一、网络优化配置

1.1 TCP协议栈调优

优化作用：

• 提升高延迟/高带宽网络吞吐量
• 增强服务器并发处理能力
• 减少TCP连接建立延迟

配置方法：

# 编辑内核参数文件
cat >> /etc/sysctl.conf << EOF
# 启用TCP窗口扩展
net.ipv4.tcp_window_scaling = 1
# 内存分配策略（最小值/默认值/最大值）
net.ipv4.tcp_rmem = 4096 87380 16777216
net.ipv4.tcp_wmem = 4096 65536 16777216
# 启用TFO（服务端+客户端）
net.ipv4.tcp_fastopen = 3
# 半连接队列长度
net.ipv4.tcp_max_syn_backlog = 8192
# 全连接队列长度
net.core.somaxconn = 8192
# 临时端口范围
net.ipv4.ip_local_port_range = 1024 65535
EOF

# 应用配置
sysctl -p

验证命令：

ss -ltn | grep 'LISTEN'
sysctl net.ipv4.tcp_fastopen

1.2 服务精简管理

推荐操作：

# 禁用老旧服务
systemctl disable rpcbind nfs-lock rpc-statd

# 查看网络监听端口
netstat -tunlp | grep -v '127.0.0.1'

# 推荐保留的核心服务：
# - sshd (22端口)
# - chronyd (时间同步)
# - firewalld (防火墙)

二、存储子系统优化

2.1 磁盘调度策略

设备类型判断：

# 识别磁盘类型
lsblk -d -o NAME,ROTA
# ROTA=1为机械盘，0为SSD

调度策略调整：

# 临时设置（SSD推荐）
echo 'mq-deadline' > /sys/block/sda/queue/scheduler

# 永久生效（GRUB配置）
sed -i '/GRUB_CMDLINE_LINUX/s/"$/ elevator=mq-deadline"/' /etc/default/grub
grub2-mkconfig -o /boot/grub2/grub.cfg

2.2 文件系统优化

挂载参数优化：

# 修改/etc/fstab示例：
/dev/sda1 / ext4 defaults,noatime,nodiratime,barrier=0 0 1

# 参数说明：
# noatime    - 禁用访问时间记录
# nobarrier  - 关闭写入屏障（带电池的RAID卡）

预读参数设置：

# 查看当前预读值
blockdev --getra /dev/sda

# 设置预读为8MB（4096*512B）
blockdev --setra 4096 /dev/sda

# 持久化配置
echo "blockdev --setra 4096 /dev/sda" >> /etc/rc.local
chmod +x /etc/rc.d/rc.local

三、内存管理优化

3.1 Swap控制策略

配置建议：

# 降低swap使用倾向
echo 'vm.swappiness=10' >> /etc/sysctl.conf

# 透明大页禁用（适合数据库场景）
echo 'never' > /sys/kernel/mm/transparent_hugepage/enabled

# 持久化配置
grubby --update-kernel=ALL --args="transparent_hugepage=never"

3.2 服务内存回收

典型可关闭服务：

systemctl stop cups
systemctl disable cups

# 其他常见可精简服务：
# - bluetooth
# - postfix
# - avahi-daemon

四、处理器性能调优

4.1 CPU调度策略

内核参数调整：

cat >> /etc/sysctl.conf << EOF
# 最小调度粒度（10ms）
kernel.sched_min_granularity_ns = 10000000
# 唤醒抢占粒度（15ms）
kernel.sched_wakeup_granularity_ns = 15000000
EOF

sysctl -p

4.2 电源管理模式

性能模式设置：

# 安装工具
yum install -y tuned

# 启用性能模式
tuned-adm profile throughput-performance

# 验证当前模式
tuned-adm active

五、安全增强配置

5.1 防火墙策略

最佳实践：

# 清空默认规则
firewall-cmd --panic-on

# 放行必要服务
firewall-cmd --permanent --add-service=ssh
firewall-cmd --permanent --add-service=http

# 限制SSH访问源
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="ssh" accept'

firewall-cmd --reload

5.2 SSH安全加固

配置示例：

# 修改/etc/ssh/sshd_config
Port 2222
PermitRootLogin no
MaxAuthTries 3
ClientAliveInterval 300
PasswordAuthentication no

# 重启服务
systemctl restart sshd

六、系统参数深度优化

6.1 文件描述符限制

全局配置：

# 用户级限制
cat >> /etc/security/limits.conf << eof soft nofile 65535 hard nofile 65535 root soft nofile unlimited root hard nofile unlimited eof echo fs.file-max='1000000"'>> /etc/sysctl.conf
sysctl -p

6.2 内核参数补充

网络增强配置：

cat >> /etc/sysctl.conf << EOF
# SYN洪水防护
net.ipv4.tcp_syncookies = 1
# TIME-WAIT回收
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_fin_timeout = 30
# 最大跟踪连接数
net.netfilter.nf_conntrack_max = 1000000
EOF

sysctl -p

七、自动化任务管理

7.1 定时任务清理

管理建议：

# 查看所有定时任务
for user in $(cut -f1 -d: /etc/passwd); do crontab -l -u $user; done

# 系统级任务目录：
# /etc/crontab
# /etc/cron.d/
# /etc/cron.hourly/
# /etc/cron.daily/

7.2 日志轮转配置

优化示例：

# 编辑/etc/logrotate.conf
compress
daily
rotate 30
missingok
notifempty

八、补充优化建议

8.1 系统更新策略

# 配置自动更新
yum install -y yum-cron
sed -i 's/apply_updates = no/apply_updates = yes/' /etc/yum/yum-cron.conf
systemctl enable yum-cron

8.2 时间同步配置

# 安装chrony
yum install -y chrony

# 配置NTP服务器
sed -i 's/^server.*/server ntp.aliyun.com iburst/' /etc/chrony.conf

systemctl restart chronyd
timedatectl

8.3 安全审计配置

# 安装审计工具
yum install -y audit

# 监控关键文件
echo "-w /etc/passwd -p wa -k identity" >> /etc/audit/rules.d/audit.rules

systemctl enable auditd
service auditd restart

优化验证清单

1. 网络状态检查：ss -s
2. 内存使用分析：free -h
3. 磁盘I/O性能：iostat -x 1
4. CPU负载监控：mpstat -P ALL 1
5. 安全审计日志：ausearch -k identity

通过以上综合优化措施，可使CentOS系统在性能提升30%以上的同时，显著增强安全防护能力。建议在生产环境实施前进行逐项验证，并根据具体业务场景进行参数微调。