今天分享一下安裝操作系統(tǒng)后需要做哪些優(yōu)化和配置工作。

本文將以 openEuler 22.04為例，安裝完成后建議執(zhí)行的優(yōu)化步驟。

1. 更新系統(tǒng)軟件包

安裝完成后，首先應(yīng)該更新系統(tǒng)軟件包，以確保系統(tǒng)處于最新?tīng)顟B(tài)，減少潛在的安全漏洞和兼容性問(wèn)題。

dnf update -y

此外，還可以安裝常見(jiàn)的開(kāi)發(fā)工具和內(nèi)核相關(guān)軟件包：看個(gè)人需要

sudo dnf groupinstall "Development Tools" -y
sudo dnf install kernel-devel kernel-headers -y

2. 配置 EPEL 和 openEuler 源

默認(rèn)的軟件源可能無(wú)法滿(mǎn)足所有需求，建議添加 EPEL（Extra Packages for Enterprise Linux）和額外的 openEuler 軟件源。

(1) 安裝 EPEL 源

curl -o /etc/yum.repos.d/epel-OpenEuler.repo https://down.whsir.com/downloads/epel-OpenEuler.repo

(2) 替換官方源為國(guó)內(nèi)鏡像源

openEuler算是國(guó)產(chǎn)系統(tǒng)，下載速度還行，基本不用換，其他國(guó)外的操作系統(tǒng)可以參考網(wǎng)上教程進(jìn)行更換，國(guó)內(nèi)鏡像源一般有清華、阿里云和中科大等，這里不展開(kāi)講解

3. 配置防火墻

合理的防火墻策略可以增強(qiáng)系統(tǒng)安全性，openEuler 默認(rèn)使用 firewalld 進(jìn)行防火墻管理。 應(yīng)該開(kāi)啟防火墻，然后開(kāi)啟特定業(yè)務(wù)端口

sudo systemctl enable firewalld --now
sudo firewall-cmd --permanent --add-service=ssh
sudo firewall-cmd --permanent --add-port=8080/tcp
sudo firewall-cmd --permanent --add-port=3306/tcp
sudo firewall-cmd --reload

查看防火墻規(guī)則：

sudo firewall-cmd --list-all

4. 配置 SELinux

SELinux 是 Linux 內(nèi)核的強(qiáng)制訪問(wèn)控制（MAC）安全機(jī)制，默認(rèn)可能是開(kāi)啟的?？梢愿鶕?jù)需求進(jìn)行調(diào)整：一般是將其關(guān)閉

sudo setenforce 1  # 開(kāi)啟 SELinux（強(qiáng)制模式）
sudo setenforce 0  # 關(guān)閉 SELinux（寬松模式）

如果希望永久生效，可編輯 /etc/selinux/config 文件：

# SELINUX=enforcing  # 強(qiáng)制模式
# SELINUX=permissive  # 寬松模式
SELINUX=disabled  # 關(guān)閉 SELinux

5. 添加必要的用戶(hù)和權(quán)限

為了安全性，建議創(chuàng)建非 root 用戶(hù)，并賦予 sudo 權(quán)限。

useradd myuser
passwd myuser

# 授權(quán)wheel組權(quán)限，前面添加sudo即可代替root執(zhí)行命令
usermod -aG wheel myuser

6. 調(diào)整 SSH 遠(yuǎn)程訪問(wèn)策略和優(yōu)化

默認(rèn)情況下，SSH 允許 root 直接登錄，出于安全考慮建議禁用 root 登錄，并修改 SSH 端口。

編輯 /etc/ssh/sshd_config 文件：

# # 修改默認(rèn) SSH 端口（默認(rèn) 22）
Port 2222  

# 禁止 root 遠(yuǎn)程登錄（根據(jù)實(shí)際情況）
PermitRootLogin no  

# 關(guān)閉GSSAPI認(rèn)證
GSSAPIAuthentication no

# 關(guān)閉DNS反向解析
UseDNS no

然后重啟 SSH 服務(wù)：

sudo systemctl restart sshd

7. 系統(tǒng)的命令提示符優(yōu)化

可以通過(guò)優(yōu)化一下命令提示符，添加一下顏色這樣看著感覺(jué)更好一點(diǎn)，個(gè)人喜歡，不配置也不影響使用。

vim /etc/profile
# 在/etc/profile尾部添加下面代碼

export PS1='[\[\e[32;1m\]\u@\[\e[33;1m\]\h\[\e[34;1m\] \W\[\e[0m\]]\$ '

source /etc/profile

查看效果：

8. 配置時(shí)間同步

保證服務(wù)器時(shí)間同步對(duì)各個(gè)服務(wù)都非常重要

dnf install ntpdate -y
ntpdate time.windows.com

查看時(shí)間是否與互聯(lián)網(wǎng)時(shí)間一致：

date

【溫馨提示】如果是內(nèi)部環(huán)境直接同步公司的時(shí)鐘服務(wù)器IP。

9. 優(yōu)化內(nèi)核參數(shù)

調(diào)整一些系統(tǒng)內(nèi)核參數(shù)可以提高網(wǎng)絡(luò)性能和文件句柄數(shù)量。

vi /etc/sysctl.conf

修改下面的內(nèi)容：

# 啟用 SYN Cookie 機(jī)制，防止 SYN 泛洪攻擊
net.ipv4.tcp_syncookies = 1  

# 增加 TCP SYN 隊(duì)列長(zhǎng)度，提高處理并發(fā)連接能力
net.ipv4.tcp_max_syn_backlog = 2048 

# 增加文件句柄數(shù)，防止高并發(fā)應(yīng)用打開(kāi)文件數(shù)受限
fs.file-max = 2097152 
# 降低 Swap 使用傾向，減少磁盤(pán) I/O
vm.swappiness = 10 

# 開(kāi)啟 IP 轉(zhuǎn)發(fā)（適用于路由或 NAT 功能）
net.ipv4.ip_forward = 1

然后應(yīng)用更改：

sudo sysctl -p

10. 配置日志管理

日志管理對(duì)于故障排查和系統(tǒng)監(jiān)控至關(guān)重要，建議使用 logrotate 自動(dòng)清理舊日志，防止磁盤(pán)占滿(mǎn)。

sudo dnf install logrotate -y

然后編輯 /etc/logrotate.conf 進(jìn)行相應(yīng)的配置：

/var/log/messages {
    rotate 7
    daily
    compress
    missingok
    notifempty
}

11. 安裝必要的軟件工具

安裝一些日常維護(hù)和管理工具，例如：

sudo dnf install vim git htop net-tools wget curl lsof  -y

本次分享結(jié)束，如果幫到你，可以點(diǎn)贊關(guān)注一下。