOS 的最小化精簡安裝,安裝後會缺少一些常規的基礎軟件,所以我們會適當補充一些基礎軟件,以幫助快速排查和定位問題。
yum install -y tree ntpdate bc nc net-tools wget lsof rsync nmon bash-completion iptables-services firewalld sysstat mtr htop bind-utils yum-utils epel-release smartmontools supervisor python-setuptools python-pip pkgconfig在實際生產環境中,保障服務器時區和時間的一致性非常重要。尤其是分布式系統、多機集群環境、數據庫主從備份、以及依賴時間同步的定時任務等場景,時區和時間同步是非常有用的,一旦二者不一致很容易導致各種各樣的問題。
timedatectl set-timezone Asia/Shanghaitimedatectl set-ntp 1timedatectl set-local-rtc 0#timedatectl set-time "2018-08-08 18:08:08"ntpdate -u cn.pool.ntp.org強烈建議同時把時間同步操作也寫入 crontab 里做雙保險。
# crontab -l0 * * * * root(ntpdate -o3 192.168.1.10 211.115.194.21 )SELinux 為安全增強型 Linux(Security-Enhanced Linux),主要由美國國家安全局開發。它概念嚴謹、結構及配置複雜、操作嚴格。因此在使用時可以視情況決定是否要開啟使用,可以在有機密和信息敏感機構等的特殊場景下可以啟用。
sed -r -i '/^SELINUX=/s^=.*^=disabled^g' /etc/selinux/configset enforce 0sudo 是 Linux 系統管理指令,是允許系統管理員讓普通用戶執行一些或者全部的 root 命令的一個工具,如 halt、reboot、su 等等。 這樣不但可以減少 root 用戶的登錄和管理時間,也能夠提高安全性。
需要注意的是,生產環境儘量不要直接用 root,建議先新建普通用戶再提升權限。
[root@OPS-FDI-020 ~]# useradd shaohy[root@OPS-FDI-020 ~]# usermod -G wheel shaohy[root@OPS-FDI-020 ~]# sed -i '/pam_wheel/s/^#//g' /etc/pam.d/su為用戶 shaohy 添加 sudo,除關機外的其他所有操作:
[root@OPS-FDI-020 ~]# visudoCmnd_Alias SHUTDOWN = /sbin/halt, /sbin/shutdown, /sbin/poweroff, /sbin/reboot, /sbin/initshaohy ALL=(ALL) ALL,!SHUTDOWN%wheel ALL=(ALL) ALL,!SHUTDOWN #修改wheel組的權限,禁止關機Defaults logfile=/var/log/sudo.log自 CentOS7 以後都是默認使用 firewalld 管理 netfilter 子系統,需要注意的是底層調用的命令仍然使用了 iptables。二者的區別對比如下:
firewalld 可以動態修改單條規則,動態管理規則集,允許更新規則而不破壞現有會話和連接。而 iptables,在修改了規則後必須得全部刷新才可以生效。
firewalld 使用區域和服務而不是鏈式規則。
firewalld 默認是拒絕的,需要設置以後才能放行。而 iptables 默認是允許的,需要拒絕的才去限制。
所以在選擇時可以考慮不拒絕 firewalld,去嘗試接受它。
#!/bin/shIPS="192.168.0.0/16"firewall-cmd --zone=public --remove-service=sshfirewall-cmd --new-zone=openssh --permanentfirewall-cmd --zone=openssh --add-port=22222/tcp --permanentfirewall-cmd --permanent --zone=public --set-target=defaultfor ip in $IPS;do firewall-cmd --zone=openssh --add-source=$ip --permanentdonefirewall-cmd --reloadfirewall-cmd --runtime-to-permanent又拍雲每一台 CDN 服務器上都有大量硬盤,且不說 4T、6T 這類量比較小的,即便是 10T 的也有 12 塊之多,所以需要自動化格式化和劃分區這些硬盤的運維操作。
早期的主引導記錄(Master Boot Record,縮寫:MBR),又叫做主引導扇區,也就是計算機開機後訪問硬盤時所必須要讀取的首個扇區,無法支持大於 2T 的硬盤引導。雖然打了補丁的 MBR 也可以支持大於 2T 的分區,但 GPT 已經成為了新的趨勢。相比 MBR 而言,GPT 分區方案有以下特點:
GPT是 UEFI 標準的一部分(UEFI 是一種個人電腦系統規格,用來定義操作系統與系統固件之間的軟件界面,作為 BIOS 的替代方案)。
GPT 分區列表支持最大 128PB(1PB=1024TB)。
可以定義 128 個分區。
沒有主分區,擴展分區和邏輯分區的概念,所有分區都能格式化。
#!/bin/shDEV=`lsscsi | awk '/HGST/{print $NF}'` # 篩選所有的sata硬盤i=1for dev in $DEV;do label="/disk/sata0$i" echo $dev $label parted -m -s $dev rm 1 parted -m -s $dev mklabel gpt parted -m -s $dev mkpart primary ext4 2048s 100% partx -a $dev ((i++)) nohup mkfs.ext4 -L $label ${dev}1 >/dev/null &done因為 CentOS7 / RHEL7 系統中使用 Systemd 替代了之前的 SysV,導致 /etc/security/limits.conf 文件的配置只適用於通過 PAM 認證登錄用戶的資源限制,對 systemd 的service 資源限制不生效。
因為 systemd service 的資源限制,所以我們將全局配置放置於 /etc/systemd/system.conf 和 /etc/systemd/user.conf 中。其中 system.conf 用於系統實例,user.conf 用於用戶實例。
sed -r -i -e '/DefaultLimitCORE/s^.*^DefaultLimitCORE=infinity^g' -e '/DefaultLimitNOFILE/s^.*^DefaultLimitNOFILE=100000^g' -e '/DefaultLimitNPROC/s^.*^DefaultLimitNPROC=100000^g' /etc/systemd/system.conf加大打開文件數的限制, 默認設置了非 root 用戶的最大進程數為 4096。
cat > /etc/security/limits.d/20-nproc.conf <<EOF* soft nproc 10240root soft nproc unlimitedEOFsysctl.conf 文件配置參數較多且複雜,如果需要詳解每一個參數的作用需要很長時間。這裡我們之間看一部分常見調優參數來感受一下。主要是集中在網絡和 TCP 參數優化、 swap 禁用、文件句柄放大 。
net.ipv4.ip_forward=1net.ipv4.ip_local_port_range=1000 65535net.ipv4.tcp_slow_start_after_idle=0net.ipv4.tcp_no_metrics_save=1net.ipv4.tcp_rfc1337=1net.ipv4.tcp_timestamps=1net.ipv4.tcp_sack=1net.ipv4.tcp_dsack=1net.ipv4.tcp_window_scaling=1net.ipv4.tcp_rmem=4096 102400 16777216net.ipv4.tcp_wmem=4096 102400 16777216net.ipv4.tcp_mem=786432 1048576 1572864net.ipv4.tcp_syncookies=1net.ipv4.tcp_syn_retries=3net.ipv4.tcp_synack_retries=5net.ipv4.tcp_retries1=3net.ipv4.tcp_retries2=15net.ipv4.tcp_fin_timeout=30net.ipv4.tcp_max_syn_backlog=262144 net.ipv4.tcp_max_orphans=262144net.ipv4.tcp_tw_recycle=0net.ipv4.tcp_tw_reuse=1net.ipv4.tcp_keepalive_time=30net.ipv4.tcp_keepalive_intvl=10net.ipv4.tcp_keepalive_probes=3net.ipv4.tcp_max_tw_buckets=600000net.ipv4.tcp_congestion_control=bbrnet.core.somaxconn=8192net.core.rmem_default=131072net.core.wmem_default=131072net.core.rmem_max=33554432net.core.wmem_max=33554432net.core.dev_weight=512net.core.optmem_max=262144net.core.netdev_budget=1024net.core.netdev_max_backlog=262144vm.swappiness=0vm.dirty_writeback_centisecs=9000vm.dirty_expire_centisecs=18000vm.dirty_background_ratio=5vm.dirty_ratio=10vm.overcommit_memory=1vm.overcommit_ratio=50vm.max_map_count=200000fs.file-max=524288fs.aio-max-nr=1048576 用戶的 shell 權限檢查,通常考慮到安全性的問題,不允許有非 root 用戶擁有 shell 權限。
# 過濾出有uid==0, gid==0的潛伏用戶,判斷有沒有bashawk -F: '($3==0||$4==0) {print $0}' /etc/passwd|grep -i bash# 除root外的用戶shell全部為nologinsed -r -i '/^[^root]/s:/bin/bash:/sbin/nologin:g' /etc/passwd因為幾乎所有 Linux 服務器都通過 SSH 來進行遠程管理,這很容易招來許多不速之客,想方設法通過 SSH 來取得您的服務器權限。所以 SSH 安全不容忽視!強烈建議禁用口令登錄,修改之前先改用公密鑰的方式來 SSH 登錄管理服務器。
sed -r -i '/#Port 22/s^.*^Port 22222^g;/^PasswordAuthentication/s^yes^no^g' /etc/ssh/sshd_configLinux 服務(Linux services)對於每個應用 Linux 的用戶來說都很重要。關閉不必要的服務,可以讓 Linux 運行更高效,但並不是所有的 Linux 服務都可以關閉,這個要自己權衡。
systemctl disable network postfix irqbalance tuned rpcbind.target如果有基於 udp 的服務,如ntpd、dns,要注意 udp 的反射攻擊。因為 udp 的反射攻擊破壞力極大,最好關閉掉無用相關的服務, 或者選擇高防機房去部署此類服務。
當服務器進程較多,日誌文件大小增長較快,就會不斷消耗磁盤空間並觸發告警。這時就需要人為定期按照各種維度去手動清理日誌,如果不及時清理則很容易變成運維事故。
通常可以使用 logrotate 日誌滾動機制將日誌文件按時間或大小分成多份,刪除時間久遠的日誌文件,從而節省空間和方便整理。
sed -r -i 's@weekly@daily@g;s@^rotate.*@rotate 7@g;s@^#compress.*@compress@g' /etc/logrotate.confsystemctl daemon-reload; systemctl restart rsyslog在 Systemd 出現之前,Linux 系統及各應用的日誌都是分別管理的,而 Systemd 統一管理了所有 Unit 啟動日誌。這樣的好處就是可以只用一個 journalctl 命令,查看所有內核和應用的日誌。
適當的配置可以讓 journal 體積可控,不至於容量爆炸。
sed -r -i -e '/Compress=/s@.*@Compress=yes@g; /SystemMaxUse=/s@.*@SystemMaxUse=4G@g; ' -e '/SystemMaxFileSize=/s@.*@SystemMaxFileSize=256M@g;' -e '/MaxRetentionSec=/s@.*@MaxRetentionSec=2week@g' /etc/systemd/journald.conf綜上所述,完成以上這些優化後,一個安全可靠的操作系統就可以正式上線提供服務了, 祝大家 Linux 之旅玩得愉快!
《開源觀止》是 OSCHINA 於 2022 年 6 月推出的一本關於開源的精選集,旨在集中化地呈現一些關於 FLOSS 的信息與觀點。我們有一個美好的願景:開源,觀止矣,而這需要更多開源人、開發者參與進來共建。因此,OSCHINA 編輯部特向大家徵稿,徵稿欄目及要求如下:
《眾說》:分享開源實務方面的經驗或對開源的思考。
《創業小輯》:記錄勇立潮頭的開源創企,展現它們的奮鬥歷程、文化氛圍。
請在投稿前聯繫我們哦!
聯繫方式:肖瀅 18370998278(微信同號)
覺得不錯,請點個在看呀
留言列表