服务器优化|安全加固|如何配置CentOS服务器以提升性能和安全性？

本文目录导读：

1. 性能优化：让服务器“跑得更快”
2. 安全加固：让服务器“扛得住攻击”
3. 日常维护：防患于未然

🚀场景引入
深夜，某电商平台的服务器突然卡顿，订单系统延迟飙升，运维小王紧急登录服务器，发现CPU飙满、内存告警，同时日志显示大量异常IP尝试暴力破解SSH……这场惊心动魄的“服务器危机”，或许正发生在你的身边。

别慌！本文将手把手教你如何通过性能优化+安全加固双管齐下，让你的CentOS服务器既“跑得快”又“扛得住”！💪

性能优化：让服务器“跑得更快”

🔧 1. 内核参数调优

操作步骤：

# 修改内核参数配置文件
vi /etc/sysctl.conf

关键参数（按需调整）：

# 网络性能优化
net.ipv4.tcp_max_syn_backlog = 262144  # 增大SYN队列长度，应对高并发
net.core.netdev_max_backlog = 262144   # 网卡接收数据包队列上限
net.ipv4.tcp_tw_reuse = 1               # 复用TIME_WAIT状态的连接
# 内存与文件系统
vm.swappiness = 10                     # 减少Swap使用，优先内存
fs.file-max = 6815744                  # 增大最大文件句柄数

生效命令：

sysctl -p  # 立即生效

💾 2. 磁盘I/O优化

• 选择合适文件系统：

  • 大文件/高并发场景选XFS（如数据库、视频存储）。
  • 需要快照功能选Btrfs。

• RAID与缓存加速：

  # 使用Bcache加速机械硬盘
  yum install bcache-tools -y
  make-bcache -B /dev/sdb -C /dev/sdc  # 将sdb作为缓存，sdc作为后端存储

🧹 3. 清理冗余服务

# 查看已安装软件包
yum list installed | grep "unused-package"
# 卸载无用软件
yum remove -y unused-package

安全加固：让服务器“扛得住攻击”

🔒 1. 账户安全

• 锁定多余账号：

  # 查看系统账号
  cat /etc/passwd | grep "nologin$"
  # 锁定账号（如games用户）
  passwd -l games

• 强密码策略：

  vi /etc/login.defs
  PASS_MAX_DAYS 90       # 密码最长使用90天
  PASS_MIN_LEN 9         # 最小密码长度9位

🚪 2. SSH远程管理加固

• 修改SSH端口与协议：

  vi /etc/ssh/sshd_config
  Port 10022                # 避免使用默认22端口
  Protocol 2                # 禁用SSHv1（存在漏洞）
  PermitRootLogin no        # 禁止root直接登录

  重启服务：

  systemctl restart sshd

• 限制登录IP：

  

  vi /etc/ssh/sshd_config
  AllowUsers user1@192.168.1.0/24  # 仅允许user1从内网登录

🔥 3. 防火墙配置（firewalld）

• 基础规则：

  # 开放80/443端口（Web服务）
  firewall-cmd --zone=public --add-port=80/tcp --permanent
  firewall-cmd --zone=public --add-port=443/tcp --permanent
  # 禁止ICMP响应（防Ping扫描）
  firewall-cmd --add-icmp-block=echo-request --permanent
  # 重启生效
  firewall-cmd --reload

• 白名单机制：

  # 仅允许特定IP访问SSH
  firewall-cmd --permanent --new-zone=sshzone
  firewall-cmd --permanent --zone=sshzone --add-source=192.168.1.100
  firewall-cmd --permanent --zone=sshzone --add-service=ssh

🛡️ 4. SELinux强制模式

• 启用SELinux：

  setenforce 1                  # 临时启用
  vi /etc/selinux/config       # 永久生效
  SELINUX=enforcing

• 修复权限问题：

  # 允许Apache访问用户目录
  setsebool -P httpd_enable_homedirs on

日常维护：防患于未然

1. 定期更新：

   yum update -y  # 每月执行一次

2. 漏洞扫描：

   yum install lynis -y
   lynis audit system  # 生成安全报告

3. 日志监控：

   tail -f /var/log/secure  # 实时查看登录日志
   journalctl -u sshd --since "10 min ago"  # 检查SSH服务日志

通过内核调优+账户加固+防火墙+SELinux四步走，你的CentOS服务器将同时具备高性能与高安全性。服务器优化没有“一劳永逸”，定期巡检与及时更新才是王道！

💡小贴士：

• 修改配置前建议备份（如cp /etc/ssh/sshd_config{,.bak}）。
• 测试环境验证后再应用到生产环境。
• 遇到问题？journalctl -xe能帮你快速定位错误！