Ubuntu系统微调指南：从基础配置到深度优化

一、系统更新与软件源优化

1.1 更新机制管理
Ubuntu默认的apt包管理器通过/etc/apt/sources.list配置软件源。建议优先选择官方源或镜像站（如阿里云、清华源），通过以下命令替换：

sudo sed -i 's|archive.ubuntu.com|mirrors.aliyun.com|g' /etc/apt/sources.list
sudo apt update && sudo apt upgrade -y

此操作可减少下载延迟，提升更新效率。对于生产环境，建议通过unattended-upgrades服务实现自动更新：

sudo apt install unattended-upgrades
sudo dpkg-reconfigure -plow unattended-upgrades

配置文件/etc/apt/apt.conf.d/50unattended-upgrades可自定义更新范围，避免非关键包干扰。

1.2 扁平化包管理
使用apt-mark锁定核心包版本，防止意外升级导致兼容性问题：

sudo apt-mark hold openssh-server nginx

对于第三方软件（如Docker），推荐添加官方GPG密钥并使用专用仓库：

curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /usr/share/keyrings/docker-archive-keyring.gpg
echo "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/docker-archive-keyring.gpg] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list

二、内核参数调优

2.1 内存管理优化
通过sysctl调整虚拟内存参数，减少交换分区使用：

sudo sysctl -w vm.swappiness=10  # 降低交换倾向
sudo sysctl -w vm.vfs_cache_pressure=50  # 平衡文件系统缓存

永久生效需写入/etc/sysctl.conf。对于高并发场景，增加net.core.somaxconn至4096可提升连接处理能力：

sudo sysctl -w net.core.somaxconn=4096

2.2 文件系统调优
针对EXT4文件系统，调整journal日志模式为writeback以提升写入性能（需权衡数据安全性）：

sudo tune2fs -o journal_data_writeback /dev/sda1

对于SSD设备，启用fstrim定时任务避免写入放大：

sudo systemctl enable fstrim.timer

三、服务与进程管理

3.1 Systemd服务优化
通过systemctl edit覆盖默认服务配置，例如限制Nginx的CPU占用：

# /etc/systemd/system/nginx.service.d/override.conf
[Service]
CPUShares=1024
MemoryLimit=512M

应用配置后重载：

sudo systemctl daemon-reload && sudo systemctl restart nginx

3.2 进程优先级调整
使用nice和renice调整实时进程优先级。对于计算密集型任务，降低优先级避免影响前台应用：

nice -n 19 ./compute_intensive_task.sh

通过ionice优化I/O调度类，例如将备份进程设为空闲I/O：

ionice -c3 tar -czf backup.tar.gz /data

四、资源监控与日志管理

4.1 实时监控工具

• htop：替代top的增强版进程监控器，支持树状视图和鼠标操作。
• nmon：集CPU、内存、磁盘、网络于一体的监控工具，支持日志记录。
• glances：跨平台监控工具，通过Web界面提供可视化数据。

安装示例：

sudo apt install htop nmon glances

4.2 日志轮转配置
修改/etc/logrotate.d/nginx实现日志按大小分割：

/var/log/nginx/*.log {
    daily
    missingok
    rotate 14
    compress
    delaycompress
    notifempty
    create 0640 www-data adm
    sharedscripts
    postrotate
        systemctl reload nginx
    endscript
}

五、安全加固

5.1 防火墙规则
使用ufw简化防火墙管理，仅开放必要端口：

sudo ufw default deny incoming
sudo ufw allow 22/tcp  # SSH
sudo ufw allow 80/tcp  # HTTP
sudo ufw enable

5.2 失败登录限制
通过pam_tally2防止暴力破解，编辑/etc/pam.d/common-auth添加：

auth required pam_tally2.so onerr=fail deny=5 unlock_time=300

此配置将连续5次失败登录的IP锁定5分钟。

六、高级优化场景

6.1 大内存页配置
对于数据库等内存密集型应用，启用透明大页（THP）可能引发性能波动。建议禁用并手动分配HugePages：

echo never | sudo tee /sys/kernel/mm/transparent_hugepage/enabled
# 手动分配示例（需根据实际内存调整）
sudo sysctl -w vm.nr_hugepages=2048

6.2 网络性能调优
调整TCP缓冲区大小以适应高带宽环境，在/etc/sysctl.conf中添加：

net.ipv4.tcp_rmem = 4096 87380 16777216
net.ipv4.tcp_wmem = 4096 16384 16777216
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216

应用后通过sysctl -p生效。

七、自动化脚本示例

7.1 一键优化脚本

#!/bin/bash
# 系统更新与清理
sudo apt update && sudo apt upgrade -y
sudo apt autoremove -y
# 内核调优
echo "vm.swappiness=10" | sudo tee -a /etc/sysctl.conf
echo "vm.vfs_cache_pressure=50" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p
# 防火墙配置
sudo ufw default deny incoming
sudo ufw allow 22/tcp
sudo ufw enable
echo "系统优化完成，建议重启生效。"

7.2 性能基准测试
使用sysbench测试CPU与磁盘性能：

# CPU测试
sysbench cpu --threads=4 run
# 磁盘I/O测试
sysbench fileio --file-total-size=10G --file-test-mode=rndrw prepare
sysbench fileio --file-total-size=10G --file-test-mode=rndrw run

总结

Ubuntu系统微调需结合硬件特性与应用场景，通过分层优化实现性能与稳定性的平衡。建议定期通过sysstat工具包（含sar、iostat等）收集基准数据，对比调优前后的性能差异。对于企业级部署，可考虑结合Ansible等自动化工具实现批量配置管理，进一步提升运维效率。