生產(chǎn)環(huán)境Linux系統(tǒng)優(yōu)化方法

編者按：Linux操作系統(tǒng)作為服務(wù)器操作系統(tǒng)的重要組成部分，越來越多的開始為企業(yè)的核心以及應(yīng)用服務(wù)器擔(dān)當(dāng)基礎(chǔ)支撐平臺及系統(tǒng)級平臺支持。隨著Linux系統(tǒng)的不斷演進，也有越來越多的新特性被引入并整合進入Linux系統(tǒng)發(fā)行版中。筆者針對自己在生產(chǎn)系統(tǒng)中部署和應(yīng)用的實踐將一些新特性和優(yōu)化方法進行介紹，便于讀者朋友們在自己的生產(chǎn)系統(tǒng)中更好地應(yīng)用。

筆者將從系統(tǒng)優(yōu)化、端口修改以及啟用優(yōu)化服務(wù)組件三個方面，作詳細介紹。

系統(tǒng)優(yōu)化

1.文件系統(tǒng)

在Linux系統(tǒng)中為“/tmp”目錄啟用tmpfs文件系統(tǒng),“/tmp”目錄是Linux運行時產(chǎn)生的緩存文件，用于加速二次打開文件的速度，是Linux關(guān)機時會被系統(tǒng)預(yù)設(shè)指令刪除的。tmpfs文件系統(tǒng)是一種基于內(nèi)存的文件系統(tǒng)，當(dāng)前新的Linux發(fā)行版基本都支持這一文件系統(tǒng)特性。

用戶在進行優(yōu)化前應(yīng)先使用“df -hT”命令對當(dāng)前系統(tǒng)是否使用了“tmpfs”文件系統(tǒng)進行確認，如果系統(tǒng)返回信息中的“Filesystem”列包含有“tmpfs”字樣，則說明該系統(tǒng)默認支持tmpfs內(nèi)存文件系統(tǒng)。之后用戶可以使用命令“vi/etc/fstab”編輯該文件并將“tmpfs /tmp tmpfs default 0 0”內(nèi)容添加到該文件末尾，重啟系統(tǒng)后系統(tǒng)“/tmp”目錄將更新成tmpfs內(nèi)存文件系統(tǒng)，此時該目錄內(nèi)所有創(chuàng)建的內(nèi)容都駐留在內(nèi)存中。現(xiàn)在可以將Nginx或PHP緩存目錄指向“/tmp”,可以極大地提高應(yīng)用服務(wù)緩存讀寫速度。

使用命令“vi/etc/sys ctl.conf”編輯內(nèi)核參數(shù)文件并將“vm.swappiness=0”“vm.vfs_cache_pressure=62”添加到該文件中，其中參數(shù)“vm.swappiness”表示使用swap文件系統(tǒng)的參考概率，對于服務(wù)器系統(tǒng)可以將該參數(shù)直接修改為“0”，保證系統(tǒng)在內(nèi)存足夠的情況下盡量不使用或者少使用swap文件交換區(qū)。

參數(shù)“vm.vfs_cache_pressure”表示內(nèi)核回收用于directory和inode cache內(nèi)存的傾向，調(diào)整值低于100,將讓內(nèi)核傾向于保留directory和inode cache，避免不必要的性能消耗。

2.內(nèi)核參數(shù)

服務(wù)器系統(tǒng)作為應(yīng)用系統(tǒng)的提供者，其必然會長期處于高并發(fā)和網(wǎng)絡(luò)壓力之下，生產(chǎn)系統(tǒng)中應(yīng)適當(dāng)修改內(nèi)核參數(shù)，已使服務(wù)器更加耐壓。用戶可以使用命令“vi/etc/sysctl.conf”編輯內(nèi)核參數(shù)文件，并增加如下內(nèi)容：

以上兩項參數(shù)表示開啟Linux內(nèi)核的TCP BBR擁塞算法。該擁塞算法優(yōu)于傳統(tǒng)的TCP協(xié)議默認擁塞算法，當(dāng)用戶使用的Linux內(nèi)核版本大于4.9時用戶可以修改參數(shù)來默認啟用該功能。

net.ipv4.tcp_syncooki es=1表示開啟SYN Cooki es。當(dāng)出現(xiàn)SYN等待隊列溢出時，啟用cookies來處理，可防范少量SYN攻擊，默認為0，表示關(guān)閉。

net.ipv4.tcp_tw_reuse=1 表示開啟重用。允許將TIME-WAIT sockets重新用于新的TCP連接，默認為0，表示關(guān)閉。

net.ipv4.tcp_fin_time out=30 表示如果套接字由本端要求關(guān)閉，這個參數(shù)決定了它保持在FIN-WAIT-2狀態(tài)的時間。

net.ipv4.tcp_keepaliv e_time=1200 表示當(dāng)keep alive起用的時候，TCP發(fā)送keepalive消息的頻度。缺省是2 h，改為20 min。避免因為服務(wù)器大量close_wait狀態(tài)網(wǎng)絡(luò)連接導(dǎo)致的服務(wù)器性能以及網(wǎng)絡(luò)并發(fā)消耗。

net.ipv4.ip_local_por t_range=1024 65000 表示用于向外連接的端口范圍。缺省情況下很小：32 768到61 000，改 為1 024到65 000。

net.ipv4.tcp_max_syn_backlog=8 192表示SYN隊列的長度，默認為1 024，加大隊列長度為8 192，可以容納更多等待連接的網(wǎng)絡(luò)連接數(shù)。

net.ipv4.tcp_max_tw_buckets=5000 表示系統(tǒng)同時保持TIME_WAIT套接字的最大數(shù)量，如果超過這個數(shù)字，TIME_WAIT套接字將立刻被清除并打印警告信息。默認為 180 000，改為5 000。對于Apache、Nginx等服務(wù)器，上幾行的參數(shù)可以很好地減少TIME_WAIT套接字數(shù)量。

端口修改

計算機系統(tǒng)每一個服務(wù)都會以一個特定的開放端口向客戶端用戶開放，然而也正是這些固定的標(biāo)準(zhǔn)端口號越來越多的成為了網(wǎng)絡(luò)攻擊者首先會進行嘗試和攻擊的方便途徑。必要的端口調(diào)整可以很好的保護系統(tǒng)免受或者減輕這樣的安全威脅。

1.修改VncServer端口號

VncServer作為內(nèi)網(wǎng)常用的Linux遠程連接方式，其方便的圖形化模式深受用戶以及維護人員的親睞，但VncServer也非常容易成為網(wǎng)絡(luò)安全的重要薄弱環(huán)節(jié)。VncServer通常需要用戶使用形式通常為“IP:n”的方式進行連接，默認端口組5 901～5 909，分別對應(yīng)1～9的虛擬vnc控制臺，VncServer的密碼設(shè)置最長為8位。

為了避免常規(guī)端口猜測帶來的安全問題，用戶根據(jù)自己的實際定義使用命令vi/usr/bin/vncserver將該文件 內(nèi)“$vncPort=5900 +$displayNumber;”內(nèi)容中的起始端口號進行修改。筆者修改成“$vncPort=9700 +$displayNumber;”內(nèi)容，使用命令vi/etc/sysconfig/vncservers修改內(nèi)容如下：

通過以上修改用戶訪問VncServer服務(wù)時，需要輸入特定的端口號“IP:7”才能訪問。

2.修改FTP被動模式pasv

當(dāng)Linux的Vsftp服務(wù)器支持主動模式進行訪問時，用戶可以通過只放行21和20號端口進行訪問端口控制。但多數(shù)時候用戶客戶端會模式要求服務(wù)器支持FTP被動模式PASV。這時候FTP服務(wù)器會隨機從1024～65535端口中選擇空閑端口作為數(shù)據(jù)傳輸端口使用。這給主機端口管理和端口暴露面控制帶來隱患。

為此用戶需要在FTP配置文件中進行端口指定來加以限制，用戶可以使用“vi/etc/vsftpd/vsftpd.conf”修改Vsftp配置文件并加入如下行內(nèi)容：

重啟Vsftp服務(wù)器后，F(xiàn)TP服務(wù)器將只以被動模式Pasv方式工作，同時會在50100-50200端口范圍內(nèi)隨機挑選空閑端口作為FTP數(shù)據(jù)傳輸端口。

本質(zhì)上服務(wù)器對外開放端口應(yīng)該受到嚴格的保護以及實現(xiàn)功能特性的保密。我們除了修改這些服務(wù)的端口還可以對諸如“Weblogic”“ssh”“Apache”“Nginx”數(shù)據(jù)庫等特定服務(wù)的端口號進行更改，避免遠程攻擊者使用常用端口進行漏洞攻擊嘗試等行為，同時也可以配合本機防火墻規(guī)則進行更好的端口暴露面控制和管理。

啟用優(yōu)化服務(wù)組件

1.preload組件

preload（預(yù)加載）是一個Linux系統(tǒng)后臺進程，安裝好preload組件后，用戶使用率最高的應(yīng)用程序的加載速度就會明顯快于不經(jīng)常使用的應(yīng)用程序，這對于服務(wù)器系統(tǒng)來說具有更大的優(yōu)勢。按照有些技術(shù)資料的統(tǒng)計，該組件可以使系統(tǒng)具有20%-60%的性能提升。

用戶可以使用命令“yum install preload”或者“apt-get install preload”安裝該組件后直接啟用該預(yù)加載功能特性即可。

2.irqbalance組件

IRQbalance組件主要功能是可以合理的調(diào)配使用各個CPU核心，特別是對于目前主流多核心的CPU，簡單的說就是能夠把壓力均勻的分配到各個CPU核心上，對提升性能有很大的幫助。

用戶可以使用命令“yum install irqbalance”或者“apt-get install irqbalan ce”安裝該組件后直接啟用該功能。啟用該服務(wù)，既可以提升性能，又可以降低能耗。

3.nscd組件

Nscd是一種能夠緩存passwd、group、hosts的 本地緩存服務(wù)，其最為明顯的作用就是加快DNS解析速度。在接口調(diào)用頻繁的內(nèi)網(wǎng)環(huán)境建議開啟，用戶可以使用命令“yum install nscd”或者“apt-get install nscd”安裝該組件后直接啟用該功能。該組件基本不需要進行配置，開啟該服務(wù)后，每次內(nèi)部接口請求不會都發(fā)起DNS解析請求，而是直接命中nscd緩存散列表，從而獲取對應(yīng)服務(wù)器IP地址。這樣，可以在大量內(nèi)部接口請求時減少接口響應(yīng)時間。

4.dnsmasq組件

dnsmasq組件可以實現(xiàn)很好的DNS本地化查詢和緩存能力，安裝、配置dnsmasq軟件具體方法如下：

首先使用命令“yum ins tall dnsmasq”或 者“aptget install dnsmasq dnsma sq-base dnsmasq-utils”安裝dnsmasq軟件。

其次使用“vi/etc/dns masq.conf”命令對該文件進行修改，修改內(nèi)容如下：

再次使用命令“vi/etc/resolv.dnsmasq.conf”編輯該文件，并添加如下內(nèi)容：

用戶也可以根據(jù)自己的實際情況添加上游DNS服務(wù)器地址。

使用命令vi/etc/resolv.conf編輯該文件，并添加如下內(nèi)容：

nameserver 127.0.0.1

重啟dnsmasq服務(wù)進程后，系統(tǒng)將開始建立本地DNS緩存信息，結(jié)合nscd組件可以對DNS查詢信息進行非常好的優(yōu)化。

5.fstrim組件

隨著SSD等新技術(shù)存儲設(shè)備在Linux中的普及，許多Linux發(fā)行版默認情況下都使用fstrim來幫助提高NVMe/SSD/SD卡存儲的性能和損耗均衡。

對于裝有EXT4/XFS/Btr fs/F2FS之類的文件系統(tǒng)，并在受支持的基于閃存的存儲設(shè)備上，在多數(shù)較性新的Linux發(fā)行版本中用戶可以通過命令“system enable fstrim.timer”開啟該服務(wù)，系統(tǒng)會每個星期運行fstrim通知存儲設(shè)備未使用的塊。

這也有利于LVM精簡配置的環(huán)境，用戶將LVM擴展區(qū)返回到LVM池中，對延長SSD類硬盤有好處。