關於優化

說起優化（huà），其實最（zuì）好的優化就是提升（shēng）硬件的配置，例如提高cpu的運算（suàn）能力，提高內存的容量（liàng），個人認為如（rú）果你考慮升級（jí）硬件的話，建議優先提高內存的容量，因為一般服務器（qì）應用，對內存（cún）的消（xiāo）耗使用要求是最高的。當然這都是題外話了。

這裏我們首要討論的，是在同等硬件配置下(同一台服務器，不提升硬件的情況下)對你的係統進行優化。

作為係統管理員，我（wǒ）認為，首先我們要明確一個觀點：在（zài）服務器上作任何操（cāo）作，升（shēng）級和修改任何配置文件或（huò）軟件，都必須首要考慮安（ān）全性，不是越新的東西就越好（hǎo），這也（yě）是為什麽linux管理感（gǎn）覺上和windows有所不同的地方，windows首先推（tuī）薦大家去使用它的（de）最新版本軟件和操作係統，其（qí）實我個人認為（wéi）這是一種商業行為，作（zuò）為從係統管理上來講，這是很（hěn）不好（hǎo）的，使（shǐ）用新（xīn）的軟件和係統可能帶來新的問題，有（yǒu）些甚至是致命的。

因（yīn）此，作為管理，我們（men）還是應該考慮穩定的長期使用的（de）軟件版本來作為我們的版本，具體的（de）好處我就不多說了。相信作為管理員的你應該知道的。

其實個人使用的linux最直（zhí）接的一個優化就是升級內核，自己編譯的內核是根據自己的係統編譯（yì）而（ér）來，將得到最大的性能和（hé）最小的內（nèi）核。

但是，服務器就不太一樣了，當然我們也希望每一（yī）台（tái）服務器都是（shì）自己手工編譯的內核，高效而精巧。但（dàn）是實際和願望（wàng）是有（yǒu）差距的，試想一下，如（rú）果（guǒ）你管理100來台linux主機，而每一台也許配置都不一樣，那編譯內（nèi）核的一個過程將是一個浩大工程，而且從實際考慮，工作量大（dà）得（dé）難以想象。我想你也不會願意做這種事情吧。因此，個（gè）人建（jiàn）議，采用官方發（fā）布的內核（hé）升級包是很好的（de）選擇。

首先，我們對新安裝的係統，將（jiāng）做一（yī）係列升級，包括（kuò）軟件和（hé）內核，這是很重要的步驟。

在（zài）升級好所有軟件後（hòu），基本的防火牆和配置都做好以後，我們開始優化一些細節配置，如果你是老係（xì）統，那麽在作本問題及的一些操（cāo）作和優化你係統之前，務（wù）必被備份所有數據到其他介質。

1、虛擬內存優化

首先查看（kàn）虛擬內存的使用情況，使用命令

# free

查看當前（qián）係統的內存（cún）使用情（qíng）況。

一（yī）般來說，linux的（de）物理內存幾乎是完（wán）全used。這個和windows非常大的區別，它的內存管理機製將係統內存充分利（lì）用，並非windows無論多大的內存都要去（qù）使用一些虛擬（nǐ）內存一樣。這點需要注意（yì）。

Linux下麵虛擬內存（cún）的默認配置通過（guò）命（mìng）令

# cat /proc/sys/vm/freepages

可以查（chá）看，顯示的三個數字是當前係統的：最小內存空白頁、最低內存空白頁和（hé）最高內存空白。

注意（yì），這（zhè）裏係統使用虛擬內存的原則是：如果空（kōng）白頁（yè）數目低於最高空（kōng）白頁設置，則使用磁盤交換空間。當達到最（zuì）低空白頁設置時，使用（yòng）內存交（jiāo）換(注：這個是我查看一些資料得來的，具體應用時還需要自己觀察（chá）一（yī）下，不過這個不影響我們配置（zhì）新的虛擬內存參數)。

內（nèi）存一般以每頁（yè）4k字節分配。最小內存空白頁設置是係統（tǒng）中內存（cún）數量的2倍;最低內存空（kōng）白頁設置是內存數量的4倍;最高內存空（kōng）白頁設置是係統內存的6倍。這些值在係統啟動時決定。

一般（bān）來講在配置係統（tǒng）分配的虛擬內存配置上，我個人認為增大最高內存空白頁是一種（zhǒng）比較好的配置方式（shì），以1G的內存配置為例：

可將原（yuán）來的配置比例修改為：

2048 4096 6444

通（tōng）過（guò）命令

# echo "2048 4096 6444" > /proc/sys/vm/freepages

因為增加了最高空白（bái）頁配（pèi）置，那麽可以使內存更（gèng）有效的利用。

2、硬盤優化

如果你是scsi硬盤或者是ide陣列，可以（yǐ）跳（tiào）過這一節，這節介紹的參數調整隻針（zhēn）對使用ide硬盤的服務器（qì）。

我們通過hdparm程序來設置IDE硬盤（pán），

使用DMA和32位傳輸可以大幅提升係（xì）統性能。使用命令如下：

# /sbin/hdparm -c 1 /dev/hda

此命令將第（dì）一個IDE硬（yìng）盤的PCI總線（xiàn）指定為32位，使用 -c 0參數（shù）來禁用32位傳輸。

在硬（yìng）盤上使用DMA，使用命令：

# /sbin/hdparm -d 1 /dev/hda

關閉DMA可以使用 -d 0的參數。

更改完成後，可以使用hdparm來（lái）檢查修改後的結果，使用命令：

# /sbin/hdparm -t /dev/had

為了確保設置（zhì）的結果不（bú）變，使用命令：# /sbin/hdparm -k 1 /dev/hda

Hdparm命令的一些常用的其他參數功能

-g 顯示硬盤（pán）的磁（cí）軌，磁頭，磁區等參（cān）數。

-i 顯示硬盤的硬件規格信（xìn）息，這些信息是在開機時由硬盤本身所提供。

-I 直接讀取硬盤所提供的硬件規（guī）格信息。

-p 設定硬盤（pán）的PIO模式。

-Tt 評估硬盤的讀取（qǔ）效率和硬盤快取的讀取效率。

-u <0或1> 在（zài）硬盤存取時，允許其（qí）他（tā）中斷要求同時執行。

-v 顯（xiǎn）示（shì）硬盤的相關設定。

3、其他優化

關閉不需要的服務，關於係（xì）統自動啟動的服務，網上有很多資料，在此我就不贅述了;

關於安全

1、安全檢（jiǎn）查

作為一（yī）個係統管理員來說，定期對係統作一次全麵的安全檢查很重要的，最近遇到一些朋友來信說出現了一些（xiē）莫（mò）名其妙的問題，例如最（zuì）大的一個問題就是明顯感覺網絡服務緩慢，這極有可能是被攻擊的現象。

實踐證明，無論是那種係統，默認安裝都是不安全的，實際（jì）不管你用windows也好，linux,bsd或其他什麽（me）係統（tǒng），默認安裝的（de）都有很多（duō）漏洞，那怎麽才能成為安（ān）全的係統呢，這正是我（wǒ）們係統管理人員需要做的事情。配置配置再配置。

任何係統，隻要（yào）細心的配置，堵住已（yǐ）知的漏洞，可以說這個係統是安全的，其實並非很多朋友說的那樣，安裝了係統，配置了防火牆，安裝了殺毒軟件（jiàn），那麽（me）就安全了，其實如果對係統（tǒng）不作任（rèn）何安全設置，那就等於向黑客敞開一扇（shàn）紙做的大門，數十分（fèn）鍾就能完全控製!

這並非駭人聽聞。

作為linux係統，同樣存在很多漏洞，黑可能利用這些（xiē）漏洞（dòng）控製你的整個係統，要防（fáng）止這些問題，我們需要做以下步驟：

1、 升（shēng）級係統中所有軟件包的最新版（bǎn）本;

2、 設置較為（wéi）強壯的防火牆;

3、 定期檢查關鍵記錄文件，配置殺毒軟件

4、 多（duō）關心一下發布安全信息警告的網站，掌握一些最新的病毒和黑客程序的特點（diǎn），這些都利於係統的正常（cháng）運作。

這篇文章主要以優（yōu）化為主，為了（le）配合這一主題，安全部分我們隻討論一下日常（cháng）的一些維護工作。

除了上麵列出的4條是（shì）管理員必修（xiū）之課外，對一些linux係（xì）統細節的維護也很重要。

包括：

1、 配置日誌輪（lún）訓工（gōng）具，定期下載（zǎi）備份日誌，是個非常好的（de）習慣，這樣不但能減少日誌的消耗的磁盤空間，提高係統效（xiào）率，更能及時發（fā）現問題，linux下有（yǒu）些很好的係統日（rì）誌分析器，能直接提（tí）取日誌中的特殊項（xiàng）目，省（shěng）去了閱讀日誌的煩惱;

2、 使用命令lsof ?Ci ,netstat ?Ca ,ps ?Ce等（děng）命（mìng）令，定期（qī）檢查係統服務端口監聽等情況，也可製作一個定期執行的腳本，將（jiāng）這些命令定期執行後發到郵（yóu）箱中;

3、 定期檢查（chá）root用戶的history列表，last列表，vipw用戶列表是否正常;

4、 定期（qī）備份文件（jiàn），用tar命令（lìng）就能很好的備份了（le），當然需（xū）要下載這些備份並轉移介質;

如一點發現有任何特別的沒見過的情況或端口，那（nà）麽要引起足夠的重視，切勿因小失大。

以上是我對linux係統安全和優化的（de）一些淺顯認識，希望大家都能安全高效的使用linux為你的工作生活帶來方便。