sysctl.conf工作原理

?

sysctl命令被用于在內核運行時動態地修改內核的運行參數，可用的內核參數在目錄/proc/sys中。它包含一些TCP/IP堆棧和虛擬內存系統的高級選項， 這可以讓有經驗的管理員提高引人注目的系統性能。用sysctl可以讀取設置超過五百個系統變量。

limits.conf設置

1）暫時生效，適用于通過?ulimit?命令登錄 shell 會話期間

 ulimit -SHn 65535

2）永久生效，通過將一個相應的 ulimit 語句添加到由登錄 shell 讀取的文件之一（例如 ~/.profile），即特定于 shell 的用戶資源文件；或者通過編輯/etc/security/limits.conf

#比如添加到/etc/profile
echo ulimit -SHn 65535 >> /etc/profile
source /etc/profile#修改最大進程和最大文件打開數限制
vi /etc/security/limits.conf
* soft nproc 11000
* hard nproc 11000
* soft nofile 655350
* hard nofile 655350

sysctl.conf設置

?

#優化TCP
vi /etc/sysctl.conf
#禁用包過濾功能 
net.ipv4.ip_forward = 0  
#啟用源路由核查功能 
net.ipv4.conf.default.rp_filter = 1  
#禁用所有IP源路由 
net.ipv4.conf.default.accept_source_route = 0  
#使用sysrq組合鍵是了解系統目前運行情況，為安全起見設為0關閉
kernel.sysrq = 0  
#控制core文件的文件名是否添加pid作為擴展
kernel.core_uses_pid = 1  
#開啟SYN Cookies，當出現SYN等待隊列溢出時，啟用cookies來處理
net.ipv4.tcp_syncookies = 1  
#每個消息隊列的大小（單位：字節）限制
kernel.msgmnb = 65536  
#整個系統最大消息隊列數量限制
kernel.msgmax = 65536  
#單個共享內存段的大小（單位：字節）限制，計算公式64G*1024*1024*1024(字節)
kernel.shmmax = 68719476736  
#所有內存大小（單位：頁，1頁 = 4Kb），計算公式16G*1024*1024*1024/4KB(頁)
kernel.shmall = 4294967296  
#timewait的數量，默認是180000
net.ipv4.tcp_max_tw_buckets = 6000  
#開啟有選擇的應答
net.ipv4.tcp_sack = 1  
#支持更大的TCP窗口. 如果TCP窗口最大超過65535(64K), 必須設置該數值為1
net.ipv4.tcp_window_scaling = 1  
#TCP讀buffer
net.ipv4.tcp_rmem = 4096 131072 1048576
#TCP寫buffer
net.ipv4.tcp_wmem = 4096 131072 1048576   
#為TCP socket預留用于發送緩沖的內存默認值（單位：字節）
net.core.wmem_default = 8388608
#為TCP socket預留用于發送緩沖的內存最大值（單位：字節）
net.core.wmem_max = 16777216  
#為TCP socket預留用于接收緩沖的內存默認值（單位：字節）  
net.core.rmem_default = 8388608
#為TCP socket預留用于接收緩沖的內存最大值（單位：字節）
net.core.rmem_max = 16777216
#每個網絡接口接收數據包的速率比內核處理這些包的速率快時，允許送到隊列的數據包的最大數目
net.core.netdev_max_backlog = 262144  
#web應用中listen函數的backlog默認會給我們內核參數的net.core.somaxconn限制到128，而nginx定義的NGX_LISTEN_BACKLOG默認為511，所以有必要調整這個值
net.core.somaxconn = 262144  
#系統中最多有多少個TCP套接字不被關聯到任何一個用戶文件句柄上。這個限制僅僅是為了防止簡單的DoS攻擊，不能過分依靠它或者人為地減小這個值，更應該增加這個值(如果增加了內存之后)
net.ipv4.tcp_max_orphans = 3276800  
#記錄的那些尚未收到客戶端確認信息的連接請求的最大值。對于有128M內存的系統而言，缺省值是1024，小內存的系統則是128
net.ipv4.tcp_max_syn_backlog = 262144  
#時間戳可以避免序列號的卷繞。一個1Gbps的鏈路肯定會遇到以前用過的序列號。時間戳能夠讓內核接受這種“異常”的數據包。這里需要將其關掉
net.ipv4.tcp_timestamps = 0  
#為了打開對端的連接，內核需要發送一個SYN并附帶一個回應前面一個SYN的ACK。也就是所謂三次握手中的第二次握手。這個設置決定了內核放棄連接之前發送SYN+ACK包的數量
net.ipv4.tcp_synack_retries = 1  
#在內核放棄建立連接之前發送SYN包的數量
net.ipv4.tcp_syn_retries = 1  
#開啟TCP連接中time_wait sockets的快速回收
net.ipv4.tcp_tw_recycle = 1  
#開啟TCP連接復用功能，允許將time_wait sockets重新用于新的TCP連接（主要針對time_wait連接）
net.ipv4.tcp_tw_reuse = 1  
#1st低于此值,TCP沒有內存壓力,2nd進入內存壓力階段,3rdTCP拒絕分配socket(單位：內存頁)
net.ipv4.tcp_mem = 94500000 915000000 927000000   
#如果套接字由本端要求關閉，這個參數決定了它保持在FIN-WAIT-2狀態的時間。對端可以出錯并永遠不關閉連接，甚至意外當機。缺省值是60 秒。2.2 內核的通常值是180秒，你可以按這個設置，但要記住的是，即使你的機器是一個輕載的WEB服務器，也有因為大量的死套接字而內存溢出的風險，FIN- WAIT-2的危險性比FIN-WAIT-1要小，因為它最多只能吃掉1.5K內存，但是它們的生存期長些。
net.ipv4.tcp_fin_timeout = 15  
#表示當keepalive起用的時候，TCP發送keepalive消息的頻度（單位：秒）
net.ipv4.tcp_keepalive_time = 30  
#對外連接端口范圍
net.ipv4.ip_local_port_range = 2048 65000
#表示文件句柄的最大數量
fs.file-max = 102400

?

其他設置

可以通過/etc/sysctl.conf控制和配置Linux內核及網絡設置。

# 避免放大攻擊
net.ipv4.icmp_echo_ignore_broadcasts = 1

# 開啟惡意icmp錯誤消息保護
net.ipv4.icmp_ignore_bogus_error_responses = 1

# 開啟SYN洪水攻擊保護
net.ipv4.tcp_syncookies = 1

# 開啟并記錄欺騙，源路由和重定向包
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.log_martians = 1

# 處理無源路由的包
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0

# 開啟反向路徑過濾
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

# 確保無人能修改路由表
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.secure_redirects = 0

# 不充當路由器
net.ipv4.ip_forward = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0

# 開啟execshild
kernel.exec-shield = 1
kernel.randomize_va_space = 1

# IPv6設置
net.ipv6.conf.default.router_solicitations = 0
net.ipv6.conf.default.accept_ra_rtr_pref = 0
net.ipv6.conf.default.accept_ra_pinfo = 0
net.ipv6.conf.default.accept_ra_defrtr = 0
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.default.dad_transmits = 0
net.ipv6.conf.default.max_addresses = 1

# 優化LB使用的端口

# 增加系統文件描述符限制
fs.file-max = 65535

# 允許更多的PIDs (減少滾動翻轉問題); may break some programs 32768
kernel.pid_max = 65536

# 增加系統IP端口限制
net.ipv4.ip_local_port_range = 2000 65000

# 增加TCP最大緩沖區大小
net.ipv4.tcp_rmem = 4096 87380 8388608
net.ipv4.tcp_wmem = 4096 87380 8388608

# 增加Linux自動調整TCP緩沖區限制
# 最小，默認和最大可使用的字節數
# 最大值不低于4MB，如果你使用非常高的BDP路徑可以設置得更高

# Tcp窗口等
net.core.rmem_max = 8388608
net.core.wmem_max = 8388608
net.core.netdev_max_backlog = 5000

net.ipv4.tcp_window_scaling = 1

?

?