安装 openEuler 22.04 后，这11项优化配置值得一做

系统装好，只是第一步。想让你的 openEuler 服务器既安全又高效，后续的优化配置必不可少。今天，我们就以 openEuler 22.04 为例，梳理一份安装完成后建议执行的优化清单，帮你把系统调整到最佳状态。

1. 更新系统软件包

系统安装后的第一件事是什么？没错，就是更新。这能确保所有软件包都处于最新状态，及时修补安全漏洞，避免潜在的兼容性问题。一条命令就能搞定：

dnf update -y

此外，如果你计划进行开发或需要编译内核模块，不妨顺手把常用的开发工具和内核头文件也装上：

sudo dnf groupinstall "Development Tools" -y
sudo dnf install kernel-devel kernel-headers -y

2. 配置 EPEL 和 openEuler 源

默认的软件源有时可能不够用。为了获取更丰富的软件包，建议添加 EPEL（企业版 Linux 额外软件包）源。执行以下命令即可：

curl -o /etc/yum.repos.d/epel-OpenEuler.repo https://down.whsir.com/downloads/epel-OpenEuler.repo

至于软件源镜像，openEuler作为国产系统，默认的下载速度通常不错，不一定需要更换。如果你在使用其他国外发行版时遇到速度瓶颈，可以参考网络教程，将其替换为清华、阿里云或中科大等国内镜像源，这里就不展开细说了。

3. 配置防火墙

安全无小事，防火墙是服务器的第一道防线。openEuler 默认使用 firewalld 进行管理。一个稳妥的做法是：先启用防火墙，再按需开放业务端口。比如，确保 SSH 能连接，并开放 Web 或数据库服务的端口：

sudo systemctl enable firewalld --now
sudo firewall-cmd --permanent --add-service=ssh
sudo firewall-cmd --permanent --add-port=8080/tcp
sudo firewall-cmd --permanent --add-port=3306/tcp
sudo firewall-cmd --reload

配置完成后，别忘了查看一下规则是否生效：

sudo firewall-cmd --list-all

4. 配置 SELinux

SELinux 这套强制访问控制机制，能极大地增强安全性，但有时也会给应用配置带来挑战。你可以根据实际需求灵活调整其状态：

sudo setenforce 1  # 开启 SELinux（强制模式）
sudo setenforce 0  # 关闭 SELinux（宽松模式）

如果希望设置永久生效，直接编辑 /etc/selinux/config 文件，将 SELINUX 的值改为 enforcing（强制）、permissive（宽松）或 disabled（关闭）即可。对于很多追求简化管理的场景，选择关闭的情况并不少见。

5. 添加必要的用户和权限

长期使用 root 用户操作风险很高。最佳实践是创建一个专属的普通用户，并授予其 sudo 权限，以便在需要时执行管理任务：

useradd myuser
passwd myuser
# 将用户加入 wheel 组，即可使用 sudo 命令
usermod -aG wheel myuser

6. 调整 SSH 远程访问策略和优化

SSH 是管理服务器的生命线，其安全配置至关重要。默认设置允许 root 直接登录，这通常是个隐患。建议禁用 root 登录，并考虑修改默认端口。

编辑 /etc/ssh/sshd_config 文件，进行如下调整：

# 修改默认 SSH 端口（可选，但建议）
Port 2222
# 禁止 root 远程登录（根据安全要求决定）
PermitRootLogin no
# 关闭GSSAPI认证，可加速登录
GSSAPIAuthentication no
# 关闭DNS反向解析，防止连接延迟
UseDNS no

保存后，重启 SSH 服务让配置生效：

sudo systemctl restart sshd

7. 系统的命令提示符优化

这个纯属“美容”项目，但一个色彩分明、信息清晰的命令提示符，确实能让长时间的命令行工作舒服不少。你可以通过修改 /etc/profile 文件来实现：

vim /etc/profile
# 在文件末尾添加以下代码
export PS1='[\[\e[32;1m\]\u@\[\e[33;1m\]\h\[\e[34;1m\] \W\[\e[0m\]]\$ '
source /etc/profile

配置完成后，终端立刻会变得醒目许多，效果类似下图：

8. 配置时间同步

服务器时间不准，可能会引发日志混乱、证书验证失败等一系列问题。因此，配置时间同步是基础中的基础。

dnf install ntpdate -y
ntpdate time.windows.com

执行后，可以用 date 命令检查是否已与互联网时间同步。需要提醒的是，如果服务器处于内网环境，请将其指向公司内部的时钟服务器 IP 地址。

9. 优化内核参数

针对服务器角色，微调内核参数能有效提升网络性能和系统稳定性。编辑 /etc/sysctl.conf 文件，加入或修改如下参数：

# 启用 SYN Cookie，防御 SYN 泛洪攻击
net.ipv4.tcp_syncookies = 1
# 增大 TCP SYN 队列，提升并发连接处理能力
net.ipv4.tcp_max_syn_backlog = 2048
# 增加系统可打开的文件句柄总数，应对高并发场景
fs.file-max = 2097152
# 降低系统使用 Swap 的倾向，优先使用物理内存
vm.swappiness = 10
# 开启 IP 转发（如需做路由器或 NAT 则启用）
net.ipv4.ip_forward = 1

保存退出后，执行以下命令让配置立即生效：

sudo sysctl -p

10. 配置日志管理

日志是排查问题的黄金线索，但若放任不管，它也可能撑爆你的磁盘。使用 logrotate 工具可以实现日志的自动轮转、压缩和清理。

首先安装它：

sudo dnf install logrotate -y

然后，根据需要编辑 /etc/logrotate.conf 或其子目录下的配置文件。例如，为系统消息日志配置一个保留7天的策略：

/var/log/messages {
    rotate 7
    daily
    compress
    missingok
    notifempty
}

11. 安装必要的软件工具

工欲善其事，必先利其器。最后，别忘了安装一套趁手的系统管理和维护工具包，它们能在日常运维中帮你大忙：

sudo dnf install vim git htop net-tools wget curl lsof -y

至此，一套从安全、性能到易用性的基础优化配置就完成了。当然，每项配置都需要根据你的具体业务场景做最终裁定，但这套组合拳打下来，你的 openEuler 服务器已经拥有了一个坚实可靠的起点。