王鳳武

（大慶油田信息技術(shù)公司營(yíng)業(yè)管理中心，黑龍江 大慶 163000）

作為一種免費(fèi)開(kāi)源操作系統(tǒng)，Linux也能夠應(yīng)用在開(kāi)源軟件實(shí)踐以及應(yīng)用平臺(tái)中，通過(guò)該系統(tǒng)能夠?qū)pache、tomcat、mysq1、php等眾多開(kāi)源軟件形成有效支撐，作為一種開(kāi)源軟件，自由、開(kāi)放是其最大理念，Linux則最終是要通過(guò)開(kāi)源軟件將應(yīng)用成本控制在最低程度，與此同時(shí)，實(shí)現(xiàn)性能的最優(yōu)化。鑒于此，Linux操作系統(tǒng)在性能方面則主要是體現(xiàn)在系統(tǒng)與應(yīng)用程序之間的組合最優(yōu)化。系統(tǒng)性能主要指的是整個(gè)操作系統(tǒng)在執(zhí)行任務(wù)的過(guò)程中體現(xiàn)出的有效性和穩(wěn)定性以及響應(yīng)速度等，Linux系統(tǒng)管理員在實(shí)際應(yīng)用過(guò)程中系統(tǒng)不穩(wěn)定、響應(yīng)速度慢等問(wèn)題相對(duì)比較常見(jiàn)，例如，在搭建web服務(wù)的過(guò)程中經(jīng)常會(huì)面臨網(wǎng)頁(yè)打開(kāi)速度慢或者根本無(wú)法打開(kāi)的現(xiàn)象，此時(shí)很多人會(huì)對(duì)Linux系統(tǒng)因?yàn)轶w驗(yàn)不好而抱怨，但是這僅屬于一種表象。操作系統(tǒng)在執(zhí)行任務(wù)的過(guò)程中于系統(tǒng)自身設(shè)置、路由設(shè)備的路由策略、物理線路、接入設(shè)備以及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等存在直接的聯(lián)系，其中一個(gè)部分出現(xiàn)問(wèn)題整個(gè)系統(tǒng)性能都會(huì)受到影響。因此，Linux在應(yīng)用過(guò)程中一旦遇到問(wèn)題，首先應(yīng)該從操作系統(tǒng)、服務(wù)器硬件網(wǎng)絡(luò)環(huán)境以及操作系統(tǒng)等進(jìn)行全方位排查，快速實(shí)現(xiàn)問(wèn)題定位并進(jìn)行集中解決。上述幾個(gè)環(huán)節(jié)中操作系統(tǒng)和應(yīng)用程序是對(duì)系統(tǒng)的定性的影響最大的兩個(gè)方面，而且這兩個(gè)方面產(chǎn)生問(wèn)題通常都具有較強(qiáng)隱蔽性。網(wǎng)絡(luò)和硬件出現(xiàn)問(wèn)題后通常都可以實(shí)現(xiàn)快速定位。Linux是目前企業(yè)中使用最多的一類服務(wù)器操作系統(tǒng)，而目前針對(duì)Linux攻擊的黑客也越來(lái)越多了。如何為這類服務(wù)器做好安全加固工作也是系統(tǒng)維護(hù)人員的一項(xiàng)核心工作。本文主要講解操作系統(tǒng)方面的性能調(diào)優(yōu)和安全加固思路。那么，通常情況下有哪些思路可以快速解決系統(tǒng)性的問(wèn)題？以下將重點(diǎn)從操作系統(tǒng)影響因素的四個(gè)方面介紹Linux操作系統(tǒng)優(yōu)化。

1 Linux操作系統(tǒng)優(yōu)化

1.1 CPU

操作系統(tǒng)可以實(shí)現(xiàn)穩(wěn)定運(yùn)行期根本在于CPU，操作系統(tǒng)整體性能大部分取決于CPU的速度和性能，很多人認(rèn)為服務(wù)器配備運(yùn)動(dòng)的CPU、CPU主頻越高其整體性能越好。但是，從實(shí)際角度來(lái)看，部分CPU在同一時(shí)間段內(nèi)只能針對(duì)一個(gè)線程進(jìn)行應(yīng)用，而多個(gè)線程在同一時(shí)間段運(yùn)行則需要超線程處理器，因此，要想進(jìn)一步提升系統(tǒng)性能可以充分利用超線程處理器，Linux系統(tǒng)在運(yùn)行過(guò)程中只有配備SHell內(nèi)核的情況下才能夠支持超線程，但是， CPU安裝數(shù)量越多的情況下，超線程的性能提升反而越少。此外，在面向多核處理器的過(guò)程中Linux內(nèi)核會(huì)將其識(shí)別為多個(gè)單獨(dú)的CPU，例如，系統(tǒng)配置了兩個(gè)四核CPU的情況下，系統(tǒng)會(huì)將其識(shí)別為8顆單獨(dú)的CPU。而2顆4核CPU與8顆單核CPU的性能完全不同，根據(jù)相關(guān)的實(shí)驗(yàn)測(cè)試可以發(fā)現(xiàn)，兩顆四核CPU的整體性能僅僅能夠達(dá)到后者的25%～30%，動(dòng)態(tài)web服務(wù)器以及郵件服務(wù)器等可能會(huì)導(dǎo)致CPU產(chǎn)生瓶頸，針對(duì)這類應(yīng)用通常情況下需要更加關(guān)注CPU性能和配置。圖1為多個(gè)物理CPU和多核CPU通過(guò)總線進(jìn)行通信，可以看出，多顆CPU效率比較低，如下。

圖1

1.2 內(nèi)存

Linux系統(tǒng)的整體性能也會(huì)受到內(nèi)存大小的影響，如果內(nèi)存過(guò)小的情況下會(huì)導(dǎo)致系統(tǒng)進(jìn)程阻塞，此時(shí)，系統(tǒng)應(yīng)用運(yùn)行速度也會(huì)變慢，甚至在一些情況下會(huì)出現(xiàn)不響應(yīng)，如果系統(tǒng)內(nèi)存過(guò)大的情況下也會(huì)出現(xiàn)資源浪費(fèi)。Linux系統(tǒng)目前主要采取的是物理和虛擬內(nèi)存等兩種概念，雖然在另有虛擬內(nèi)存的基礎(chǔ)上能夠讓物理內(nèi)存的不足得到有效彌補(bǔ)，由于虛擬內(nèi)存實(shí)際上是在硬盤上劃分出來(lái)的制定空間，所以虛擬內(nèi)存占用過(guò)多的情況下，也會(huì)嚴(yán)重影響應(yīng)用程序性能，要想充分保障程序在運(yùn)行過(guò)程中保持高性能，就要配備足夠的物理內(nèi)存，而物理內(nèi)存過(guò)大的情況下又會(huì)出現(xiàn)資源浪費(fèi)，例如，在一個(gè)Linux操作系統(tǒng)上配備了32位處理器，如果物理內(nèi)存超過(guò)8G的情況下就是資源浪費(fèi)。鑒于這種狀況，要想讓物理內(nèi)存更大，可以將操作系統(tǒng)更新為64位，與此同時(shí)，也可以在1inux大內(nèi)存內(nèi)核開(kāi)啟后來(lái)形成有效支撐。處理器尋址范圍通常情況下處在32位操作系統(tǒng)上，因此，對(duì)于單個(gè)應(yīng)用程序進(jìn)程來(lái)說(shuō)，其最大可以使用2G內(nèi)存，在這種情況下，及時(shí)配備更大的物理內(nèi)存，應(yīng)用程序也不能夠充分利用，此時(shí)，可以通過(guò)配置64位處理器，并將系統(tǒng)更新為64位，這樣就能夠讓應(yīng)用程序滿足內(nèi)存使用要求，目前主要有數(shù)據(jù)庫(kù)服務(wù)器、打印服務(wù)器等可能出現(xiàn)內(nèi)存性能瓶頸，針對(duì)這一現(xiàn)象，可以重點(diǎn)考慮內(nèi)存的大小。圖2為虛擬內(nèi)存的示意圖。

圖2

1.3 磁盤I/0寬帶

應(yīng)用程序的整體性都會(huì)受到磁盤的I/0性能的直接影響，如果應(yīng)用頻繁存在讀寫操作的情況下，磁盤I/0不能滿足性能要求，非常容易導(dǎo)致應(yīng)用程序出現(xiàn)停滯的現(xiàn)象。目前，為了進(jìn)一步提升磁盤I/0性能，使用了多種方法，其中最常見(jiàn)的方法有RAID技術(shù)。

RAID（Redundant Array of Independent Disks）被稱為是獨(dú)立磁盤冗余陣列，通常情況下將其簡(jiǎn)稱為磁盤陣列。按照不同方式將多塊獨(dú)立物理硬盤組合后形成磁盤組(邏輯硬盤)，這樣形成的磁盤組有比單個(gè)磁盤的I/O性能和數(shù)據(jù)冗余更高。充分利用過(guò)RAID技術(shù)形成的磁盤組本質(zhì)上相當(dāng)于構(gòu)建了一個(gè)大硬盤，如果可以針對(duì)該大硬盤進(jìn)行格式化或者是建立文件系統(tǒng)等相關(guān)操作，在使用方面與單獨(dú)的物理硬盤完全相同，但需要注意的是，RAID磁盤組的I/O性能要明顯更高，而且也能夠提供更加安全的數(shù)據(jù)服務(wù)。磁盤組合方式不同的情況下，RAID又可以進(jìn)一步劃分為RAID0，RAID1、RAID2、RAID3、RAID5、RAID6、RAID10等多個(gè)幾天，目前最常用的有RAID0、RAID1、RAID5、RAD0+1。這里簡(jiǎn)單介紹如下。

RAID0：將多個(gè)磁盤通過(guò)多種方式結(jié)合后形成更大的硬盤組就能夠讓硬盤的整體性能和吞吐量得到全面提升。這種應(yīng)用技術(shù)實(shí)現(xiàn)成本相對(duì)較低，但是，需要保障兩個(gè)以上的磁盤來(lái)組成磁盤組，在這種模式下形成的磁盤組不具備數(shù)據(jù)修復(fù)和容錯(cuò)等相關(guān)功能，因此這種方法通常情況下也是應(yīng)用在數(shù)據(jù)安全性較低的環(huán)境中。

RAID1：基本上就是磁盤鏡像，將一個(gè)磁盤數(shù)據(jù)在另一個(gè)磁盤數(shù)據(jù)上進(jìn)行鏡像，通過(guò)這種方式讓兩個(gè)磁盤保持，要注意的是，與單個(gè)硬盤相比較RAID1磁盤組具有更高的I/0性能，而且也能夠全面提升磁盤數(shù)據(jù)的安全性、可靠性和可修復(fù)性，通過(guò)這種模式形成的磁盤數(shù)據(jù)冗余能力更強(qiáng)，但實(shí)際經(jīng)濟(jì)可以達(dá)到50%左右的利用率，因此實(shí)際應(yīng)用成本相對(duì)較高，進(jìn)行重要數(shù)據(jù)保存的過(guò)程中可以進(jìn)行利用。

RAID5：該技術(shù)主要是通過(guò)對(duì)磁盤分段以及奇偶校驗(yàn)技術(shù)積極利用后視系統(tǒng)整體的可靠性得到全面提升，RAID5模式下能夠在寫入效率一般的情況下達(dá)到很高的突出效率，但是該方法需要3塊以上的硬盤。而且當(dāng)其中一塊磁盤存在故障的情況下數(shù)據(jù)可靠性不會(huì)受到影響。

RAID0+1：RAID0+1主要是將RAID0和RAID1兩種技術(shù)進(jìn)行結(jié)合而成，該技術(shù)在應(yīng)用過(guò)程中需要的磁盤數(shù)量為4個(gè)以上。該方法下每個(gè)磁盤都具有其相應(yīng)的鏡像盤，因此具有極高的全冗余能力，而且其中一個(gè)磁盤故障后對(duì)整體的數(shù)據(jù)可用性不會(huì)產(chǎn)生影響。詳細(xì)介紹RAID級(jí)別等相關(guān)技術(shù)后，可以結(jié)合實(shí)際應(yīng)用情況選擇更加適合的RAID級(jí)別，這樣就能夠讓系統(tǒng)整體的磁盤性能達(dá)到最優(yōu)化。

1.4 網(wǎng)絡(luò)I/0寬帶

Linux系統(tǒng)中的各種應(yīng)用通常情況下都是建立在網(wǎng)絡(luò)的基礎(chǔ)上，因此，系統(tǒng)整體性能也會(huì)受到網(wǎng)絡(luò)帶寬的影響，如果網(wǎng)絡(luò)存在不穩(wěn)定或者低速的情況下很容易出現(xiàn)訪問(wèn)阻塞，而網(wǎng)絡(luò)高速以及穩(wěn)定的情況下應(yīng)用程序這可以通暢運(yùn)行。而目前千兆寬帶已經(jīng)基本實(shí)現(xiàn)普及，因此，網(wǎng)絡(luò)帶寬問(wèn)題對(duì)系統(tǒng)整體的性能影響也非常低。

2 linux系統(tǒng)安全加固

2.1 用戶賬戶以及登錄安全

（1）刪除多余用戶和用戶組。Linux本身屬于一種多用戶的操作系統(tǒng)，在系統(tǒng)中角色賬戶存在多種,系統(tǒng)在安裝后為默認(rèn)未添加許多用途和用戶，如果在不需要其中一部分用戶和用途的情況下可以及時(shí)進(jìn)行刪除，這樣就可以避免黑客利用這些賬戶實(shí)施服務(wù)器攻擊。在具體使用過(guò)程中，可以結(jié)合服務(wù)器的具體用途來(lái)選擇保留哪些賬戶。

（2）關(guān)閉不需要的系統(tǒng)服務(wù)。在安裝系統(tǒng)的過(guò)程中系統(tǒng)會(huì)對(duì)各類服務(wù)程序內(nèi)容進(jìn)行自主選擇，如果服務(wù)器需要長(zhǎng)時(shí)間運(yùn)行的情況下，服務(wù)程序運(yùn)行數(shù)量越多就會(huì)對(duì)系統(tǒng)的安全性產(chǎn)生更大影響。針對(duì)這些問(wèn)題，用戶或者用戶的需求需要一直關(guān)閉應(yīng)用不到達(dá)程序，這樣就能夠極大地提升系統(tǒng)整體的安全性能。

（3）密碼安全策略。Linux操作系統(tǒng)下主要配備了密鑰和密碼認(rèn)證等兩種遠(yuǎn)程系統(tǒng)登錄認(rèn)證模式。其中，密鑰認(rèn)證主要是通過(guò)在遠(yuǎn)程服務(wù)器上存儲(chǔ)公鑰，而在本地存儲(chǔ)私鑰。系統(tǒng)在登錄后用戶可以充分利用本地私鑰遠(yuǎn)程服務(wù)器公鑰配對(duì)認(rèn)證，如果實(shí)現(xiàn)匹配一致則可以順利登錄系統(tǒng)。這種認(rèn)知方式下暴力破解無(wú)效。而且，在充分保證本地私鑰安全性的情況下，也可以有效避免黑客盜取，這樣攻擊者就無(wú)法通過(guò)破解認(rèn)知方式而實(shí)現(xiàn)。因此，在登錄系統(tǒng)的過(guò)程中推薦使用密鑰方法。

（4）有效應(yīng)用su、sudo命令。su命令主要是實(shí)現(xiàn)用戶之間的切換。當(dāng)以管理員身份登錄系統(tǒng)后可以利用su命令及時(shí)切換到超級(jí)用戶角色，這樣就可以相應(yīng)的獲取超級(jí)權(quán)限。但是，超級(jí)用戶本身具有過(guò)大的權(quán)限，而且管理人員也知道超級(jí)用戶密碼，可見(jiàn)su命令在應(yīng)用過(guò)程中具有較高的管理風(fēng)險(xiǎn)。普通用戶可以通過(guò)sudo命令讓系統(tǒng)陚予其超級(jí)權(quán)限，但是，并不需要切換超級(jí)用戶模式。因此，在這種模式下可以實(shí)現(xiàn)權(quán)限分配的細(xì)化，面對(duì)系統(tǒng)的每一位管理員可以利用sudo命令相應(yīng)地賦予其管理權(quán)限。

2.2 遠(yuǎn)程訪問(wèn)及登陸認(rèn)證安全

遠(yuǎn)程登錄應(yīng)用SSH登陸方式。Telnet做一種登錄認(rèn)證服務(wù)本身存在一定安全性，其內(nèi)容在網(wǎng)絡(luò)傳輸過(guò)程中使用的是明文，這樣非常容易導(dǎo)致Telnet數(shù)據(jù)包在傳輸過(guò)程中被黑客截取，這樣就能夠獲得用戶的登錄口令。而且這種安全驗(yàn)證方式下本身也會(huì)存在安全隱患，很容易成為黑客的攻擊目標(biāo)。

SSH服務(wù)在進(jìn)行數(shù)據(jù)傳輸過(guò)程中進(jìn)行了加密，能有效避免出現(xiàn)DNS欺騙以及IP欺騙，而且數(shù)據(jù)傳輸過(guò)程經(jīng)過(guò)壓縮后能夠充分保障遠(yuǎn)程連接的安全性。

2.3 文件系統(tǒng)的安全

（1）加固系統(tǒng)重要文件。Linux系統(tǒng)在應(yīng)用過(guò)程中如果超級(jí)權(quán)限被黑客獲取，那么，黑客就可以在登錄系統(tǒng)之后進(jìn)行任何操作。針對(duì)這一問(wèn)題，通過(guò)利用文件加固系統(tǒng)能夠?yàn)橄到y(tǒng)提供最后一道安全防線。管理員可以針對(duì)系統(tǒng)中的一些重要文件和目錄利用chattr命令進(jìn)行鎖定。

（2）文件權(quán)限檢查與修改。在系統(tǒng)中保存的一些重要文件如果沒(méi)有相應(yīng)的設(shè)置合理的權(quán)限聯(lián)合的系統(tǒng)操作安全性產(chǎn)生影響。鑒于此，作為系統(tǒng)維護(hù)人員要對(duì)文件和目錄權(quán)限不匹配的問(wèn)題進(jìn)行及時(shí)發(fā)現(xiàn)給予更正，避免安全事件發(fā)生。

（3）安全設(shè)定/Imp、/var/lmp、/dev/shm。在整個(gè)操作系統(tǒng)中，其作為一種目錄主要是用來(lái)進(jìn)行臨時(shí)文件的存放，而且主要有/tmp與/var/tmp兩種方式。它們的特點(diǎn)相同，也就是可以為所有的用戶提供讀寫和執(zhí)行等操作,在這種情況下，整個(gè)系統(tǒng)就能保持安全性。分別設(shè)置兩個(gè)目錄后，不允許其目錄下執(zhí)行相應(yīng)的應(yīng)用程序。

3 結(jié)語(yǔ)

本文介紹了Linux系統(tǒng)優(yōu)化和安全加固，通過(guò)上述的論述可以看出，每個(gè)影響系統(tǒng)性能的因素都會(huì)存在一定的相互聯(lián)系，在進(jìn)行排查的過(guò)程中不能孤立地對(duì)待，性能產(chǎn)生問(wèn)題的情況下很可能是因其他方面問(wèn)題引發(fā)。既有硬件方面的因素，也有軟件和系統(tǒng)方面的因素，所以處理性能問(wèn)題時(shí)，要縱觀全局進(jìn)行綜合考慮。