關於優化（huà）

說起優化（huà），其（qí）實最好的優化就是提升（shēng）硬件的（de）配（pèi）置，例如提（tí）高（gāo）cpu的（de）運算能力，提高內存的容量，個人（rén）認為如果你考慮升（shēng）級硬件（jiàn）的話（huà），建議（yì）優（yōu）先提高（gāo）內存的容（róng）量，因為一般（bān）服務器應用（yòng），對內存的（de）消耗使用要（yào）求是最高的。當然這都是題外話了。

這裏我（wǒ）們首要討論的，是（shì）在同（tóng）等硬件配置下(同一台服務（wù）器，不提升（shēng）硬件的（de）情（qíng）況下)對你（nǐ）的係統進行（háng）優（yōu）化。

作為係統管理員，我認為，首先（xiān）我們要明（míng）確一（yī）個（gè）觀點：在服務器上作任何（hé）操作，升級和修改任何配置（zhì）文件或軟件，都必須（xū）首要考慮安全性，不是越新的東西就越好，這也（yě）是為（wéi）什麽linux管（guǎn）理感覺上和windows有所不（bú）同的地方，windows首先推薦（jiàn）大家去（qù）使用它的最新版本軟（ruǎn）件和操作係統，其實我個人認為這是一種商業行為，作為從係統管理上來講，這是很不（bú）好的，使用新的軟件和係統可能帶來新（xīn）的問題，有些甚（shèn）至是致命的。

因此（cǐ），作為管（guǎn）理，我們還是應該考慮穩定的長期使（shǐ）用的軟件版本來（lái）作為我們的版本（běn），具體的好處我就不多說了。相信作為（wéi）管理員的你應該知道的。

其實個人使用的linux最直接（jiē）的一（yī）個優化就是升級內核，自己編譯的（de）內核是根據（jù）自己的（de）係統編譯而來，將（jiāng）得到最大的（de）性能和最小的內核。

但（dàn）是，服務器就不太（tài）一樣了，當然我們也希望每（měi）一台服務器（qì）都是自（zì）己手工編譯（yì）的（de）內核，高效而精巧。但是實際和（hé）願望是有差（chà）距的，試想一下，如果你管理100來台（tái）linux主機（jī），而每（měi）一（yī）台也許配置都不一樣（yàng），那編譯內核的一個過程將是（shì）一個浩（hào）大（dà）工程，而且從實際考慮，工作（zuò）量大得（dé）難以（yǐ）想象。我想你也不會願意做這種事情（qíng）吧。因此，個人（rén）建議，采用官方發布的內核升級包是很（hěn）好（hǎo）的選擇。

首先，我們（men）對新安裝的（de）係統，將做一係列升級，包括（kuò）軟件和內核，這是很重要的步驟（zhòu）。

在升級好所有軟件後（hòu），基本的防（fáng）火牆和配置都做好以後，我們開始優化一（yī）些細節配置，如果（guǒ）你（nǐ）是老係統，那麽在（zài）作本問（wèn）題及的一些（xiē）操作（zuò）和優（yōu）化你係統之前，務必被（bèi）備份所有數據到其他（tā）介質。

1、虛擬內存優化

首先（xiān）查看虛擬內存的使用情況，使（shǐ）用（yòng）命令

# free

查看當前係統的內存使用（yòng）情況。

一般來說（shuō），linux的物（wù）理內存幾乎是完（wán）全used。這個（gè）和windows非常大的區別（bié），它的內存管理機製將係統內（nèi）存充分（fèn）利用，並非windows無（wú）論多大的內存都要去使用一（yī）些虛（xū）擬內存一樣。這點需要注意。

Linux下（xià）麵虛擬內存（cún）的默認配置（zhì）通過命令

# cat /proc/sys/vm/freepages

可以查看（kàn），顯示（shì）的（de）三個數字是當前係統（tǒng）的：最小內存空白（bái）頁、最低內存空白頁和最高內存（cún）空白（bái）。

注（zhù）意，這裏係統使（shǐ）用虛擬內存的原則是：如果空白頁數目低於最高空白頁設（shè）置，則使用磁盤交換（huàn）空間。當達（dá）到（dào）最低空白（bái）頁設置（zhì）時，使用（yòng）內存交換(注：這個是我查看一（yī）些資（zī）料（liào）得來的，具（jù）體應用時還需要自己（jǐ）觀察一下，不過（guò）這個（gè）不（bú）影響我們配置新的虛擬內（nèi）存參數)。

內存一般以（yǐ）每（měi）頁4k字節分配。最小內存空白頁設置是係（xì）統中內（nèi）存數（shù）量的2倍;最低內存（cún）空（kōng）白頁設置是內（nèi）存數量的4倍;最高內存空（kōng）白頁設置是係（xì）統內存的（de）6倍。這些值在係統（tǒng）啟動時決定。

一般來講（jiǎng）在配置係統分（fèn）配的虛擬內存（cún）配（pèi）置上，我個人認為增大最高內存空白頁（yè）是一種（zhǒng）比較（jiào）好的配置（zhì）方式，以1G的內存配置為（wéi）例：

可將（jiāng）原來的配置比例修（xiū）改為：

2048 4096 6444

通過命令（lìng）

# echo "2048 4096 6444" > /proc/sys/vm/freepages

因為增加（jiā）了最高空白頁配置，那麽可以使內存更有效（xiào）的利用。

2、硬盤優化

如（rú）果你是scsi硬盤（pán）或者（zhě）是ide陣列，可以跳過這一節（jiē），這節介（jiè）紹的參數調整隻針對使（shǐ）用ide硬盤（pán）的服務器。

我們通（tōng）過hdparm程序來（lái）設置IDE硬盤，

使用（yòng）DMA和32位傳（chuán）輸可（kě）以大（dà）幅提升係統性能。使（shǐ）用（yòng）命令如下（xià）：

# /sbin/hdparm -c 1 /dev/hda

此（cǐ）命令將第一個（gè）IDE硬盤（pán）的PCI總線指定為32位，使（shǐ）用 -c 0參數（shù）來禁用32位傳輸。

在硬（yìng）盤上使用DMA，使用命令：

# /sbin/hdparm -d 1 /dev/hda

關閉DMA可以使用 -d 0的參數。

更改完（wán）成後（hòu），可以使用hdparm來檢查修改後的結（jié）果，使（shǐ）用命（mìng）令：

# /sbin/hdparm -t /dev/had

為了確保（bǎo）設（shè）置（zhì）的（de）結果不變，使用命令：# /sbin/hdparm -k 1 /dev/hda

Hdparm命令（lìng）的一些常用的其他參（cān）數功能（néng）

-g 顯示硬（yìng）盤的磁（cí）軌，磁頭，磁區等參數。

-i 顯示（shì）硬盤（pán）的硬件規格信息，這些信息是在（zài）開機時由硬盤本身所提供（gòng）。

-I 直接讀取硬盤所提供的硬件規格信息。

-p 設（shè）定（dìng）硬盤（pán）的PIO模式。

-Tt 評估硬盤的讀取效率和（hé）硬盤快取的讀取效率。

-u <0或1> 在硬（yìng）盤存取時，允許（xǔ）其他中斷要求同時（shí）執行（háng）。

-v 顯示（shì）硬盤（pán）的（de）相關設（shè）定。

3、其他優化

關閉（bì）不（bú）需要的服務，關於係（xì）統自動啟動的服務（wù），網上（shàng）有很（hěn）多資料（liào），在此我就（jiù）不贅（zhuì）述（shù）了;

關於安全

1、安全檢查（chá）

作為一個係統管理（lǐ）員（yuán）來（lái）說，定期對係統作一次全麵的（de）安全檢查很重要的，最近遇（yù）到一些朋友來信說出現了一些莫名其妙的問題（tí），例如（rú）最（zuì）大的一個（gè）問題就是明顯（xiǎn）感覺（jiào）網（wǎng）絡（luò）服務緩慢，這極有可能是被攻擊的現（xiàn）象。

實（shí）踐證明，無論是那種係（xì）統（tǒng），默認安裝都（dōu）是不安全的，實（shí）際不管（guǎn）你用（yòng）windows也好，linux,bsd或（huò）其他（tā）什麽（me）係統，默（mò）認安裝的都有很多（duō）漏洞（dòng），那怎麽才能成為安全（quán）的係統呢，這（zhè）正是我們係（xì）統（tǒng）管理人員需要做的事情。配置配置再配置。

任何係統（tǒng），隻（zhī）要細心的配置，堵（dǔ）住已知的漏洞，可以說這個係統是安（ān）全的，其實並非很多朋友說的那樣，安裝了係統，配置了（le）防火牆（qiáng），安裝了殺毒（dú）軟件，那麽就安（ān）全了（le），其實如（rú）果對（duì）係統不作任何安全設置，那就等於向（xiàng）黑客敞開一扇紙做的大（dà）門，數十分鍾就能完全控（kòng）製!

這並（bìng）非駭人聽聞。

作為linux係統，同樣存（cún）在（zài）很多漏（lòu）洞，黑可（kě）能（néng）利用（yòng）這（zhè）些漏洞控製你的整個係統，要防止這些問題，我們（men）需要做以（yǐ）下步驟：

1、 升級係（xì）統中所有軟件包的最新版本（běn）;

2、 設置（zhì）較為強（qiáng）壯的（de）防火牆;

3、 定期檢查關鍵記錄文件，配（pèi）置（zhì）殺（shā）毒（dú）軟件

4、 多關心一下（xià）發布安全信（xìn）息警告的網（wǎng）站，掌握一些最新的病毒和黑客程序的特點，這些都（dōu）利於（yú）係統的正常運作。

這篇（piān）文章主要以優化為主，為了配合這一（yī）主題，安全部分我們隻（zhī）討論一下日常的一些維護工作。

除了上麵列出（chū）的（de）4條是管理員必修之（zhī）課外，對一些linux係統細節的維護也很重要。

包括：

1、 配置（zhì）日誌輪訓工具，定期下載備份日誌，是個非常好的習慣，這樣不但（dàn）能減少日誌的消耗的磁（cí）盤空（kōng）間，提高係統效率，更能及時（shí）發現問題，linux下有些很好的係（xì）統日誌分析器，能直接提取日誌中（zhōng）的特殊項目，省去了閱讀（dú）日誌（zhì）的煩惱;

2、 使用命令lsof ?Ci ,netstat ?Ca ,ps ?Ce等命令，定期檢查係統服（fú）務端口監聽（tīng）等情況，也可製作一（yī）個定期執（zhí）行的腳本，將這些（xiē）命令定（dìng）期執（zhí）行後發到郵箱中;

3、 定期檢查root用（yòng）戶的history列表（biǎo），last列表，vipw用戶列表是否正常;

4、 定期備份文（wén）件，用（yòng）tar命令就能很好（hǎo）的備（bèi）份了（le），當然需要下載（zǎi）這些備（bèi）份（fèn）並轉移（yí）介質;

如一（yī）點發現有任何特別的沒見過的情況或端口，那麽要引起足夠的重視，切勿因小（xiǎo）失大。

以上是（shì）我對linux係統（tǒng）安全（quán）和優化的一些（xiē）淺顯認識，希望大家都（dōu）能安全高效的使用linux為你的工作生活帶（dài）來方便。