【51CTO独家特稿】笔者目前是一位外企linux/unix系统工程师与项目实施工程师,而FreeBSD一直作为我们企业内部的开发服务器,具有稳定和高效的特
点。本文根据笔者经验总结了十四条FreeBSD的优化策略。如无其它,以下所指FreeBSD均指FreeBSD 8.0_release。
一、提高ports安装速度
FreeBSD中的ports安装工具默认工具是用fetch,下载时经常出现龟速现象。为了提高ports安装速度,我推荐axel工具。相关make.conf文件配置步骤如下:
以上路径是为了用速度比较快的网站代替程序默认的下载源,达到加速的目的。配置成功后,享受axel带来的极速快感吧。
- cd /usr/ports/ftp/axel
- make install
- #修改/et/make.conf
- vi /etc/make.conf
- #加入以下内容
- FETCH_CMD=axel
- FETCH_BEFORE_ARGS= -n 10 -a
- FETCH_AFTER_ARGS=
- DISABLE_SIZE=yes
- MASTER_SITE_OVERRIDE?=\
- http://ports.hshh.org/${DIST_SUBDIR}/\
- http://ports.cn.freebsd.org/${DIST_SUBDIR}/\
- ftp://ftp.freeBSDchina.org/pub/FreeBSD/ports/distfiles/${DIST_SUBDIR}/
- MASTER_SITE_OVERRIDE?=${MASTER_SITE_BACKUP}
二、安装vim编辑器
工欲善其事,必先利其器。用了段时间后的FreeBSD,居然发现没有vim,我还是习惯使用Linux下的vim,先安装vim后再工作吧。安装方法如下:
①如果安装了X Windows
②如果没安装X Windows,则可安装vim7.2+ruby,Ruby是一门面向对象的服务器脚步语言,相当与Perl。
- cd /usr/ports/editors/vim6
- make install
③还可采用pkd_add的方式安装
- cd /usr/ports/editors/vim6+ruby
- make -DWITHOUT_X11 install clean
pkg_add -r -v vim-lite
成功安装完vim后配置下vim,让其有语法检查及颜色显示等功能。
三、配置远程连接工具
- #echo "syntax on">>/root/.vimrc
- #echo "alias vi vim" >>/root/.cshrc
我使用的远程连接工具是Xmanager3.0企业版,因为习惯了Linux的颜色显示,这里将其改成与linux一致:
- #vim /etc/csh.cshrc
- #加入如下
- setenv LSCOLORS ExGxFxdxCxegedabagExEx
- setenv CLICOLOR yes
- source /etc/csh.cshrc
四、列出无法补齐的候选文件
想要让FreeBSD的csh像bash那样按tab列出无法补齐的候选文件,标准的方法是按Ctrl+D。但如果一定要用tab的话,在/etc/csh.cshrc中加入:
set autolist
五、使用portsnap升级port的目录树
我们使用portsnap,首先要设置一下它的配置文件/etc/portsnap.conf:
把SERVERNAME=portsnap.freebsd.org
- [root@bsd01 /usr/ports]# vi /etc/portsnap.conf
修改成:
SERVERNAME=portsnap.hshh.org
在你的freebsd首次使用portsnap必须执行下面2步:
这2步可以合成使用:
- [root@bsd01 ~]# portsnap fetch
- [root@bsd01 ~]# portsnap extract
portsnap fecth是从网上获取portsnap快照的最新压缩包,听闻这个压缩包官方每小时更新一次。
- [root@bsd01 ~]# portsnap fetch extract
portsnap extract 则是把这个压缩包创立到/usr/ports。哪怕你以前已经手工安装了ports,他也会重新创立一次。
以后更新,只需要执行下面2步:
这2步可以合成使用:
- [root@bsd01 ~]# portsnap fetch
- [root@bsd01 ~]# portsnap update
portsnap第一次运行extract命令时,可能需要一段时间,以后更新使用update的时候,速度就块很多了。
- [root@bsd01 ~]# portsnap fetch update
六、系统内核级优化+防止ddos
根据某位unix前辈的观点:本来就很好,加加更健康。加载文件修改方法如下:
解释:
- # vim /boot/loader.conf加入如下文本
- kern.dfldsiz="2147483648"
- kern.maxdsiz="2147483648"
- kern.ipc.nmbclusters="0"
- kern.ipc.nsfbufs="66560"
a、第一、二行主要是为了突破1G内存设置的。
b、第三行其实是bsd的一个bug,当系统并发达到一个数量级的时候,系统会crash,这个是非常糟糕的事情。所幸更改了这个参数后,在高并发的时候,基本可以没有类似情况,当然非常bt的情况,还得进一步想办法。
c、第四行是读取的文件数,如果你下载的文件比较大,且比较多,加大这个参数,是非常爽的。
Sysctl修改方法如下:
- #vi /etc/rc.local
- sysctl kern.ipc.maxsockets=100000 ##增加并发的socket,对于ddos很有用
- sysctl kern.ipc.somaxconn=65535 ##打开文件数
- sysctl net.inet.tcp.msl=2500 ##timeout时间
七、FreeBSD的pf防火墙
众所周知,FreeBSD的ipfw是移植自OPENBSD的防火墙,其强大我这里就不多说了。因为其用途主要用于内部开发,所以我这里就是关闭了 防火墙,pfctl -d。在对外实施项目的过程中发现,Linux下的iptables及FreeBSD的ipfw均不可能防DDOS攻击,所以在安全方面我就转向于硬件防 火墙,而将iptables和ipfw主要用于内网NAT路由器这块。
这里简单介绍下ipfw的语法吧:
pfctl -e #启动ipfw防火墙 pfctl -d #停止ipfw防火墙 pfctl -sa | grep Status #查看状态 pfctl -f /etc/pf.conf #载入 pf.conf 文件 pfctl -nf /etc/pf.conf #检查配置文件错误,但不载入 pfctl -Nf /etc/pf.conf #只载入文件中的NAT规则 pfctl -Rf /etc/pf.conf #只载入文件中的过滤规则 pfctl -sn #显示当前的NAT规则 pfctl -sr #显示当前的过滤规则 pfctl -ss #显示当前的状态表 pfctl -si #显示过滤状态和计数 pfctl -sa #显示任何可显示的 pfctl -t http_table -T show #查看动态表 pfctl -t http_table -T add 192.168.1.X #添加一个IP到表 pfctl -t http_table -T del 192.168.1.X #从表中删除IP
八、运行新安装的命令
FreeBSD 8.0的cshell会缓存环境变量PATH中指定的目录里的可执行文件,以加快查找速度,这会造成一些新安装的命令无法运行,最典型的例子就是刚安装的vim居然提示找不到命令。用如下命令解决问题:
rehash
感觉此习惯跟linux下用locate查找某文件比较类似。linux下一般也会在安装前软件后用updatedb来更新文件最新数据库,然后用locate命令令其生效。
九、进行安全的远程登录
很多人会修改/etc/ssh/sshd_config文件,以便让root远程登陆FreeBSD服务器,但这样做是极不安全的,建议还是添加一个wheel组的用户,然后再su – root更为安全。
十、检查网络流量是否异常
- PermitRootLogin yes #允许root登录
- PermitEmptyPasswords no #不允许空密码登录
- PasswordAuthentication yes #设置是否使用口令验证
如果你感觉你的网络流量异常,可采用如下方法来检查排障:
systat -if 1
1表示1秒刷新屏幕一次,Traffic流量平均值,peak 峰值,total流量总值,很实用的命令;缺省情况下systat是报告处理器的使用率,包括总利用状态、空闲使用率和各个进程的使用率。通过指定参 数,systat也能进行I/O的统计、虚存的统计、网络的统计等。
十一、查看FreeBSD服务器的一些基础情况和信息
①查看CPU:
- sysctl hw.model hw.ncpu
- dmesg | grep "CPU:"
- dmesg | grep "real memory" | awk -F '[( )]' '{print $2,$4,$7,$8}'
- top | grep "Swap:" | awk '{print $1,$2}'
- diskinfo -vt /dev/ad0
- dmesg | grep "sector" | awk '{print $1,$2}'
- df -h
- dmesg | grep "ACPI APIC"
- uname -a
- mail# uname -a
- FreeBSD mail.cn7788.com 8.0-RELEASE FreeBSD 8.0-RELEASE #0: Sat Nov 21 15:48:17 UT
许多公司和开发人员只为Linux开发程序,因为这是目前计算机世界最热门的技术;这时FreeBSD能够做什么呢,答案就是使用FreeBSD所提供的Linux二进制兼容性,方法是:
- kldstat linux
- linux_enable="YES"
- mail# kldstat
- Id Refs Address Size Name
- 1 1 0xc0400000 b6dfe0 kernel
十三、有关于FreeBSD的网络配置
虽然sysinstall也能修改主机的网络相关,但修改完网卡的相关参数后sysinstall会提示Would you liketo bring the le0 interface up right now?(你想让le0生效吗?)但我兴冲冲的执行此步后,发现新改的网卡参数并没重新重奖;所以我建议修改/etc/rc.conf文件后用命令使其立 即生效。
- vim /etc/rc.conf
- hostname="mail.bolaninfo.com"
- ifconfig_le0="inet 192.168.1.108 netmask 255.255.255.0"
- defaultrouter="192.168.1.1"
- #defaultrouter是网关地址
- sh /etc/rc
- #vim /etc/resolv.conf
- nameserver 210.5.4.116
- nameserver 210.51.176.71
- #vim /etc/hosts
- 192.168.1.100 HA1
- 192.168.1.101 HA2
在用Freebsd作LVS后端的web集群时,发现用其作的lvs脚本比linux简单多了,尤其是arp抑制。脚本如下:
- mail# vim /usr/local/bin/lvs_real_bsd
- #!/usr/local/bin/bash
- #description : start realserver
- VIP=192.168.1.188
- case "$1" in
- start)
- echo " start LVS of REALServer"
- /sbin/ifconfig lo0 $VIP netmask 255.255.255.255 alias -arp up
- ;;
- stop)
- /sbin/ifconfig lo0 alias down
- echo "close LVS Directorserver"
- /sbin/ifconfig lo0 127.0.0.1 arp up
- ;;
- *)
- echo "Usage: $0 {start|stop}"
- exit 1
- esac
No comments:
Post a Comment