meisw's blog

NetworkManager, NetworkManagerDispatcher
自动在多种网络连接中进行转换，如果你的电脑有Wireless WiFi 和 Ethernet，开着它吧，Fedora能自动为你选择最好的可用连接。像我这样
只用一个网络连接设置的，还是关掉吧。

anacron, atd, crond
这是一些调试程序的后台服务，一般的桌面用户可以把anacron, atd关了，如果你打算常时间开机，那就把crond打开。 建议始终把crond开着。

auditd
用于存放内核生成的系统审查记录，这些记录会被一些程序使用。特别是对于SELinux用户来说，还是开着吧。

autofs
自动挂在移动硬盘，没什么说的，开着。

avahi-daemon, avahi-dnsconfd
主要用于Zero Configuration Networking ，关吧，一般无用。

bluetooth, hcid, hidd, sdpd, dund, pand
蓝牙相关，无蓝牙者，关关关。

btseed, bttrack
BT相关，无法用BT的，可以关了

capi
ISDN硬件支持，大部分用户可以关了

cpuspeed
CPU速度调整，如果你用的是Pentium-M, Centrino, AMD PowerNow, Transmetta, Intel SpeedStep, Athlon-64, Athlon-X2, Intel Core 2
开着吧；如果不是还是关了吧，开着也无用。

cupsd
CUPS打印机支持，没有打印机或者是其他类型打印机的，可以关了

dhcdbd
D-BUS系统网络接口，主要为你提供网络连接设置，强烈建议开着，除非你用固定IP上网。

firstboot
Fedora安装完之后的那个用户向导，一般可以关了

gpm
Text console（CTRL-ALT-F1,F2..）鼠标支持，如果你不经常用Text console，可以关了

haldaemon
HAL（Hardware Abstraction Layer）服务，开着吧

hplip, hpiod, hpssd
HPLIP打印机支持，如果你有开着吧。

httpd
Apache HTTP网页服务器， 如果你不开发网页，关吧

ip6tables
如果你不用 IPv6，关了

iptables
防火墙，没什么说的，开着

irda
红外线设备支持，无者关

irqbalance
多核CPU支持， 无着关

isdn
ISDN modem支持， 无者关

jexec
如果你安装java 1.6 就会有这个，让你可以双击运行 *.jar 文件。不想要就关

kudzu
Fedora硬盘侦测服务，当你更换或添加硬盘的时候可以使用，平时可以关了

lirc
红外线遥控器支持， 无者关

mcstrans
主要用于SELinux，如果你不用SELinux，可以关了

mdmonitor
RAID支持， 无者关

messagebus
Linux ICP 服务， 强列建议开着。

netfs
如果你需要网络共享文件，那就开着

netplugd
对大部分用户基本无用，关

network
没什么说的。开着；除非你不上网

nfs, nfslock
文件共享支持，不需要的可以关了

nscd
NIS, NIS+, LDAP, or hesiod服务密码控制， 没有这些服务的可以关了

ntpd
网络时间同步，和windows的那个差不多，不需要的可以关了

nvidia-96XX 或者 nvidia-97XX
livna的nvidia显卡驱动，开

pcscd
智能卡支持，无者关

readahead_early, readahead_later
开机内存载入优化， 开着吧

restorecond
SELinux用于监控文件， 不用SELinux的可以关了

rpcbind
RPC服务，一般可以关闭

rpcgssd, rpcidmapd, rpcsvcgssd
NFS支持，不用NFS的可以关闭

sendmail
邮件传送代理，如果你用Webmail 或者 Thunderbird, Kmail之类的来收发邮件。可以关了

setroubleshoot
SELinux Troubleshooting， 不用SELinux的可以关了

smartd
SMART Disk Monitoring， 监视拥有自我监视，分析和汇报技术的硬盘，开着吧

smolt
无用，关吧

sshd
OpenSSH服务器，通常可以关了，这是服务器端，关闭不影响ssh的使用

syslog
系统日志，开着吧

vncserver
一般桌面用户可以关了

winbind
不用Samba服务器的话， 可以关了

wpa_supplicant
无线设备支持，无者关

ypbind
不用NIS/YP，可以关了
yum-update
自动定期升级检测， 如果你经常手动升级。可以关了
保存设置，重启

关于分区
　　
　　一个潜在的黑客如果要攻击你的Linux服务器，他首先就会尝试缓冲区溢出。在过去的几年中，以缓冲区溢出为类型的安全漏洞是最为常见的一种形式了。更为严重的是，缓冲区溢出漏洞占了远程网络攻击的绝大多数，这种攻击可以轻易使得一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权！
　　
　　为了防止此类攻击，我们从安装系统时就应该注意。如果用root分区纪录数据，如log文件和email，就可能因为拒绝服务产生大量日志或垃圾邮件，从而导致系统崩溃。所以建议为/var开辟单独的分区，用来存放日志和邮件，以避免root分区被溢出。最好为特殊的应用程序单独开一个分区，特别是可以产生大量日志的程序，还有建议为/home单独分一个区，这样他们就不能填满/分区了，从而就避免了部分针对Linux分区溢出的恶意攻击。
　　
　　关于BIOS
　　
　　记着要在BIOS设置中设定一个BIOS密码，不接收软盘启动。这样可以阻止不怀好意的人用专门的启动盘启动你的Linux系统，并避免别人更改BIOS设置，如更改软盘启动设置或不弹出密码框直接启动服务器等等。
　　
　　关于口令
　　
　　口令是系统中认证用户的主要手段，系统安装时默认的口令最小长度通常为5，但为保证口令不易被猜测攻击，可增加口令的最小长度，至少等于8。为此，需修改文件/etc/login.defs中参数PASS_MIN_LEN（口令最小长度）。同时应限制口令使用时间，保证定期更换口令，建议修改参数PASS_MIN_DAYS（口令使用时间）。
　　
　　关于Ping
　　
　　既然没有人能ping通你的机器并收到响应，你可以大大增强你的站点的安全性。你可以加下面的一行命令到/etc/rc.d/rc.local，以使每次启动后自动运行，这样就可以阻止你的系统响应任何从外部/内部来的ping请求。
　　
　　echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
　　
　　关于Telnet
　　
　　如果你希望用户用Telnet远程登录到你的服务器时不要显示操作系统和版本信息（可以避免有针对性的漏洞攻击），你应该改写/etc/inetd.conf中的一行象下面这样：
　　
　　telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h
　　
　　加-h标志在最后使得telnet后台不要显示系统信息，而仅仅显示login。
　　
　　关于特权账号
　　
　　禁止所有默认的被操作系统本身启动的且不需要的帐号，当你第一次装上系统时就应该做此检查，Linux提供了各种帐号，你可能不需要，如果你不需要这个帐号，就移走它，你有的帐号越多，就越容易受到攻击。
　　
　　为删除你系统上的用户，用下面的命令：userdel username
　　
　　为删除你系统上的组用户帐号，用下面的命令：groupdel username
　　
　　在终端上打入下面的命令删掉下面的特权用账号：
　　
　　userdel adm
　　
　　userdel lp
　　
　　userdel sync
　　
　　userdel shutdown
　　
　　userdel halt
　　
　　userdel mail
　　
　　如果你不用sendmail服务器，就删除这几个帐号：
　　
　　userdel news
　　
　　userdel uucp
　　
　　userdel operator
　　
　　userdel games
　　
　　如果你不用X windows 服务器，就删掉这个帐号。
　　
　　userdel gopher
　　
　　如果你不允许匿名FTP，就删掉这个用户帐号：
　　
　　userdel ftp
　　
　　关于su命令
　　
　　如果你不想任何人能够su为root的话,你应该编辑/etc/pam.d/su文件，加下面几行：
　　
　　auth sufficient /lib-
　　
　　/security/pam_rootok-
　　
　　.so debug
　　
　　auth required /lib-
　　
　　/security/pam_wheel-
　　
　　.so group=isd
　　
　　这意味着仅仅isd组的用户可以su作为root。如果你希望用户admin能su作为root.就运行下面的命令：
　　
　　usermod -G10 admin
　　
　　suid程序也是非常危险的，这些程序被普通用户以euid=0（即root）的身份执行，只能有少量程序被设置为suid。用这个命令列出系统的suid二进制程序：
　　
　　suneagle# find / -perm -4000 -print
　　
　　你可以用chmod -s去掉一些不需要程序的suid位。
　　
　　关于账户注销
　　
　　如果系统管理员在离开系统时忘了从root注销，系统应该能够自动从shell中注销。那么，你就需要设置一个特殊的 Linux 变量“tmout”，用以设定时间。 同样，如果用户离开机器时忘记了注销账户，则可能给系统安全带来隐患。你可以修改/etc/profile文件，保证账户在一段时间没有操作后，自动从系统注销。 编辑文件/etc/profile，在“histfilesize=”行的下一行增加如下一行:
　　
　　tmout=600
　　
　　则所有用户将在10分钟无操作后自动注销。注意：修改了该参数后，必须退出并重新登录root，更改才能生效。
　　
　　关于系统文件
　　
　　对于系统中的某些关键性文件如passwd、passwd.old、passwd._、shadow、shadown._、inetd.conf、services和lilo.conf等可修改其属性，防止意外修改和被普通用户查看。 如将inetd文件属性改为600：
　　
　　# chmod 600 /etc/inetd.conf
　　
　　这样就保证文件的属主为root，然后还可以将其设置为不能改变:
　　
　　# chattr +i /etc/inetd.conf
　　
　　这样，对该文件的任何改变都将被禁止。 你可能要问：那我自己不是也不能修改了？当然，我们可以设置成只有root重新设置复位标志后才能进行修改:
　　
　　# chattr -i /etc/inetd.conf
　　
　　关于用户资源
　　
　　对你的系统上所有的用户设置资源限制可以防止DoS类型攻击，如最大进程数，内存数量等。例如，对所有用户的限制， 编辑/etc/security/limits.con加入以下几行：
　　
　　* hard core 0
　　
　　* hard rss 5000
　　
　　* hard nproc 20
　　
　　你也必须编辑/etc/pam.d/login文件，检查这一行的存在：
　　
　　session required /lib/security/pam_limits.so
　　
　　上面的命令禁止core files“core 0”，限制进程数为“nproc 50“，且限制内存使用为5M“rss 5000”。
　　
　　关于NFS服务器
　　
　　由于NFS服务器漏洞比较多，你一定要小心。如果要使用NFS网络文件系统服务，那么确保你的/etc/exports具有最严格的存取权限设置，不意味着不要使用任何通配符，不允许root写权限，mount成只读文件系统。你可以编辑文件/etc/exports并且加：
　　
　　/dir/to/export host1.mydomain.com(ro,root_squash)
　　
　　/dir/to/export host2.mydomain.com(ro,root_squash)
　　
　　其中/dir/to/export 是你想输出的目录，host.mydomain.com是登录这个目录的机器名，ro意味着mount成只读系统，root_squash禁止root写入该目录。最后为了让上面的改变生效，还要运行/usr/sbin/exportfs -a
　　
　　关于开启的服务
　　
　　默认的linux就是一个强大的系统，运行了很多的服务。但有许多服务是不需要的，很容易引起安全风险。这个文件就是/etc/inetd.conf，它制定了/usr/sbin/inetd将要监听的服务，你可能只需要其中的两个：telnet和ftp，其它的类如shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger, auth, etc. 除非你真的想用它。否则统统关闭之。
　　
　　你先用下面的命令显示没有被注释掉的服务：
　　
　　grep -v "#" /etc/inetd.conf
　　
　　这个命令统计面前服务的总数：
　　
　　ps -eaf|wc -l
　　
　　需要提醒你的是以下三个服务漏洞很多，强烈建议你关闭它们：S34yppasswdd（NIS服务器）、S35ypserv（NIS服务器）和S60nfs（NFS服务器）。
　　
　　我们可以运行#killall -HUP inetd来关闭不需要的服务。当然，你也可以运行
　　
　　#chattr +i /etc/inetd.conf
　　
　　如果你想使inetd.conf文件具有不可更改属性，而只有root 才能解开，敲以下命令
　　
　　#chattr -i /etc/inetd.conf
　　
　　当你关闭一些服务以后，重新运行以上命令看看少了多少服务。运行的服务越少，系统自然越安全了。我们可以用下面命令察看哪些服务在运行：
　　
　　netstat -na --ip
　　
　　如果你用的是Redhat那就方便多了。^_^ Redhat提供一个工具来帮助你关闭服务，输入/usr/sbin/setup，然后选择"system services"，就可以定制系统启动时跑哪些服务。另外一个选择是chkconfig命令，很多linux版本的系统都自带这个工具。脚本名字中的数字是启动的顺序，以大写的K开头的是杀死进程用的。
　　
　　关于日志
　　
　　所有的日志都在/var/log下（仅对linux系统而言），默认情况下linux的日志就已经很强大了，但除ftp外。因此我们可以通过修改/etc/ftpaccess 或者/etc/inetd.conf，来保证每一个ftp连接日志都能够纪录下来。下面是一个修改inetd.conf的例子，假如有下一行：
　　
　　ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -L -i -o
　　
　　注释：
　　
　　-l每一个ftp连接都写到syslog
　　
　　-L纪录用户的每一个命令
　　
　　-i文件received,纪录到xferlog
　　
　　-o文件transmitted,记录到xferlog
　　
　　不过你也不要太相信日志，因为绝大部分黑客都有“擦脚印”的“好”习惯啰！如果你不放心，最好安装一个Sniffer吧。
　　
　　关于TCP_WRAPPERS
　　
　　默认的，Redhat Linux允许所有的请求，这是很危险的。如果用TCP_WRAPPERS来增强我们站点的安全性简直是举手之劳，你可以将禁止所有的请求放入“ALL: ALL”到/etc/hosts.deny中，然后放那些明确允许的请求到/etc/hosts.allow中，如:
　　
　　sshd: 192.168.1.10/255.255.255.0 gate.openarch.com
　　
　　对IP地址192.168.1.10和主机名gate.openarch.com，允许通过ssh连接。配置完了之后，用tcpdchk检查，你可以直接执行：tcpdchk 。在这里，tcpchk是TCP_Wrapper配置检查工具，它检查你的tcp wrapper配置并报告所有发现的潜在/存在的问题。
　　
　　关于补丁
　　
　　你应该经常到你所安装的Linux系统发行商的主页上去找最新的补丁。例如：对于Redhat系统而言可以在：http://www.redhat.com/corp/support/errata/上找到补丁。幸运的是，在Redhat6.1以后的版本带有一个自动升级工具up2date，它能自动够测定哪些rpm包需要升级，然后自动从Redhat的站点下载并完成安装。这对某些懒惰的管理员来说，可是个省精神的福音哦！^_^

转截

　　使用单用户模式　　
　　在Linux启动后出现boot:提示时，输入linux single 或 linux 1，就能进入系统了.进了系统,就可以改密码或是增加用户了.或者直接编辑Passwd文件，去掉root一行中的x即可。
　　这里也存在一个安全问题,如果你的机器能让非授权的人接触到,就可以用这个方法进入到你的系统.或者你进入别人的系统.

　　防范对策
　　
　　以超级用户（root）进入系统，编辑/etc/inittab文件，改变id：3：initdefault的设置，在其中额外加入一行（如下），让系统重新启动进入单用户模式的时候，提示输入超级用户密码：
　　
　　~~:S:walt:/sbin/sulogin
　　
　　然后执行命令：/sbin/init q，使这一设置起效

[转自vitter's Blog]

针对系统的优化工作需要根据不同的系统采用不同的办法。本文旨在描述通用的优化 Linux 的一些办法。
一、编译选项
“etc/profile”文件含有系统大量的环境和启动程序的配置信息。你在该文件中进行的配置，可以通过申请全局环境变量来实现。因此，在该文件中设置优化标志，是一种明智的选择。要想使x86程序获得最佳性能，可以在编译时，使用最佳的优化选项-O9 。许多程序的“Makefile”文件中已经含有-O2选项，而-O9使编译器采用最高级别的优化。尽管它将增加最终程序的大小，但这样可以获得更高的运行速度。编译时，使用“-fomit-frame-pointer”选项，程序运行时，访问变量时将使用堆栈。但是，使用这一选项，生产的代码将无法调试。使用“-mcpu=cpu_type”和“-march=cpu_type”选项，Gcc将针对这种型号CPU进行专门的优化，但生成的代码只能在所指定的CPU或更高系列的CPU上运行。当我们采用 -O9 来编译程序时，或许文件字节数是最大的，但是往往其运行速度也是最快的。根据不同的机器架构，你可以把下面的语句加入 /etc/profile 。

对于CPU i686或PentiumPro、Pentium II、Pentium III等：
CFLAGS='-O9 -funroll-loops -ffast-math -malign-double -mcpu=pentiumpro -march=pentiumpro -fomit-frame-pointer -fno-exceptions'

对于CPU i586或Pentium:
CFLAGS='-O3 -march=pentium -mcpu=pentium -ffast-math -funroll-loops -fomit-frame-pointer -fforce-mem -fforce-addr -malign-double -fno-exceptions'

对于CPU i486:
FLAGS='-O3 -funroll-all-loops -malign-double -mcpu=i486 -march=i486 -fomit-frame-pointer -fno-exceptions'
在进行完以上设置之后，紧接者着把“CFLAGS LANG LESSCHARSET”加入到“etc/profile”文件中的“export”行中：
export PATH PS1 HOSTNAME HISTSIZE HISTFILESIZE USER LOGNAME MAIL INPUTRC CFLAGS LANG LESSCHARSET
然后，重新登录，这时，环境变量CFLAGS已经被赋值，编译器和其它配置工具可以使用它。对Pentium（Pro/II/III）的优化必须使用egcs或pgcc编译器。Linux的缺省安装中，已经装上了egcs，所以无需担心。
另外，安装程序时，使用 tarball 格式总要比 RPM 格式来得好，因为， tarball 需要重新编译，能针对你的机器架构作优化，得到最好的性能。

二、重新编译内核
一般的 Linux 发行商发布的 Linux 版本，其内核总是会带有一些对你来说不是很实用的东西，例如对HAM Radio的支持，对 Token Ring 的支持等。可以查看下面的两个网站的资料：
Linux Kernel Howto: www.linuxdoc.org/HOWTO/Kernel-HOWTO.html
Linux Kernel : www.kernel.org
编辑/usr/src/linux/Makefile文件，可以根据具体的cpu优化内核编译。以下的参数设置将得到优化的内核性能。
① vi +18 /usr/src/linux/Makefile ，将HOSTCC =gcc改为 HOSTCC =egcs.
② vi +25 /usr/src/linux/Makefile
将CC =$(CROSS_COMPILE)gcc D__KERNEL__ -I$(HPATH)
改为 CC =$(CROSS_COMPILE)egcs D__KERNEL__ -I$(HPATH).
③ vi +90 /usr/src/linux/Makefile
将CFLAGS = -Wall -Wstrict-prototypes -O2 -fomit-frame-pointer
改为CFLAGS = -Wall -Wstrict-prototypes -O9 -funroll-loops -ffast-math -malign-double -mcpu=pentiumpro -march=pentiumpro -fomit-frame-pointer -fno-exceptions
④ vi +19 /usr/src/linux/Makefile
将HOSTCFLAGS =-Wall -Wstrict-prototypes -O2 -fomit-frame-pointer
改为HOSTCFLAGS =-Wall -Wstrict-prototypes -O9 -funroll-loops -ffast-math -malign-double -mcpu=pentiumpro -march=pentiumpro -fomit-frame-pointer -fno-exceptions
根据以上修改后的makefile文件重新编译内核将得到较优的性能。

三、停止不使用的服务
Sendmail, httpd, crond, kudzu, mysql, portmap, postgresql, smb, snortd, webmin, inetd (或者 xinetd) 等都是很棒的程序，但是如果你不会使用他们，干吗要让他们占用您宝贵的资源呢？而且，这些程序都会带来安全隐患。一般说来，一套“干净”的 Linux 系统，只需要gpm, network, syslog, ssh 和 xfs。如果临时有需要，就手工启动好了。这些启动脚本一般都在 /etc/rc.d/init.d 目录下。
检查自己的机器上使用中的服务，可以采用 nmap 工具扫描。

[xyj@freelamp.com]$ nmap -p1-65535 211.94.129.28
Starting nmap V. 2.54BETA30 ( www.insecure.org/nmap/ )
Interesting ports on freelamp.com (211.94.129.28):
(The 65492 ports scanned but not shown below are in state: closed)
---Edited version of the output due to space considerations--
Port State Service
...
514/tcp open shell
1025/tcp open listen
1099/tcp open unknown
1214/tcp open unknown
...
检查特定端口上正在运行的程序名，可以采用：
[root@freelamp.com /root]# netstat -anp|more
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
....
tcp 0 0 203.199.66.200:8007 203.199.66.197:1060 CLOSE 1005/java
tcp 0 0 203.199.66.200:22 203.199.66.197:3768 ESTABLISHED 1381/sshd
tcp 0 0 203.199.66.200:23 192.168.57.46:1546 ESTABLISHED 1229/in.telnetd: 19
....
最后一列显示运行的程序及其 PID。
我们还可以采用 ps 命令检查机器上正在运行的守护程序：
[root@freelamp.com root]# ps xc -u 0
PID TTY STAT TIME COMMAND
...
1475 ? S 0:02 sendmail
1498 ? S 0:04 gpm
16539 ? S 0:01 httpd
...

四、优化磁盘
1、优化分区
在安装系统之前，您就需要对硬盘做好恰当的规划。划分一定的文件系统，不仅仅是系统本身的需要，而且在安全层面上也十分有意义。在Linux系统中，我们可以自由地组织磁盘分区。一个优化的分区策略，可以很好地改进Linux系统的性能，减少磁盘碎片，提高磁盘I/O能力。根据磁盘的特点，我们知道越是靠磁盘外部的柱面，旋转越快，而且每次旋转时，磁盘读写头可以覆盖较多的区域，也就意味着靠外部的柱面可以得到较好的性能。所以在分区时，我们应该考虑将访问频率高的，对系统性能影响相对较大的分区置于磁盘的靠外部分。同时，为了减少磁盘碎片，应将内容经常改变的目录放在单独的分区。从方便备份数据的角度考虑，因为很多备份工具对整个分区进行备份的效率要高，所以我们应将Linux系统的几个主要的目录作为单独的文件系统，为它们各自分配一个区。推荐的分区策略如图一：

在上图中,磁盘还有一部分未分区的空间,为什么不在安装系统时,将整个磁盘分区呢?现在的硬盘空间比较大,而在安装系统时,也许你所安装的文件加上以后增长所需要的空间用不到整个磁盘存储空间。保留一部分未分区空间，当以后有新的需要时，就可以用fdisk重新将之分区。在分区时，需要注意的是，根据系统将来运行的需要或过去的经验来估计各个分区的大小，以免将来空间不够。
/dev/hda5 swap swap defaults,pri=5 0 0
/dev/hdc5 swap swap defaults,pri=5 0 0
当然，如果你的系统内存足够大，而你的系统又远远用不了那么多的内存，那也就用不到什么虚存了。分区时你就可以考虑去掉交换分区。不过作为一个Linux服务器，即使你的内存足够大，还是应该设置交换分区。如果有多个硬盘的话，可以在每个硬盘上各开 swap 分区，另外，建议 swap 分区的大小为物理内存的两倍。
2、使用hdparm改善Linux系统性能
如果你的Linux系统运行于IDE硬盘，可以使用hdparm工具来提高磁盘I/O的性能。不过使用hdparm要小心，因为可能破坏硬盘上的数据。所以在使用hdparm之前，仔细阅读你的硬盘手册。根据你具体的硬盘规格来使用相应的hdparm开关参数。对一块UltraATA/66 EIDE 硬盘，其控制芯片支持多 PIO 模式和DMA，我们使用以下命令来调谐磁盘性能：
# /sbin/hdparm -x66 -d1 -u1 -m16 -c3 /dev/hda
选项说明：
① c3 ：就是把硬盘的16位格式转换为32位模式（32-bit mode w/sync）。控制数据如何从pci总线传递到控制器。
② m16 ：改变硬盘的多路扇区的读功能，-m16可以使得硬盘在一次i/o中断中读入16个扇区的数据（据具体硬盘而定）。
③ d1：打开DMA模式。
④ x66 ：在支持UDMA-capable的硬盘中，这个参数可以支持双DMA通道的数据传输模式。
⑤ u1 ：Linux在处理磁盘中断时，可以unmask其他的中断或者响应其他中断相关的任务。
查看以上的更改情况可以使用命令：
# /sbin/hdparm /dev/hda
测试磁盘I/O性能可以使用命令：
# /sbin/hdparm -tT /dev/hda
如果磁盘的性能有改进的话，可以使用以下命令来保存设置：
# /sbin/hdparm -k1 /dev/hda
3、Linux下使用软RAID
RAID（磁盘冗余阵列）是通过将数据分布在多个磁盘上来增强磁盘性能和可靠性的技术。如果你的系统没有硬件RAID控制器的话，在Linux下可以通过软件来实现RAID。RAID的有很多的级别，不同的级别对硬件有不同的要求，相应也会得到不同的性能和可靠性。RAID0为数据分割，数据块被交替写到磁盘，可以得到最好的读写性能，但是不提供数据冗余。RAID1为磁盘镜像，写到磁盘1中的一切也写到磁盘2中，从任何一个磁盘都可以读取。RAID3除了数据分割之外，还指定一个磁盘驱动器来存储奇偶信息。
在LINUX下通过软件来实现RAID， 需要LINUX的内核支持，可以通过编译新内核来添加对RAID的支持。然后还需编译并安装 raidtools 软件包。raidtools 是可以初始化、启动、停止及控制 RAID 阵列的用户级工具。下面是我们用两块IDE硬盘在LINUX内核2.4上实现RAID0的方法。
设置分区 使用RAID0至少需要两个分区，它们位于不同的磁盘。最好做RAID0的两个分区有相同的大小。创建分区时，将分区类型指定为 "FD"。以使 Linux 内核能将它们识别为 RAID 分区，这样，这些分区就可在每次引导时自动被检测并启动。如果您没有以这种方式标记 RAID 分区，则在每次引导之后，必须首先输入 "raidstart --all" 才能挂载 RAID 阵列。我们做成RAID0的两个分区为hda5和hdc5。
编辑/etc/raidtab文件 创建/etc/raidtab文件以描述RAID阵列的配置信息。Linux 内核使用这些信息在引导时自动检测并启动 RAID 阵列，因此必须对创建的每个 RAID 阵列进行这种配置。将分区hda5和hdc5组成md0 RAID0阵列的配置文件如下：
raiddev /dev/md0
raid-level 0
nr-raid-disks 2
persistent-superblock 1
chunk-size 32
device /dev/hda5
raid-disk 0
device /dev/hdc5
raid-disk 1
在raidtab文件中，"raiddev" 条目指明要创建的 RAID 阵列；"nr-raid-disks" 指定阵列中的磁盘数目；"persistent-superblock" 设置为 1，告诉 raid 工具何时创建该卷；"chunk-size" 以K字节指定 RAID0 使用的块大小；最后，要指定的是组成该阵列的设备即分区。
mkraid 和创建文件系统 使用命令"# mkraid /dev/md0" 命令初始化/dev/md0分区，同时将启动md0 RAID0阵列。接下来，即可在md0上创建你想要得文件系统。我们在Linux服务器上使用的是Reiserfs日志文件系统，创建的命令为"# mkreiserfs /dev/md0"。
这样，就可以像其它文件系统那样来加载新创建的基于RAID0的文件系统了。
4 使用elvtune调谐磁盘I/O
在Linux内核2.4以后的版本中，可以通过磁盘I/O的调度操作，来控制磁盘I/O的响应时间和吞吐量。通过调整I/O请求在队列中的最大等待时间，可以在响应时间和吞吐量之间调谐。如果要求较少的响应时间，那么吞吐量将降低，反之，较长的响应时间则可以得到较大的吞吐量。可以使用工具"/sbin/elvtune"来改变最大的响应时间值。使用方法如下：
查看当前的设置
# /sbin/elvtune /dev/hda1
修改当前的配置
# /sbin/elvtune -r 2000 -w 4000 /dev/hda1
其中-r参数针对读操作，-w参数针对写操作.
可以通过命令"iostat -d -x /dev/hda1"得到的平均信息（包括平均请求大小和平均队列长度）来监视以上I/O配置的效果，并调整配置，以得到最佳的性能。一般来讲，对于读写频繁，但操作的数据量较少的Linux服务器，且对实时性要求较高，那么可以将参数调小。反之如果对于读写不频繁，但要求具有较大的吞吐量的Linux服务器，可以将参数调大，以获得较大的吞吐量。

五、文件及文件系统调谐
1、块大小
创建文件系统时，可以指定块的大小。如果将来在你的文件系统中是一些比较大的文件的话，使用较大的块大小将得到较好的性能。将ext2文件系统的块大小调整为4096byte而不是缺省的1024byte，可以减少文件碎片，加快fsck扫描的速度和文件删除以及读操作的速度。另外，在ext2的文件系统中，为根目录保留了5%的空间，对一个大的文件系统，除非用作日志文件，5%的比例有些过多。可以使用命令
# mke2fs -b 4096 -m 1 /dev/hda6
将它改为1%并以块大小4096byte创建文件系统。
使用多大的块大小，需要根据你的系统综合考虑，如果系统用作邮件或者新闻服务器，使用较大的块大小，虽然性能有所提高，但会造成磁盘空间较大的浪费。比如文件系统中的文件平均大小为2145byte，如果使用4096byte的块大小，平均每一个文件就会浪费1951byte空间。如果使用1024byte的块大小，平均每一个文件会浪费927byte空间。在性能和磁盘的代价上如何平衡，要看具体应用的需要。
2 不使用atime属性
当文件被创建，修改和访问时，Linux系统会记录这些时间信息。记录文件最近一次被读取的时间信息，当系统的读文件操作频繁时，将是一笔不少的开销。所以，为了提高系统的性能，我们可以在读取文件时不修改文件的atime属性。可以通过在加载文件系统时使用notime选项来做到这一点。当以noatime选项加载（mount）文件系统时，对文件的读取不会更新文件属性中的atime信息。设置noatime的重要性是消除了文件系统对文件的写操作，文件只是简单地被系统读取。由于写操作相对读来说要更消耗系统资源，所以这样设置可以明显提高服务器的性能。注意wtime信息仍然有效，任何时候文件被写，该信息仍被更新。
比如在你的系统中，要为/home文件系统设置notime选项，可以修改/etc/fstab文件相应的行如下：
LABEL=/home /home ext2 noatime 1 2
要使该设置立即生效，可运行命令"#mount -oremount /home"。这样以后系统读取/home下的文 件时将不会再修改atime属性。
3 调整缓冲区刷新参数
Linux内核中，包含了一些对于系统运行态的可设置参数。缓冲刷新的参数可以通过调整 /proc/sys/vm/bdflush文件来完成，这个文件的格式是这样的：
# cat /proc/sys/vm/bdflush
30 64 64 256 500 3000 60 0 0
每一栏是一个参数，其中最重要的是前面几个参数。第一个数字是在"dirty"缓冲区达到多少的时候强制唤醒bdflush进程刷新硬盘，第二个数字是每次让bdflush进程刷新多少个dirty块。所谓dirty块是必须写到磁盘中的缓存块。接下来的参数是每次允许bd flush将多少个内存块排入空闲的缓冲块列表。 以上值为RedHat Linux 7.1中的缺省值。如何修改它们呢？对不同的系统有以下两种方法
（1）# echo "100 128 128 512 5000 3000 60 0 0">/proc/sys/vm/bdflush 并将这条命令加到/etc/rc.d/rc.local文件中去。
（2）在/etc/sysctl.conf 文件中加入如下行: vm.bdflush = 100 128 128 512 5000 3000 60 0 0
以上的设置加大了缓冲区大小，降低了bdflush被启动的频度，同时也增加了万一系统崩溃丢失数据的危险性。VFS的缓冲刷新是Linux文件系统高效的重要原因之一，如果性能对你真的很重要，应该考虑调整这个参数。
4 调整文件句柄数和i-节点数
在一个大型的网站服务器其中，可能Linux默认的同时可打开最大文件数不能满足系统需要，我们可以通过调整文件句柄数和i-节点数来增加系统的缺省的限制。不同的Linux内核版本有不同的调整方法。
在Linux内核2.2.x中可以用如下命令修改：
# echo '8192' > /proc/sys/fs/file-max
# echo '32768' > /proc/sys/fs/inode-max
并将以上命令加到/etc/rc.c/rc.local文件中，以使系统每次重新启动时配置以上值。
在Linux内核2.4.x中需要修改源代码，然后重新编译内核才生效。编辑Linux内核源代码中的 include/linux/fs.h文件，将 NR_FILE 由8192改为 65536，将NR_RESERVED_FILES 由10 改为 128。编辑fs/inode.c 文件将 MAX_INODE 由16384改为262144。
一般情况下，最大打开文件数比较合理的设置为每4M物理内存256，比如256M内存可以设为16384，而最大的使用的i节点的数目应该是最大打开文件数目的3倍到4倍。
5 使用内存文件系统
在Linux中可以将一部分内存当作分区来使用，我们称之为RamDisk。对于一些经常被访问的文件，而它们又不会被更改，可以将它们通过RamDisk放在内存中，即可明显地提高系统的性能。当然你的内存可要足够大了。RamDisk有两种，一种可以格式化，加载，在Linux内核2.0/2.2就已经支持，其不足之处是大小固定。另一种是内核2.4才支持的，通过Ramfs或者tmpfs来实现，它们不能被格式化，但是用起来灵活，其大小随所需要的空间而增加或减少。这里主要介绍一下Ramfs和Tmpfs。
Ramfs顾名思义是内存文件系统，它工作于虚拟文件系统（VFS）层。不能格式化，可以创建多个，在创建时可以指定其最大能使用的内存大小。如果你的Linux已经将Ramfs编译进内核，你就可以很容易地使用Ramfs了。创建一个目录，加载Ramfs到该目录即可。
# mkdir -p /RAM1
# mount -t ramfs none /RAM1
缺省情况下，Ramfs被限制最多可使用内存大小的一半。可以通过maxsize（以kbyte为单位）选项来改变。
# mkdir -p /RAM1
# mount -t ramfs none /RAM1 -o maxsize=10000
以上即创建了一个限定了最大使用内存大小为10M的ramdisk。
Tmpfs是一个虚拟内存文件系统，它不同于传统的用块设备形式来实现的ramdisk，也不同于针对物理内存的Ramfs。Tmpfs可以使用物理内存，也可以使用交换分区。在Linux内核中，虚拟内存资源由物理内存（RAM）和交换分区组成，这些资源是由内核中的虚拟内存子系统来负责分配和管理。Tmpfs就是和虚拟内存子系统来"打交道"的，它向虚拟内存子系统请求页来存储文件，它同Linux的其它请求页的部分一样，不知道分配给自己的页是在内存中还是在交换分区中。Tmpfs同Ramfs一样，其大小也不是固定的，而是随着所需要的空间而动态的增减。使用tmpfs，首先你编译内核时得选择"虚拟内存文件系统支持（Virtual memory filesystem support）" ，然后就可以加载tmpfs文件系统了。
# mkdir -p /mnt/tmpfs
# mount tmpfs /mnt/tmpfs -t tmpfs
为了防止tmpfs使用过多的内存资源而造成系统的性能下降或死机，可以在加载时指定tmpfs文件系统大小的最大限制。
# mount tmpfs /mnt/tmpfs -t tmpfs -o size=32m
以上创建的tmpfs文件系统就规定了其最大的大小为32M。不管是使用ramfs还是tmpfs，必须明白的是，一旦系统重启，它们中的内容将会丢失。所以那些东西可以放在内存文件系统中得根据系统的具体情况而定。
6 使用日志文件系统
如果Linux系统由于意外情况而没有正常关机，则可能引起文件系统中某些文件的元数据（meta-data即和文件有关的信息，例如：权限、所有者以及创建和访问时间）遭到破坏。文件系统需要维护文件的元数据来保证文件的可组织和可存取，如果元数据处于不合理或不一致的状态，那么就不能访问和存取文件。当系统重新启动时，fsck将扫描/etc/fstab文件中所列出的所有文件系统，确保它们的元数据处于可用的状态。如果发现元数据不一致，fsck将扫描和检测元数据，并纠正错误。如果文件系统很大，这个过程将需要很长的时间。为解决这个问题，可以使用日志文件系统。日志文件系统用独立的日志文件跟踪磁盘内容的变化，在写入文件内容的同时写入文件的元数据。每次修改文件的元数据时，都要先向称为"日志"的数据结构登记相应的条目。这样，日志文件系统就维护了最近更改的元数据的记录。当加载日志文件系统时，如果发现了错误，不会扫描整个文件系统的元数据，而是根据日志检查最近被更改的元数据。所以相对于传统的文件系统（如ext2），日志文件系统大大地加快了扫描和检测的时间。
Linux下可用的日志文件系统很多，如XFS，JFS，Reiserfs，ext3等等。日志文件系统主要被设计为服务器环境提供出色性能和高可用性。当然， Linux 工作站和家用机器也可从具有高性能的可靠日志文件系统中获益。安装日志文件系统，一般需要下载相应的压缩包、为内核打补丁、重新配置和重新编译内核。 详细的安装过程可访问相应文件系统的官方网站。
新版本的 Linux 都支持日志文件系统，这类文件系统不仅提供文件完整性上快速恢复，在读写速度上也较普通的 ext2 文件系统有很大提升。
文件的最后存取时间，对很多人来说没有任何用处，因此，我们可以关闭操作系统记录文件最后存取时间的功能，修改： /etc/fstab ：
把 dev/hda6 /home ext2 defaults 1 2
改为：
/dev/hda6 /home ext2 defaults,noatime 1 2

六、关闭多余的虚拟控制台
我们知道从控制台切换到 X 窗口，一般采用 Alt-F7 ，为什么呢？因为系统默认定义了 6 个虚拟控制台，所以 X 就成了第7个。实际上，很多人一般不会需要这么多虚拟控制台的，修改
/etc/inittab ，注释掉那些你不需要的。
# Run gettys in standard runlevels
1:2345:respawn:/sbin/mingetty tty1
2:2345:respawn:/sbin/mingetty tty2
3:2345:respawn:/sbin/mingetty tty3
#4:2345:respawn:/sbin/mingetty tty4
#5:2345:respawn:/sbin/mingetty tty5
#6:2345:respawn:/sbin/mingetty tty6

七、进程限制“ulimit”参数
Linux对于每个用户，系统限制其最大进程数。可以在用户根目录下的“.bashrc”文件或者实际使用与“.bashrc”功能相当的shell的脚本中加入这种限制。为提高性能，可以设置超级用户root的最大进程数为无限。编辑“.bashrc”文件（例如：vi /root/.bashrc）并加入下面一行：
ulimit -u unlimited
然后退出，重新登录。为了验证，可以以root身份登录，然后键入： “ulimit –a”，在最大用户进程数一项中应该显示“unlimited”，例如：
[root@deep]# ulimit -a
core file size (blocks) 1000000
data seg size (kbytes) unlimited
file size (blocks) unlimited
max memory size (kbytes) unlimited
stack size (kbytes) 8192
cpu time (seconds) unlimited
max user processes unlimited * this line.
pipe size (512 bytes) 8
open files 1024
virtual memory (kbytes) 2105343
注意：你可能更倾向于在命令行键入“unlimit –u”而不是把它加入到文件“/root/.bashrc”中。但为保险起见，建议还是把它加入文件“/root/.bashrc”中。
一些更改用户限制的例子如下：
ulimit -n 4096 将每个进程可以打开的文件数目加大到4096，缺省为1024
ulimit -m 4096 限制每个进程使用的内存数。

八、其它方面的优化
1 调谐buffermem
文件buffermen和内核虚拟内存子系统密切相关。文件/proc/sys/vm/buffermem控制多大内存被用于缓冲区（百分数表示）。内核2.4的缺省值为：: "2 10 60"。可以按如下方法修改：
# echo "70 10 60" >/proc/sys/vm/buffermem
并将之加到脚本文件/etc/rc.d/rc.local 中。或者在/etc/sysctl.conf文件中加入
vm.buffermem = 70 10 60
第一个参数 70意味着至少分配70%的内存用作缓冲区。后两个参数保持系统的默认值。第一个参数设置为多大合适，依赖于系统的内存大小和系统高负载时内存的使用情况（可用free监视）。
2 关闭 X 相关的软件
除非有必要否则不要安装图形界面，如果安装了把机器启动后的缺省界面为 Console ：
修改： /etc/inittab 把
id:5:initdefault:
修改为：
id:3:initdefault:

结论：
系统优化的哲学可以简单的归结为四个字：“少就是多”；只运行那些你需要的服务，使用正确的应用来完成任务，使用命令行方式，只有充分精简了你的系统后，你的系统性能才能充分发挥。Linux是一个灵活而又开放的系统。用户可以针对具体的应用环境，从系统的外围到系统的 内核进行调谐。系统的外围的调谐包括系统硬件的配置到系统安装和系统服务的优化等。系统内核的调谐包括参数的修改和改进系统的源代码。我们除了针对系统内外的调谐之外，还应该针对不同的应用进行调谐，比如我们在针对用作mysql数据库服务器的Linux系统的调谐中，针对mysql数据库的特点，按照本文的各个调谐方面外，另外还包括网络的调谐，对应用系统性能进行了综合调谐等。同样针对不同应用要做不同的调整，比如apache，oracle，mysql，informix等等。

首先，你要修改你的/etc/fstab文件：
LABEL=/     /      ext3    defaults      1 1
改为：
LABEL=/     /      ext3    defaults,usrquota      1 1
或者改为：
LABEL=/     /      ext3    defaults,grpquota      1 1
usrquota是基于用户的磁盘配额，grpquota是基于组的磁盘配额，怎么改就看你需要了。
之后你或者重新启动一下，或者remount一下(mount -o remount / )。

第二，在 / 中建立aquota.user或aquota.grup，这两个文件要建立在你要实现配额的顶级目录，所谓定级目录，就是￣￣咋解释呢？就是比如你要在 / 上实现配额，就要在 / 下建立aquota.user或者aquota.grup；如果你要在/home上实现配额（当然你的/home应该是一个独立的磁盘分区），就在/home下建立这两个文件中的一个。用touch命令建立就可以了，touch aquota.user或aquota.srup。但这时建立好的文件是空的，不符和系统的需要。所以执行下一步。

第三，用quotacheck -mc /  将这两个文件(aquota.user或aquota.grup)格式化。
        注意一下，除非是/分区，一般不用加-m参数，比如你要在/home上实现配额（当然你的/home应该是一个独立的磁盘分区）就：quotacheck -c /home  就可以了。
-m的意思是强迫在“读、写”模式下检查硬盘的配额。

第四，quotaon /        启动磁盘配额。

第五，edquota 用户名/组名       设置用户/组的配额
        例如：edquota user_name
              edquota -g group_name （对于用户组）
        执行后会打开一个vi编辑窗口。可以设置磁盘空间和节点数目的配额。其中soft只是起到警告的作用，并不会真正的限制用户／组。hard就会强制限制用户／组的磁盘空间和节点数目了。

第六，设定soft quota和hard quota之间的时间:
        edquota -t
出现一个 vi 窗口：
Grace period before enforcing soft limits for users:
Time units may be: days, hours, minutes, or seconds
Filesystem Block grace period Inode grace period
/dev/hda7 7days 7days
按照自己的需要修改吧。重新启动就可以了。磁盘限额就生效了。

第七，如果要成批的复制相同的磁盘配额给不通用户：
        edquota -p user user1 user2 user3
        edquota -g -p group group1 group2 group3

第八，取消磁盘限额：
        quotaoff /

转自CU

vi /etc/sysctl.conf

#如果该文件为空，则输入以下内容，否则请根据情况自己做调整：

# Controls source route verification
# Default should work for all interfaces
net.ipv4.conf.default.rp_filter = 1
# net.ipv4.conf.all.rp_filter = 1
# net.ipv4.conf.lo.rp_filter = 1
# net.ipv4.conf.eth0.rp_filter = 1

# Disables IP source routing
# Default should work for all interfaces
net.ipv4.conf.default.accept_source_route = 0
# net.ipv4.conf.all.accept_source_route = 0
# net.ipv4.conf.lo.accept_source_route = 0
# net.ipv4.conf.eth0.accept_source_route = 0

# Controls the System Request debugging functionality of the kernel
kernel.sysrq = 0

# Controls whether core dumps will append the PID to the core filename.
# Useful for debugging multi-threaded applications.
kernel.core_uses_pid = 1

# Increase maximum amount of memory allocated to shm
# Only uncomment if needed!
# kernel.shmmax = 67108864

# Disable ICMP Redirect Acceptance
# Default should work for all interfaces
net.ipv4.conf.default.accept_redirects = 0
# net.ipv4.conf.all.accept_redirects = 0
# net.ipv4.conf.lo.accept_redirects = 0
# net.ipv4.conf.eth0.accept_redirects = 0

# Enable Log Spoofed Packets, Source Routed Packets, Redirect Packets
# Default should work for all interfaces
net.ipv4.conf.default.log_martians = 1
# net.ipv4.conf.all.log_martians = 1
# net.ipv4.conf.lo.log_martians = 1
# net.ipv4.conf.eth0.log_martians = 1

# Decrease the time default value for tcp_fin_timeout connection
net.ipv4.tcp_fin_timeout = 25

# Decrease the time default value for tcp_keepalive_time connection
net.ipv4.tcp_keepalive_time = 1200

# Turn on the tcp_window_scaling
net.ipv4.tcp_window_scaling = 1

# Turn on the tcp_sack
net.ipv4.tcp_sack = 1

# tcp_fack should be on because of sack
net.ipv4.tcp_fack = 1

# Turn on the tcp_timestamps
net.ipv4.tcp_timestamps = 1

# Enable TCP SYN Cookie Protection
net.ipv4.tcp_syncookies = 1

# Enable ignoring broadcasts request
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Enable bad error message Protection
net.ipv4.icmp_ignore_bogus_error_responses = 1

# Make more local ports available
# net.ipv4.ip_local_port_range = 1024 65000

# Set TCP Re-Ordering value in kernel to ‘5′
net.ipv4.tcp_reordering = 5

# Lower syn retry rates
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 3

# Set Max SYN Backlog to ‘2048′
net.ipv4.tcp_max_syn_backlog = 2048

# Various Settings
net.core.netdev_max_backlog = 1024

# Increase the maximum number of skb-heads to be cached
net.core.hot_list_length = 256

# Increase the tcp-time-wait buckets pool size
net.ipv4.tcp_max_tw_buckets = 360000

# This will increase the amount of memory available for socket input/output queues
net.core.rmem_default = 65535
net.core.rmem_max = 8388608
net.ipv4.tcp_rmem = 4096 87380 8388608
net.core.wmem_default = 65535
net.core.wmem_max = 8388608
net.ipv4.tcp_wmem = 4096 65535 8388608
net.ipv4.tcp_mem = 8388608 8388608 8388608
net.core.optmem_max = 40960

如果希望屏蔽别人 ping 你的主机，则加入以下代码：

# Disable ping requests
net.ipv4.icmp_echo_ignore_all = 1

编辑完成后，请执行以下命令使变动立即生效：

/sbin/sysctl -p
/sbin/sysctl -w net.ipv4.route.flush=1

例

net.ipv4.tcp_fin_timeout = 30
net.ipv4.tcp_max_syn_backlog = 10240
net.ipv4.tcp_keepalive_time = 1800
net.ipv4.tcp_synack_retries = 3
net.ipv4.tcp_syn_retries = 3
net.ipv4.tcp_max_orphans = 81920
net.ipv4.tcp_max_tw_buckets = 38000
net.ipv4.tcp_window_scaling = 0
net.ipv4.tcp_sack = 0
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_syncookies = 1

1.查看系统Swap空间使用

[root@jumper usr]# free
             total       used       free     shared    buffers     cached
Mem:        513980     493640      20340          0     143808     271780
-/+ buffers/cache:      78052     435928
Swap:      1052248      21256    1030992

2.在空间合适处创建swap文件

[root@jumper usr]# mkdir swap
[root@jumper usr]# cd swap
[root@jumper swap]# dd if=/dev/zero of=swapfile bs=1024 count=10000
10000+0 records in
10000+0 records out
[root@jumper swap]# ls -al
total 10024
drwxr-xr-x    2 root     root         4096  7月 28 14:58 .
drwxr-xr-x   19 root     root         4096  7月 28 14:57 ..
-rw-r--r--    1 root     root     10240000  7月 28 14:58 swapfile

[root@jumper swap]# mkswap swapfile
Setting up swapspace version 1, size = 9996 KiB

3.激活swap文件
[root@jumper swap]# swapon swapfile
[root@jumper swap]# ls -l
total 10016
-rw-r--r--    1 root     root     10240000  7月 28 14:58 swapfile
[root@jumper swap]# free
             total       used       free     shared    buffers     cached
Mem:        513980     505052       8928          0     143900     282288
-/+ buffers/cache:      78864     435116
Swap:      1062240      21256    1040984

mrtg+snmp note (06/01/02)

require
net-snmp
net-snmp-devel
mrtg
gd
zlib
libpng

modify snmpd.conf

增加
com2sec notConfigUser  default       user
view    mib2 included .iso.org.dod.internet.mgmt.mib-2 fc

修改(原来一行注释,否则在生成cfg时没网卡信息)
access  notConfigGroup ""      any       noauth    exact  mib2 none none

install mrtg
./configure --prefix=/usr/local/mrtg --with-gd=/ --with-zlib=/ --with-png=/;make;mkae install

mkdir /www/web/mrtg
cp images/* /www/web/mrtg

config
cd /path
./cfgmaker --global "WorkDir: /www/web/mrtg" --global "Options[_]: bits,growright" --output=/www/web/mrtg/mrtg.cfg --community=
user user@ip_addr(ip)

vi /www/web/web/mrtg将
# for UNIX
#WorkDir: /www/web/web/mrtg

改为
# for UNIX
WorkDir: /var/www/html/mrtg
将
#Options[_]: growright, bits前面的#也去掉，靠左对齐
Options[_]: growright, bits

make index
./indexmaker /www/web/mrtg/mrtg.cfg --output /www/web/mrtg/index.htm --title="server tranffic statistic"

start
./mrtg /www/web/mrtg/mrtg.cfg (start to three time)

crontab
*/5 * * * * root /usr/local/mrtg/bin/mrtg /www/web/mrtg/mrtg.cfg

check snmpd
snmpwalk -v 1 127.0.0.1  -c ads8 system

test snmpd
snmpwalk -v 2c IP -c user

note
配置文件(mrtg.cfg)的存放问题
增加CPU,内在,IO等监控

可能的问题
snmpd无法启动,主要是REL4或FC4后的selinux原因,修改/etc/selinux/config

snmpwalk -v 2c IP -c user,无响应,是没装net-snmp-devel

还有一点,就是selinux,也很关键.浪费了我一半天时间.

soft
mrtg
http://oss.oetiker.ch/mrtg/pub/?M=D
http://oss.oetiker.ch/mrtg/pub/mrtg-2.14.7.tar.gz

http://rpmfind.net 下载安装 net-snmp/net-snmp-devel
gd   
snmpd

提示无snmpwalk命令时，安装下面的包
net-snmp-utils