第六节 Linux系统基础优化
标签(空格分隔):Linux实战教学笔记-陈思齐
第1章 基础环境
第2章 使用网易163镜像做yum源
默认国外的yum源速度很慢,所以换成国内的。
第一步:先备份
mkdir backup
mv C* backup/
第二步:下载163yum源
wget http://mirrors.163.com/.help/CentOS6-Base-163.repo
第三步:清除旧缓存
yum clean all
第四步:创建新缓存
yum makecache
第五步:安装必要的软件包
yum -y install tree nmap sysstat gcc gcc-c++ make telnet
第3章 关闭SElinux功能
SELinux(Security-Enhanced Linux)是美国国家安全局(NSA)对于强制访问控制的实现,这个功能让系统管理员又爱又恨,这里我们还是把它关闭了吧,至于安全问题,后面通过其他手段来解决,这也是大多数生产环境的做法,如果非要开启也是可以的。关闭方式如下。
/etc/selinux/config :selinux的配置文件
可以直接vi(vim)修改或者用sed -i直接对配置文件进行修改。
- 临时关闭SElinux,可在命令行执行如下命令:
命令说明
- setenforce:用于命令行管理SELinux的级别,后面的数字表示设置对应的级别
- getenforce:查看SElinux当前的级别状态
提示:修改配置SElinux后,要想使生效,必须要重启系统。因此,可配合使用setenforce 0 这个临时关闭的命令,这样在重启前后都可以使得SElinux关闭生效了,也就是说无需立刻重启服务器了,在生产环境下Linux机器是不能随意重启。
小结
- 备份/etc/selinux/config
- 修改配置文件(重启服务器生效)
sed -i '7 s/enforcing/enabled/g' /etc/selinux/coinfig
- 命令行(临时,重启后失效)
setenforce 0
getenforce
第4章 关闭iptalbes防火墙
关闭防火墙的目的是为了让初学者学习更方便,将来在学了iptables技术后可再统一开启。在企业环境中,一般只有配置外网IP的linux服务器才需要开启防火墙,但即使是有外网IP,对于高并发高流量的业务服务器仍是不能开的,因为会有较大性能损失,导致网站访问很慢,这种情况下只能在前端加更好的硬件防火墙了。
- 关闭防火墙的具体操作过程如下:
第5章 设定linux运行级别为3(文本模式)
设定运行级别(runlevel)为3,即表示使用文本命令行模式管理Linux。
/etc/inittab :开机启动模式配置文件
模式3:对系统资源的占用最低,所以改成3对系统进行优化
模式5:桌面模式,如果没有装桌面就进不去了
命令:init 0 可以直接关闭计算机
命令:init 6 可以直接重启计算机
命令:init x(模式) 用来临时切换linux运行模式
runlevel命令可以查看当前的运行模式
重点
必须掌握linux的启动流程
必须掌握linux系统的7中运行级别
必须会临时切换,永久修改linux的启动模式
第6章 精简开机系统启动
系统必须开启的5个服务
- sshd
- crond
- rsyslog
- sysstat
- network
一条命令关闭其他所有不必要的服务
----------
第7章 添加普通用户账号
- linux/unix是一个多用户,多任务的操作系统。
- 超级管理员(root):root默认在unix/linux操作系统中拥有最高的管理全县。
- 普通用户:管理员或者具备管理权限的用户创建的。权限:系统管理仅可以读,看,不能增,删,改。
权限越大,责任越大
- 可以使用如下命令添加一个普通用户账号,并为其设置口令:
- 一般情况下,在企业环境中应尽量避免直接到root用户下操作,除非有超越普通用户权限的系统维护需求,使用完后立刻退回到普通用户。
- 还可通过下面的命令一步到位的设置密码(其中,chensiqi为用户名,密码为123456)
echo "123456" | passwd --stdin chensiqi && history -c
--stdin为免交互模式
必须先创用户后,才能给用户设置密码,不然系统会找不到这个用户的。
注意:这种方式虽然能免提示的直接创建用户,但是密码信息都被记录在了命令的历史记录里,因此,在创建完成以后切记history
-c 清空命令的历史记录信息。
尝试切换用户角色:
说明:
- 超级用户root切换到普通用户下面,无需输入对应用户密码,这相当于“皇帝”去“大臣”家里。
- 普通用户切换到root或其他普通用户下,需要输入切换的对应用户密码
- 普通用户的权限比较小,只能进行基本的系统信息查看等操作,无法更改系统配置和管理服务
- $符号是普通用户的命令提示符,#符号是超级管理员的提示符。示例如下:
- 提示符@前面的字符代表当前用户(可用whoami查询),后面的为主机名(可用hostname查询),~所在的位置是窗口当前用户所在的路径。示例如下:
- Linux命令提示符由PS1环境变量控制。示例如下:
这里的PS1=‘[\u@\h\W]$’,可以通过全局变量配置文件/etc/profile来调整。
- 利用sudo控制用户对系统命令的使用权限
不用root账号是安全了,但管理不方便了,为既安全又管理方便,可将需要root权限的普通用户加入sudo管理,这样用户就可以通过自己的普通账户登陆实现利用root的权限来管理系统了,当然也就不需要有root账号及密码了。
====>用户管理深度讲解(企业案例)
执行如下visudo命令,即可打开sudo的配置文件进行编辑。
使用visudo命令等效于vim /etc/sudoers(sudo的配置文件)
在/etc/sudoers 文件大约91行的下边添加需要提升为root权限的普通用户名及对应权限,格式如下(下图有误,是91行那个):
- visudo或者vi /etc/sudoers,在91行下边加入,或者其他位置加入皆可。
- root ALL=(ALL):此为91行
- chensiqi ALL=(ALL) /usr/sbin/useradd,/usr/sbin/userdel :此为添加的行
- 这句话的意思是对任意主机名的chensiqi用户授权使用useradd和userdel两个命令。
提示:
- 通过sudo进行授权管理系统的目的:即能让运维人员干活,又不能威胁系统安全,其实就是前面讲的用户权限最小化原则,还可以审计用户使用sudo的提权操作命令。
为了管理方便,这里暂时给chensiqi授权all权限,即可以管理整个系统