标签：系统优化 default tcp TCP ----- ipv4 conf net

系统优化-----sysctl.conf文件内核设置参数详解_tallercc的博客-CSDN博客  https://blog.csdn.net/tallercc/article/details/52823075

sysctl.conf工作原理

 

sysctl命令被用于在内核运行时动态地修改内核的运行参数，可用的内核参数在目录/proc/sys中。它包含一些TCP/IP堆栈和虚拟内存系统的高级选项， 这可以让有经验的管理员提高引人注目的系统性能。用sysctl可以读取设置超过五百个系统变量。

limits.conf设置

1）暂时生效，适用于通过 ulimit 命令登录 shell 会话期间

 ulimit -SHn 65535

2）永久生效，通过将一个相应的 ulimit 语句添加到由登录 shell 读取的文件之一（例如 ~/.profile），即特定于 shell 的用户资源文件；或者通过编辑/etc/security/limits.conf

1.   #比如添加到/etc/profile
2.   echo ulimit -SHn 65535 >> /etc/profile
3.   source /etc/profile
4.    
5.   #修改最大进程和最大文件打开数限制
6.   vi /etc/security/limits.conf
7.   * soft nproc 11000
8.   * hard nproc 11000
9.   * soft nofile 655350
10.   * hard nofile 655350

sysctl.conf设置

 

1.   #优化TCP
2.   vi /etc/sysctl.conf
3.   #禁用包过滤功能
4.   net.ipv4.ip_forward = 0
5.   #启用源路由核查功能
6.   net.ipv4.conf.default.rp_filter = 1
7.   #禁用所有IP源路由
8.   net.ipv4.conf.default.accept_source_route = 0
9.   #使用sysrq组合键是了解系统目前运行情况，为安全起见设为0关闭
10.   kernel.sysrq = 0
11.   #控制core文件的文件名是否添加pid作为扩展
12.   kernel.core_uses_pid = 1
13.   #开启SYN Cookies，当出现SYN等待队列溢出时，启用cookies来处理
14.   net.ipv4.tcp_syncookies = 1
15.   #每个消息队列的大小（单位：字节）限制
16.   kernel.msgmnb = 65536
17.   #整个系统最大消息队列数量限制
18.   kernel.msgmax = 65536
19.   #单个共享内存段的大小（单位：字节）限制，计算公式64G*1024*1024*1024(字节)
20.   kernel.shmmax = 68719476736
21.   #所有内存大小（单位：页，1页 = 4Kb），计算公式16G*1024*1024*1024/4KB(页)
22.   kernel.shmall = 4294967296
23.   #timewait的数量，默认是180000
24.   net.ipv4.tcp_max_tw_buckets = 6000
25.   #开启有选择的应答
26.   net.ipv4.tcp_sack = 1
27.   #支持更大的TCP窗口. 如果TCP窗口最大超过65535(64K), 必须设置该数值为1
28.   net.ipv4.tcp_window_scaling = 1
29.   #TCP读buffer
30.   net.ipv4.tcp_rmem = 4096 131072 1048576
31.   #TCP写buffer
32.   net.ipv4.tcp_wmem = 4096 131072 1048576
33.   #为TCP socket预留用于发送缓冲的内存默认值（单位：字节）
34.   net.core.wmem_default = 8388608
35.   #为TCP socket预留用于发送缓冲的内存最大值（单位：字节）
36.   net.core.wmem_max = 16777216
37.   #为TCP socket预留用于接收缓冲的内存默认值（单位：字节）
38.   net.core.rmem_default = 8388608
39.   #为TCP socket预留用于接收缓冲的内存最大值（单位：字节）
40.   net.core.rmem_max = 16777216
41.   #每个网络接口接收数据包的速率比内核处理这些包的速率快时，允许送到队列的数据包的最大数目
42.   net.core.netdev_max_backlog = 262144
43.   #web应用中listen函数的backlog默认会给我们内核参数的net.core.somaxconn限制到128，而nginx定义的NGX_LISTEN_BACKLOG默认为511，所以有必要调整这个值
44.   net.core.somaxconn = 262144
45.   #系统中最多有多少个TCP套接字不被关联到任何一个用户文件句柄上。这个限制仅仅是为了防止简单的DoS攻击，不能过分依靠它或者人为地减小这个值，更应该增加这个值(如果增加了内存之后)
46.   net.ipv4.tcp_max_orphans = 3276800
47.   #记录的那些尚未收到客户端确认信息的连接请求的最大值。对于有128M内存的系统而言，缺省值是1024，小内存的系统则是128
48.   net.ipv4.tcp_max_syn_backlog = 262144
49.   #时间戳可以避免序列号的卷绕。一个1Gbps的链路肯定会遇到以前用过的序列号。时间戳能够让内核接受这种“异常”的数据包。这里需要将其关掉
50.   net.ipv4.tcp_timestamps = 0
51.   #为了打开对端的连接，内核需要发送一个SYN并附带一个回应前面一个SYN的ACK。也就是所谓三次握手中的第二次握手。这个设置决定了内核放弃连接之前发送SYN+ACK包的数量
52.   net.ipv4.tcp_synack_retries = 1
53.   #在内核放弃建立连接之前发送SYN包的数量
54.   net.ipv4.tcp_syn_retries = 1
55.   #开启TCP连接中time_wait sockets的快速回收
56.   net.ipv4.tcp_tw_recycle = 1
57.   #开启TCP连接复用功能，允许将time_wait sockets重新用于新的TCP连接（主要针对time_wait连接）
58.   net.ipv4.tcp_tw_reuse = 1
59.   #1st低于此值,TCP没有内存压力,2nd进入内存压力阶段,3rdTCP拒绝分配socket(单位：内存页)
60.   net.ipv4.tcp_mem = 94500000 915000000 927000000
61.   #如果套接字由本端要求关闭，这个参数决定了它保持在FIN-WAIT-2状态的时间。对端可以出错并永远不关闭连接，甚至意外当机。缺省值是60 秒。2.2 内核的通常值是180秒，你可以按这个设置，但要记住的是，即使你的机器是一个轻载的WEB服务器，也有因为大量的死套接字而内存溢出的风险，FIN- WAIT-2的危险性比FIN-WAIT-1要小，因为它最多只能吃掉1.5K内存，但是它们的生存期长些。
62.   net.ipv4.tcp_fin_timeout = 15
63.   #表示当keepalive起用的时候，TCP发送keepalive消息的频度（单位：秒）
64.   net.ipv4.tcp_keepalive_time = 30
65.   #对外连接端口范围
66.   net.ipv4.ip_local_port_range = 2048 65000
67.   #表示文件句柄的最大数量
68.   fs.file-max = 102400

 

其他设置

可以通过/etc/sysctl.conf控制和配置Linux内核及网络设置。

# 避免放大攻击
net.ipv4.icmp_echo_ignore_broadcasts = 1

# 开启恶意icmp错误消息保护
net.ipv4.icmp_ignore_bogus_error_responses = 1

# 开启SYN洪水攻击保护
net.ipv4.tcp_syncookies = 1

# 开启并记录欺骗，源路由和重定向包
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.log_martians = 1

# 处理无源路由的包
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0

# 开启反向路径过滤
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

# 确保无人能修改路由表
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.secure_redirects = 0

# 不充当路由器
net.ipv4.ip_forward = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0

# 开启execshild
kernel.exec-shield = 1
kernel.randomize_va_space = 1

# IPv6设置
net.ipv6.conf.default.router_solicitations = 0
net.ipv6.conf.default.accept_ra_rtr_pref = 0
net.ipv6.conf.default.accept_ra_pinfo = 0
net.ipv6.conf.default.accept_ra_defrtr = 0
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.default.dad_transmits = 0
net.ipv6.conf.default.max_addresses = 1

# 优化LB使用的端口

# 增加系统文件描述符限制
fs.file-max = 65535

# 允许更多的PIDs (减少滚动翻转问题); may break some programs 32768
kernel.pid_max = 65536

# 增加系统IP端口限制
net.ipv4.ip_local_port_range = 2000 65000

# 增加TCP最大缓冲区大小
net.ipv4.tcp_rmem = 4096 87380 8388608
net.ipv4.tcp_wmem = 4096 87380 8388608

# 增加Linux自动调整TCP缓冲区限制
# 最小，默认和最大可使用的字节数
# 最大值不低于4MB，如果你使用非常高的BDP路径可以设置得更高

# Tcp窗口等
net.core.rmem_max = 8388608
net.core.wmem_max = 8388608
net.core.netdev_max_backlog = 5000

net.ipv4.tcp_window_scaling = 1

 

标签：系统优化,default,tcp,TCP,-----,ipv4,conf,net
来源： https://www.cnblogs.com/jmbt/p/16653630.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。