安装完操作系统后建议做这些优化工作!
安装 openEuler 22.04 后,这11项关键优化配置不可错过
系统安装完成仅仅是开始。要让你的 openEuler 服务器达到生产级的安全与性能标准,必须进行一系列深度优化。本文以 openEuler 22.04 LTS 为例,提供一份开箱即用的配置清单,助你快速构建一个稳定、高效且安全的服务器环境。
1. 执行系统更新与补丁安装
首要任务是更新所有软件包至最新版本。这不仅是获取新功能,更是修补已知安全漏洞、确保系统稳定性的关键步骤。执行以下命令完成全面更新:
dnf update -y若你计划进行系统级开发或需要编译外部内核模块,建议同步安装开发工具链和内核头文件:
sudo dnf groupinstall "Development Tools" -y
sudo dnf install kernel-devel kernel-headers -y2. 扩展软件源:配置 EPEL 与镜像
为获取更广泛的软件生态,添加 EPEL(Extra Packages for Enterprise Linux)源是标准操作。运行以下命令快速添加:
curl -o /etc/yum.repos.d/epel-OpenEuler.repo https://down.whsir.com/downloads/epel-OpenEuler.repoopenEuler 默认的国内源速度通常令人满意。若你从其他发行版迁移而来,或遇到特定包下载缓慢,可考虑替换为清华大学、阿里云或中科大的镜像源以加速获取。
3. 强化防火墙策略
防火墙是服务器安全架构的基石。openEuler 默认集成 firewalld,我们建议立即启用并配置最小化访问原则。例如,在允许 SSH 管理的同时,按需开放业务端口:
sudo systemctl enable firewalld --now
sudo firewall-cmd --permanent --add-service=ssh
sudo firewall-cmd --permanent --add-port=8080/tcp
sudo firewall-cmd --permanent --add-port=3306/tcp
sudo firewall-cmd --reload配置完成后,务必验证规则是否已正确加载:
sudo firewall-cmd --list-all4. 管理 SELinux 安全策略
SELinux 提供了内核级强制访问控制,能显著提升系统安全性,但需根据应用兼容性进行配置。你可以临时切换其运行模式:
sudo setenforce 1 # 启用强制模式(最高安全)
sudo setenforce 0 # 切换为宽松模式(仅记录违规)如需永久生效,编辑 /etc/selinux/config 文件,将 SELINUX 参数设置为 enforcing、permissive 或 disabled。在确保应用兼容的前提下,我们推荐保持 enforcing 状态。
5. 创建专用管理用户
避免直接使用 root 账户进行日常操作是基本安全准则。应创建具有 sudo 权限的普通用户:
useradd myuser
passwd myuser
# 将用户加入 wheel 管理组,授予 sudo 权限
usermod -aG wheel myuser6. 加固 SSH 服务配置
SSH 是远程管理的核心通道,必须进行安全加固。关键措施包括禁用 root 直接登录、考虑修改默认端口以降低自动化攻击风险。
编辑 /etc/ssh/sshd_config 文件,实施以下优化:
# 建议修改默认 SSH 端口
Port 2222
# 禁止 root 账户远程登录
PermitRootLogin no
# 关闭 GSSAPI 认证以提升连接速度
GSSAPIAuthentication no
# 禁用 DNS 反向解析,避免连接延迟
UseDNS no保存配置后,重启 SSH 服务使改动生效:
sudo systemctl restart sshd7. 自定义命令行提示符
优化终端提示符(PS1)能极大提升命令行工作效率。通过高亮显示用户、主机名和工作目录,可以快速定位当前环境。
在 /etc/profile 文件末尾添加以下配置:
vim /etc/profile
# 在文件末尾添加以下代码
export PS1='[\[\e[32;1m\]\u@\[\e[33;1m\]\h\[\e[34;1m\] \W\[\e[0m\]]\$ '
source /etc/profile配置后,终端将立即呈现清晰、彩色的提示符,效果参考下图:
8. 配置精准时间同步
确保系统时间准确对于日志分析、证书验证和分布式应用协调至关重要。使用 NTP 进行时间同步:
dnf install ntpdate -y
ntpdate time.windows.com执行后使用 date 命令验证。若服务器部署在内网,请将其指向内部可靠的 NTP 时间服务器地址。
9. 调优内核网络与系统参数
根据服务器负载特性调整内核参数,可以优化网络吞吐量、连接处理能力和系统稳定性。编辑 /etc/sysctl.conf 文件,加入以下关键参数:
# 启用 SYN Cookie 防御 DDoS 攻击
net.ipv4.tcp_syncookies = 1
# 增大 TCP SYN 半连接队列,应对高并发
net.ipv4.tcp_max_syn_backlog = 2048
# 提升系统全局文件描述符限制
fs.file-max = 2097152
# 降低使用 Swap 的倾向,优先使用物理内存
vm.swappiness = 10
# 启用 IP 转发功能(适用于网关或容器主机)
net.ipv4.ip_forward = 1保存后,执行以下命令使参数立即生效:
sudo sysctl -p10. 设置自动化日志轮转
有效的日志管理能防止磁盘被日志文件占满,并保留关键排错信息。使用 logrotate 实现自动化日志切割、压缩和清理。
首先确保已安装:
sudo dnf install logrotate -y随后,在 /etc/logrotate.conf 或 /etc/logrotate.d/ 目录下创建自定义配置。例如,为系统主日志配置保留策略:
/var/log/messages {
rotate 7
daily
compress
missingok
notifempty
}11. 部署核心运维工具集
一套高效的命令行工具集是系统管理员的生产力保障。建议安装以下必备软件:
sudo dnf install vim git htop net-tools wget curl lsof -y完成以上十一项配置,你的 openEuler 服务器便具备了坚实的安全基线、优化的性能表现和高效的运维界面。请根据实际业务负载和安全等级要求,对各项配置进行最终微调。