Linux服务器安全性与性能优化指南

一、安全性优化

1. 系统基础安全加固

• 更新系统：定期执行 yum update 或 apt-get upgrade
• 最小化安装：只安装必要的软件包
• 禁用root远程登录： bash # /etc/ssh/sshd_config PermitRootLogin no
• SSH安全配置：
  • 修改默认22端口
  • 启用密钥认证，禁用密码登录
  • 使用Fail2Ban防止暴力破解

2. 用户与权限管理

• 实施最小权限原则：使用sudo而非直接root
• 定期审计用户：检查/etc/passwd和/etc/shadow
• 设置强密码策略：修改/etc/login.defs和/etc/pam.d/system-auth

3. 防火墙配置

• 启用并配置firewalld/iptables： bash # 查看状态 firewall-cmd --state # 开放必要端口 firewall-cmd --permanent --add-port=80/tcp

4. SELinux/AppArmor

• 启用并配置：不要轻易禁用，学习正确配置 bash # 查看状态 getenforce # 设置为enforcing模式 setenforce 1

二、性能优化

1. 内核参数调优

• 调整sysctl参数（/etc/sysctl.conf）：

  # 提升TCP性能
  net.ipv4.tcp_fin_timeout = 30
  net.ipv4.tcp_tw_reuse = 1
  net.core.somaxconn = 65535
  
  # 内存管理
  vm.swappiness = 10
  vm.overcommit_memory = 1
  

2. 文件系统优化

• 选择合适文件系统：XFS/ext4用于大多数场景
• 调整挂载选项（/etc/fstab）： bash noatime,nodiratime,data=writeback,barrier=0

3. I/O调度器

• 根据存储类型选择调度器： bash # SSD推荐使用noop或deadline echo noop > /sys/block/sda/queue/scheduler

4. 服务优化

• 禁用不必要的服务： bash systemctl list-unit-files | grep enabled systemctl disable <unneeded_service>
• 调整服务配置：如MySQL的innodb_buffer_pool_size

三、监控与维护

1. 系统监控工具

• 基础命令：top, htop, vmstat, iostat, dstat
• 高级工具：Prometheus + Grafana, Zabbix

2. 日志管理

• 集中日志：配置rsyslog或ELK Stack
• 日志轮转：合理配置logrotate

3. 定期维护

• 清理旧内核/日志： bash journalctl --vacuum-size=200M apt-get autoremove
• 文件系统检查：定期执行fsck

四、安全与性能平衡点

1. 审计与监控的开销：选择轻量级工具如auditd而非全面记录
2. 加密性能权衡：对关键数据使用加密，非敏感数据可降低加密强度
3. 安全更新策略：测试环境验证后再应用于生产环境
4. 资源限制：使用cgroups限制关键服务资源，防止DoS影响整体性能

通过以上措施，可以在不显著牺牲性能的前提下大幅提升Linux服务器的安全性。定期审查和调整这些配置以适应业务需求变化是关键。