1.系统基础配置优化

优化目标：建立统一、安全、稳定的系统基础环境，为后续优化奠定基础。

1.1 规范化主机命名

采用"功能-地域-机房-机柜-编号"命名法，这样便于资产管理和定位。

# 采用"功能-地域-机房-机柜-编号"命名法
HOST="web-bj-idc1-a12-01"
hostnamectl set-hostname --static $HOST

1.2 统一字符集配置

UTF-8 是全球化、安全性和兼容性的最佳选择，统一字符集能避免乱码问题，大幅降低运维复杂度。

# 强制使用UTF-8字符集和键盘映射
localectl set-locale LANG=en_US.UTF-8
localectl set-keymap us

1.3 时间同步方案

时间同步不仅是技术需求，更是保障系统可靠性、安全性和可观测性的基础设施。它能确保服务一致性，来避免数据库主从复制、日志时间戳、定时任务因时间偏差导致的错乱或数据冲突。

# 部署Chrony集群
yum install -y chrony
cat > /etc/chrony.conf <<EOF
server ntp1.aliyun.com iburst      # 国内阿里云NTP服务器
server ntp2.aliyun.com iburst
driftfile /var/lib/chrony/drift    # 时钟漂移记录文件
makestep 1.0 3                     # 允许时间跳变（前三步）
rtcsync                            # 硬件时钟同步
allow 192.168.1.0/24               # 允许内网同步
EOF
systemctl enable --now chronyd

1.4 最小化软件安装

最小化安装指仅部署必要的软件包，严格遵循"按需安装"原则，从源头减少系统复杂度。这是Linux服务器优化的黄金准则，尤其适用于生产环境。

通过仅部署必要软件，最小化安装可显著提升安全性（减少攻击面）、优化性能（降低资源占用）、增强运维可控性（简化依赖和故障排查），并满足合规审计要求（符合安全标准）。

# 基础工具链（运维刚需）
yum install -y \
    htop iftop iotop    # 实时监控三件套 \
    ncdu jq             # 磁盘/JSON分析 \
    rsync tmux          # 文件同步/会话管理
# 安全工具（按需选择）
yum install -y \
    audit               # 内核级审计 \
    lynis               # 安全扫描 \
    rkhunter            #  rootkit检测

2.内核级深度调优

优化目标：通过内核参数调整，最大化硬件资源利用率，提升高并发处理能力。

2.1 网络协议栈优化

通过创建独立的内核参数调优配置文件（/etc/sysctl.d/99-optimize.conf）来优化Linux系统的网络、内存和文件系统性能：

cat > /etc/sysctl.d/99-optimize.conf <<'EOF'
# ----- 网络协议栈优化 -----
net.ipv4.tcp_fin_timeout = 30         # 缩短TCP断开等待时间（默认60s）
net.ipv4.tcp_tw_reuse = 1             # 允许重用TIME-WAIT sockets（需timestamps启用）
net.ipv4.tcp_max_tw_buckets = 16384   # 限制TIME-WAIT数量
# ----- 内存管理优化 -----
vm.swappiness = 5                     # 减少swap使用（默认60，数据库建议1-10）
vm.dirty_ratio = 10                   # 内存脏页占比阈值（触发同步写入）
vm.dirty_background_ratio = 5         # 后台刷脏页阈值
# ----- 文件系统优化 -----
fs.file-max = 1000000                 # 最大文件句柄数（避免"too many open files"）
fs.inotify.max_user_watches = 1000000 # inotify监控数（适合文件监控服务）
EOF

最后通过sysctl -p命令使这些优化设置立即生效：

sysctl -p /etc/sysctl.d/99-optimize.conf

这种将调优参数单独存放在/etc/sysctl.d/目录下的方式，既保持了配置的模块化，又避免直接修改主配置文件，便于管理和维护。

2.2 内存管理优化

通过禁用透明大页（echo never）可避免数据库等关键应用因内核自动合并内存页导致的性能波动，确保稳定的内存访问性能；而设置内存超分配策略为1（echo 1）则允许系统超额分配内存，特别适合Redis等需要fork大内存进程的服务，防止因保守的内存限制导致服务意外中断。这两项调优协同作用，既能提升内存敏感型应用的运行效率，又能保障关键服务在内存压力下的可用性，是数据库和高性能应用服务器的标准优化配置。

# 禁用透明大页（数据库必调）
echo never > /sys/kernel/mm/transparent_hugepage/enabled
# 调整内存分配策略
echo 1 > /proc/sys/vm/overcommit_memory  # 允许内存超分配（1=总是允许）

2.3 存储IO优化

# 存储调度器优化（NVMe SSD专用）
echo "none" > /sys/block/nvme0n1/queue/scheduler  # 禁用调度器（直接访问）

它的作用是完全绕过传统的I/O调度算法（如CFQ、deadline等），允许NVMe SSD以其原生性能直接处理I/O请求，从而消除调度器带来的额外开销，显著提升随机读写性能（可降低延迟30%-50%），特别适合需要极致I/O响应的数据库（如MySQL、PostgreSQL）和高并发存储服务场景，是充分发挥NVMe SSD硬件潜力的关键优化之一。

3.安全加固实战

优化目标：构建多层次安全防护体系，阻断常见攻击路径。

3.1 SSH安全加固

首先修改默认服务端口有效规避自动化攻击工具的扫描探测；其次禁用root直接登录强制实施最小权限原则，降低特权账户暴露风险；再结合网络访问白名单机制实现精准的访问控制。

比如，对SSH配置文件/etc/ssh/sshd_config做如下修改：

# SSH安全加固（修改默认端口+密钥认证）
sed -i '/^#Port 22/cPort 32891' /etc/ssh/sshd_config
sed -i '/^#PermitRootLogin/cPermitRootLogin no' /etc/ssh/sshd_config
echo 'AllowUsers ops@192.168.1.0/24' >> /etc/ssh/sshd_config
systemctl restart sshd

3.2 防火墙策略

如下配置，通过在系统防火墙采用分层防护策略，创建独立安全区域隔离管理流量，通过IP白名单限制关键服务访问，并实时生效规则。这种设计既保障运维便利性，又遵循最小权限原则，有效提升网络安全性。

# 使用firewalld构建分层防护
firewall-cmd --permanent --new-zone=secure
firewall-cmd --permanent --zone=secure --add-source=192.168.1.100
firewall-cmd --permanent --zone=secure --add-service=ssh
firewall-cmd --reload

3.3 文件系统保护

锁定系统关键文件（如账户密码文件/etc/shadow）防止恶意篡改，同时通过chattr +a确保安全日志仅可追加不可删除：

# 关键文件加锁
chattr +i /etc/passwd /etc/shadow /etc/sudoers
# 审计关键目录
auditctl -w /etc/ -p wa -k etc_changes

4.服务管理与监控

优化目标：建立标准化服务管理流程和实时监控体系。

4.1 服务精简方案

通过精简服务来减少攻击面，禁用不必要的服务，如禁用邮件和打印服务：

# 禁用非必要服务
systemctl disable --now postfix cups

4.2 资源监控体系

通过部署Prometheus的node_exporter组件，建立完善的系统级资源监控体系，自动采集主机指标，最终以systemd服务形式实现开机自启和持续运行，为后续Prometheus监控平台提供标准化的基础指标数据源。

# 安装Prometheus node_exporter
wget https://github.com/prometheus/node_exporter/releases/download/v1.3.1/node_exporter-1.3.1.linux-amd64.tar.gz
tar xvf node_exporter-*.tar.gz
cp node_exporter-*/node_exporter /usr/local/bin/
cat > /etc/systemd/system/node_exporter.service <<EOF
[Unit]
Description=Node Exporter
[Service]
ExecStart=/usr/local/bin/node_exporter
[Install]
WantedBy=multi-user.target
EOF
systemctl enable --now node_exporter

5.性能分析与调优

优化目标：通过专业工具定位性能瓶颈，实施针对性优化。

5.1 实时诊断工具

通过安装bcc-tools提供动态内核追踪能力（如内存泄漏检测），实现低开销的深度性能诊断：

yum install -y bcc-tools
alias memleak='/usr/share/bcc/tools/memleak -O 30'  # 内存泄漏检测

5.2 存储性能测试（FIO基准）

FIO基准测试：采用多线程随机写入（4K块大小）的标准化测试，精准评估存储设备的IOPS和延迟性能，为磁盘调优提供数据支撑。

fio --name=randwrite \
    --ioengine=libaio \
    --rw=randwrite \
    --bs=4k \
    --numjobs=4 \
    --size=1G \
    --runtime=60 \
    --time_based \
    --group_reporting

5.3 调优检查清单

# 快速检查脚本
#!/bin/bash
echo "---- 系统基础 ----"
uname -a; uptime; free -h
echo "---- 网络配置 ----"
ss -s; ip route; sysctl -a | grep tcp
echo "---- 存储性能 ----"
lsblk -o NAME,ROTA,SCHED; df -Th

6.灾备与回滚

优化目标：确保所有优化可监控、可回退。

6.1 配置备份策略

定时打包压缩关键系统配置文件（如SSH、安全策略和内核参数等）到日期命名的备份文件，建立了自动化的重要配置备份机制，确保系统配置变更可快速追溯和恢复。

# 每日自动备份关键配置
tar czf /backup/sysconf_$(date +%F).tgz /etc/{ssh,security,sysctl*}
find /backup -type f -mtime +30 -delete

6.2 快速回滚机制

创建快速回滚检查清单，包含内核参数恢复、服务配置校验和文件权限修复三大关键回滚步骤：

# 快速回滚检查清单
cat > /root/rollback_guide.txt <<'EOF'
1. 内核参数回滚: sysctl -p /etc/sysctl.conf.bak
2. 服务配置回滚: rpm -Va | awk '$1 ~ /^..5/'
3. 文件权限恢复: restorecon -Rv /etc
EOF

7.优化效果评估指标

8.注意事项

变更窗口：所有优化操作应在业务低峰期进行

灰度发布：建议先对10%的节点实施并观察24小时

监控配套：优化后需加强以下监控：

watch -n 1 'echo "CPU: $(uptime) | MEM: $(free -m) | TCP: $(ss -s)"'

通过本方案实施，可使服务器：

• 并发处理能力提升3-5倍
• 安全防护水平达到等保三级要求
• 运维故障率降低70%以上

建议每季度进行全链路压测验证，持续优化。