談LINUX系統優化與安全加固

王鳳武

（大慶油田信息技術公司營業管理中心，黑龍江 大慶 163000）

作為一種免費開源操作系統，Linux也能夠應用在開源軟件實踐以及應用平臺中，通過該系統能夠對apache、tomcat、mysq1、php等眾多開源軟件形成有效支撐，作為一種開源軟件，自由、開放是其最大理念，Linux則最終是要通過開源軟件將應用成本控制在最低程度，與此同時，實現性能的最優化。鑒于此，Linux操作系統在性能方面則主要是體現在系統與應用程序之間的組合最優化。系統性能主要指的是整個操作系統在執行任務的過程中體現出的有效性和穩定性以及響應速度等，Linux系統管理員在實際應用過程中系統不穩定、響應速度慢等問題相對比較常見，例如，在搭建web服務的過程中經常會面臨網頁打開速度慢或者根本無法打開的現象，此時很多人會對Linux系統因為體驗不好而抱怨，但是這僅屬于一種表象。操作系統在執行任務的過程中于系統自身設置、路由設備的路由策略、物理線路、接入設備以及網絡拓撲結構等存在直接的聯系，其中一個部分出現問題整個系統性能都會受到影響。因此，Linux在應用過程中一旦遇到問題，首先應該從操作系統、服務器硬件網絡環境以及操作系統等進行全方位排查，快速實現問題定位并進行集中解決。上述幾個環節中操作系統和應用程序是對系統的定性的影響最大的兩個方面，而且這兩個方面產生問題通常都具有較強隱蔽性。網絡和硬件出現問題后通常都可以實現快速定位。Linux是目前企業中使用最多的一類服務器操作系統，而目前針對Linux攻擊的黑客也越來越多了。如何為這類服務器做好安全加固工作也是系統維護人員的一項核心工作。本文主要講解操作系統方面的性能調優和安全加固思路。那么，通常情況下有哪些思路可以快速解決系統性的問題？以下將重點從操作系統影響因素的四個方面介紹Linux操作系統優化。

1 Linux操作系統優化

1.1 CPU

操作系統可以實現穩定運行期根本在于CPU，操作系統整體性能大部分取決于CPU的速度和性能，很多人認為服務器配備運動的CPU、CPU主頻越高其整體性能越好。但是，從實際角度來看，部分CPU在同一時間段內只能針對一個線程進行應用，而多個線程在同一時間段運行則需要超線程處理器，因此，要想進一步提升系統性能可以充分利用超線程處理器，Linux系統在運行過程中只有配備SHell內核的情況下才能夠支持超線程，但是， CPU安裝數量越多的情況下，超線程的性能提升反而越少。此外，在面向多核處理器的過程中Linux內核會將其識別為多個單獨的CPU，例如，系統配置了兩個四核CPU的情況下，系統會將其識別為8顆單獨的CPU。而2顆4核CPU與8顆單核CPU的性能完全不同，根據相關的實驗測試可以發現，兩顆四核CPU的整體性能僅僅能夠達到后者的25%～30%，動態web服務器以及郵件服務器等可能會導致CPU產生瓶頸，針對這類應用通常情況下需要更加關注CPU性能和配置。圖1為多個物理CPU和多核CPU通過總線進行通信，可以看出，多顆CPU效率比較低，如下。

圖1

1.2 內存

Linux系統的整體性能也會受到內存大小的影響，如果內存過小的情況下會導致系統進程阻塞，此時，系統應用運行速度也會變慢，甚至在一些情況下會出現不響應，如果系統內存過大的情況下也會出現資源浪費。Linux系統目前主要采取的是物理和虛擬內存等兩種概念，雖然在另有虛擬內存的基礎上能夠讓物理內存的不足得到有效彌補，由于虛擬內存實際上是在硬盤上劃分出來的制定空間，所以虛擬內存占用過多的情況下，也會嚴重影響應用程序性能，要想充分保障程序在運行過程中保持高性能，就要配備足夠的物理內存，而物理內存過大的情況下又會出現資源浪費，例如，在一個Linux操作系統上配備了32位處理器，如果物理內存超過8G的情況下就是資源浪費。鑒于這種狀況，要想讓物理內存更大，可以將操作系統更新為64位，與此同時，也可以在1inux大內存內核開啟后來形成有效支撐。處理器尋址范圍通常情況下處在32位操作系統上，因此，對于單個應用程序進程來說，其最大可以使用2G內存，在這種情況下，及時配備更大的物理內存，應用程序也不能夠充分利用，此時，可以通過配置64位處理器，并將系統更新為64位，這樣就能夠讓應用程序滿足內存使用要求，目前主要有數據庫服務器、打印服務器等可能出現內存性能瓶頸，針對這一現象，可以重點考慮內存的大小。圖2為虛擬內存的示意圖。

圖2

1.3 磁盤I/0寬帶

應用程序的整體性都會受到磁盤的I/0性能的直接影響，如果應用頻繁存在讀寫操作的情況下，磁盤I/0不能滿足性能要求，非常容易導致應用程序出現停滯的現象。目前，為了進一步提升磁盤I/0性能，使用了多種方法，其中最常見的方法有RAID技術。

RAID（Redundant Array of Independent Disks）被稱為是獨立磁盤冗余陣列，通常情況下將其簡稱為磁盤陣列。按照不同方式將多塊獨立物理硬盤組合后形成磁盤組(邏輯硬盤)，這樣形成的磁盤組有比單個磁盤的I/O性能和數據冗余更高。充分利用過RAID技術形成的磁盤組本質上相當于構建了一個大硬盤，如果可以針對該大硬盤進行格式化或者是建立文件系統等相關操作，在使用方面與單獨的物理硬盤完全相同，但需要注意的是，RAID磁盤組的I/O性能要明顯更高，而且也能夠提供更加安全的數據服務。磁盤組合方式不同的情況下，RAID又可以進一步劃分為RAID0，RAID1、RAID2、RAID3、RAID5、RAID6、RAID10等多個幾天，目前最常用的有RAID0、RAID1、RAID5、RAD0+1。這里簡單介紹如下。

RAID0：將多個磁盤通過多種方式結合后形成更大的硬盤組就能夠讓硬盤的整體性能和吞吐量得到全面提升。這種應用技術實現成本相對較低，但是，需要保障兩個以上的磁盤來組成磁盤組，在這種模式下形成的磁盤組不具備數據修復和容錯等相關功能，因此這種方法通常情況下也是應用在數據安全性較低的環境中。

RAID1：基本上就是磁盤鏡像，將一個磁盤數據在另一個磁盤數據上進行鏡像，通過這種方式讓兩個磁盤保持，要注意的是，與單個硬盤相比較RAID1磁盤組具有更高的I/0性能，而且也能夠全面提升磁盤數據的安全性、可靠性和可修復性，通過這種模式形成的磁盤數據冗余能力更強，但實際經濟可以達到50%左右的利用率，因此實際應用成本相對較高，進行重要數據保存的過程中可以進行利用。

RAID5：該技術主要是通過對磁盤分段以及奇偶校驗技術積極利用后視系統整體的可靠性得到全面提升，RAID5模式下能夠在寫入效率一般的情況下達到很高的突出效率，但是該方法需要3塊以上的硬盤。而且當其中一塊磁盤存在故障的情況下數據可靠性不會受到影響。

RAID0+1：RAID0+1主要是將RAID0和RAID1兩種技術進行結合而成，該技術在應用過程中需要的磁盤數量為4個以上。該方法下每個磁盤都具有其相應的鏡像盤，因此具有極高的全冗余能力，而且其中一個磁盤故障后對整體的數據可用性不會產生影響。詳細介紹RAID級別等相關技術后，可以結合實際應用情況選擇更加適合的RAID級別，這樣就能夠讓系統整體的磁盤性能達到最優化。

1.4 網絡I/0寬帶

Linux系統中的各種應用通常情況下都是建立在網絡的基礎上，因此，系統整體性能也會受到網絡帶寬的影響，如果網絡存在不穩定或者低速的情況下很容易出現訪問阻塞，而網絡高速以及穩定的情況下應用程序這可以通暢運行。而目前千兆寬帶已經基本實現普及，因此，網絡帶寬問題對系統整體的性能影響也非常低。

2 linux系統安全加固

2.1 用戶賬戶以及登錄安全

（1）刪除多余用戶和用戶組。Linux本身屬于一種多用戶的操作系統，在系統中角色賬戶存在多種,系統在安裝后為默認未添加許多用途和用戶，如果在不需要其中一部分用戶和用途的情況下可以及時進行刪除，這樣就可以避免黑客利用這些賬戶實施服務器攻擊。在具體使用過程中，可以結合服務器的具體用途來選擇保留哪些賬戶。

（2）關閉不需要的系統服務。在安裝系統的過程中系統會對各類服務程序內容進行自主選擇，如果服務器需要長時間運行的情況下，服務程序運行數量越多就會對系統的安全性產生更大影響。針對這些問題，用戶或者用戶的需求需要一直關閉應用不到達程序，這樣就能夠極大地提升系統整體的安全性能。

（3）密碼安全策略。Linux操作系統下主要配備了密鑰和密碼認證等兩種遠程系統登錄認證模式。其中，密鑰認證主要是通過在遠程服務器上存儲公鑰，而在本地存儲私鑰。系統在登錄后用戶可以充分利用本地私鑰遠程服務器公鑰配對認證，如果實現匹配一致則可以順利登錄系統。這種認知方式下暴力破解無效。而且，在充分保證本地私鑰安全性的情況下，也可以有效避免黑客盜取，這樣攻擊者就無法通過破解認知方式而實現。因此，在登錄系統的過程中推薦使用密鑰方法。

（4）有效應用su、sudo命令。su命令主要是實現用戶之間的切換。當以管理員身份登錄系統后可以利用su命令及時切換到超級用戶角色，這樣就可以相應的獲取超級權限。但是，超級用戶本身具有過大的權限，而且管理人員也知道超級用戶密碼，可見su命令在應用過程中具有較高的管理風險。普通用戶可以通過sudo命令讓系統陚予其超級權限，但是，并不需要切換超級用戶模式。因此，在這種模式下可以實現權限分配的細化，面對系統的每一位管理員可以利用sudo命令相應地賦予其管理權限。

2.2 遠程訪問及登陸認證安全

遠程登錄應用SSH登陸方式。Telnet做一種登錄認證服務本身存在一定安全性，其內容在網絡傳輸過程中使用的是明文，這樣非常容易導致Telnet數據包在傳輸過程中被黑客截取，這樣就能夠獲得用戶的登錄口令。而且這種安全驗證方式下本身也會存在安全隱患，很容易成為黑客的攻擊目標。

SSH服務在進行數據傳輸過程中進行了加密，能有效避免出現DNS欺騙以及IP欺騙，而且數據傳輸過程經過壓縮后能夠充分保障遠程連接的安全性。

2.3 文件系統的安全

（1）加固系統重要文件。Linux系統在應用過程中如果超級權限被黑客獲取，那么，黑客就可以在登錄系統之后進行任何操作。針對這一問題，通過利用文件加固系統能夠為系統提供最后一道安全防線。管理員可以針對系統中的一些重要文件和目錄利用chattr命令進行鎖定。

（2）文件權限檢查與修改。在系統中保存的一些重要文件如果沒有相應的設置合理的權限聯合的系統操作安全性產生影響。鑒于此，作為系統維護人員要對文件和目錄權限不匹配的問題進行及時發現給予更正，避免安全事件發生。

（3）安全設定/Imp、/var/lmp、/dev/shm。在整個操作系統中，其作為一種目錄主要是用來進行臨時文件的存放，而且主要有/tmp與/var/tmp兩種方式。它們的特點相同，也就是可以為所有的用戶提供讀寫和執行等操作,在這種情況下，整個系統就能保持安全性。分別設置兩個目錄后，不允許其目錄下執行相應的應用程序。

3 結語

本文介紹了Linux系統優化和安全加固，通過上述的論述可以看出，每個影響系統性能的因素都會存在一定的相互聯系，在進行排查的過程中不能孤立地對待，性能產生問題的情況下很可能是因其他方面問題引發。既有硬件方面的因素，也有軟件和系統方面的因素，所以處理性能問題時，要縱觀全局進行綜合考慮。