系统优化+模板制作

## 文件描述符
linux系统默认的文件描述符是1024，对于一些服务来说，在大负载的情况下这点文件描述符是远远不够的，为避免后期出现各种问题，建议修改ulimit描述符限制，修改方法如下：
显示当前文件描述符  `ulimit -n`

```
echo 'fs.file-max = 65535' >> /etc/sysctl.conf
echo '* soft nofile 65535' >> /etc/security/limits.conf
echo '* hard nofile 65535' >> /etc/security/limits.conf
echo 'ulimit -SHn 65535' >> /etc/profile
```

不需要重启服务器，直接重新登陆用ulimit -n就能看到效果
参考：[linux修改文件描述符（详解）](https://blog.csdn.net/m0_46392035/article/details/124768266 "linux修改文件描述符（详解）")

[linux - 获取打开文件描述符的内存使用情况](https://www.coder.work/article/2207924 "linux - 获取打开文件描述符的内存使用情况")
只需调用 ps ax -o pid,rss,size获取具有驻留大小和内存大小的进程。至于文件描述符，我们可以统计 /proc/<PID>/fd/* 中的文件数量。每个进程的目录:
```
ps -A -opid | sudo xargs -n1 -I{} /bin/bash -c 'echo {} $(ls /proc/{}/fd | wc -l);'
```
类似的问题： https://stackoverflow.com/questions/50586015/

## 优化网络参数
在 Linux 系统中修改网络参数
1. 增加网络传输缓冲区的大小，提高网络传输的效率和速度。
2. 设置网络传输缓冲区的最大值，避免数据包丢失和延迟。

```
cat >>/etc/sysctl.conf<<EOF
net.core.wmem default = 8388608
net.core.rmem default = 8388608
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
EOF
sysctl -p

```

## 优化内核参数
如果是海外的独立服务器，建议开启BBR来优化TCP传输，开启方法如下：
```
#修改内核配置
cat >>/etc/sysctl.conf << EOF
net.core.default_qdisc=fq
net.ipv4.tcp_congestion_control=bbr
EOF
#使配置生效
sysctl -p
```
使用命令lsmod |grep bbr进行验证，当看到tcp_bbr字样，说明BBR开启成功。

# centos7虚拟机系统模板制作
更新软件到最新
命令：
```
yum update -y
yum install tree net-tools vim   lrzsz nc lsof wget tcpdump htop iftop iotop sysstat nethogs -y

```

yum -y install net-tools vim
net-tools：含有netstat、ifconfig、route、arp等命令
yum install wget -y

Centos6和7要安装的常用企业运维基础工具包
命令：yum install tree nmap dos2unix lrzsz nc lsof wget tcpdump htop iftop iotop sysstat nethogs -y

tree：tree以树形结构显示文件和目录
nmap：nmap扫描端口的工具
dos2unix 转换脚本格式的工具
lrzsz 包含上传（rz）下载（sz）文件工具
nc 文件传输、端口检查
lsof 反查端口进程，以及服务开发文件工具
wget 下载软件包工具
tcpdump 抓包、监听等重要排错工具
htop 系统进程相关信息查看工具
iftop 查看主机网卡带宽工具
iotop 监控Linux系统中磁盘IO的实用工具
sysstat 含有sar，iostat等重要系统性能查看工具
nethogs 显示进程的网络流量

删除系统机器ID
(1)删除系统的ID：machine-id是系统的唯一性ID，每一台服务器的machin-ID都应该不一样，为了解决ID的冲突，故删除
```
[root@localhost ~] echo "" > /etc/machine-id
```

(2)重新生成mache-id
在/etc/profile文件最后添加：使之开机重启后，通过systemd-machine-id-setup的命令来生成全新的machine-id号
```
[root@localhost ~]# cat >> /etc/profile << EOF
systemd-machine-id-setup
EOF
```

(3)清除UDEV

系统重启后会自动创建,删除/etc/udev/rules.d/目录下的所有文件

```
[root@localhost ~]#rm -fr /etc/udev/rules.d/*
```

(4)清除ssh私钥文件

不同的系统私钥应该是不同的，删除后重启系统会自动生成全新的私钥

```
[root@localhost ~]#rm -fr /etc/ssh/ssh_host_*
```

(5)清除网卡配置信息

删除/etc/sysconfig/network-scripts目录下的ifcfg-ens文件，如果是CentOS6.X可能是ifcfg-eth或是ifcfg-em*,重启后会自动生成此文件

[root@localhost ~]#rm -fr /etc/sysconfig/network-scripts/ifcfg-ens*

或检查网络配置文件
这里就是把网卡配置的UUID和HWADDR删掉。
sed -i '/^(HWADDR|UUID)=/d' /etc/sysconfig/network-scripts/ifcfg-xxx  (xxx为网卡配置文件名)

设置记录历史命令带时间
```
echo 'export HISTTIMEFORMAT=" %F %T `whoami` "' >> /etc/profile
source /etc/profile
```

设置CentOS 7的历史记录数量无限制
```
echo "HISTSIZE=" >> ~/.bashrc
echo "HISTFILESIZE=" >> ~/.bashrc
```
然后重新启动终端窗口，历史记录将不再有条数限制。
注意，在等号后不需要提供具体的数字或值。这样设置将使历史记录的数量无限制。

设置系统的时区
```
sudo timedatectl set-timezone "Asia/Shanghai"
```

清除所有命令的历史记录

```
[root@localhost ~]#cd /root && rm -fr .bash_history && history -c
```

关闭系统

```
[root@localhost ~]#systemctl poweroff
```

关机后即可创建快照

（可选）使用chrony同步公网的时间
```
Linux系统默认提供了一个时间同步服务NTP（Network Time Protocol），但在某些情况下，NTP服务可能存在一些问题。相比之下，
chrony
比NTP更加适合在Linux系统中进行时间同步。
yum install chrony  -y
chrony 时间同步
timedatectl set-timezone Asia/Shanghai
date -R
ntpdate cn.ntp.org.cn
systemctl is-enabled chronyd #确认服务是否自启
systemctl is-active chronyd #确认服务是否存在
vim /etc/chrony.conf
server1 cn.ntp.org.cn iburst # 配置ntp服务器
local stratum 10 # 自动同步间隔
systemctl restart chronyd
chronyc sources -v #验证时间，不报error，然后下面有时间就可以
```

使用ntp同步公网的时间
```
CentOS 7配置网络时间同步
yum install ntp -y
systemctl start ntpd
systemctl enable ntpd
ntpdate ntp.aliyun.com
timedatectl set-timezone Asia/Shanghai

查看当前时间
date

```

## 限制ssh登录

允许root可以ssh登录

```
# 打开允许root允许ssh登录
sed -i 's#\#PermitRootLogin yes#PermitRootLogin yes#g' /etc/ssh/sshd_config

# 安全配置可设置hosts.all和hosts.deny
cat /etc/hosts.allow
##IDC LAN ip
sshd:192.168.5.0/255.255.255.0
sshd:10.0.0.1/255.255.255.0

cat /etc/hosts.deny
sshd:all

# 重启sshd服务
systemctl restart sshd

```

## 其它参考资料

sys-unconfig是一个CentOS/RHEL系统下的命令，它可以取消系统的唯一标识，使系统恢复到初次安装时的状态，需要重新进行初始化设置。其作用类似于Windows系统中的sysprep命令。

在执行sys-unconfig命令后，系统会自动停止网络、清除所有的用户账户、取消所有的网络和系统配置信息、随机生成一个新的hostname以及重启系统。执行该命令后，系统将回到初始状态，需要重新进行初始化设置。在下次启动时，会进入初始设置向导，要求重新输入一些基本信息，例如时区、root密码、网络设置等等。

需要注意的是，执行sys-unconfig命令后，系统会恢复到初始状态，系统上的所有数据和配置都将被清除。因此，在执行此命令之前，必须先备份系统中的所有重要数据。