linux系統(tǒng)優(yōu)化的相關(guān)參數(shù)

1、linux系統(tǒng)優(yōu)化的相關(guān)參數(shù)#修改路由轉(zhuǎn)發(fā)的功能sysctl -w net.ipv4.ip_forward=1#是一種用于通過選擇加密的初始化TCP序列號，可以對回應(yīng)的包做驗證來降低SYN洪水攻擊的影響的技術(shù)sysctl -w net.ipv4.tcp_syncookies=1#syn隊列sysctl -w net.ipv4.tcp_max_syn_backlog=81920#syn-ack握手狀態(tài)重試次數(shù)，默認(rèn)5，遭受syn-flood攻擊時改為1或2sysctl -w net.ipv4.tcp_synack_retries=2#外向syn握手重試次數(shù)，默認(rèn)4 sysctl -w net.i

2、pv4.tcp_syn_retries=2 #忽略icmp ping廣播包sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1#增大iptables狀態(tài)跟蹤表echo /proc/sys/net/ipv4/ip_conntrack_maxsysctl -w filter.ip_conntrack_tcp_timeout_syn_recv=3#默認(rèn)60，tcp fin狀態(tài)超時時間sysctl -w net.ipv4.tcp_fin_timeout=30#默認(rèn)7200，tcp keeplive時間sysctl -w net.ipv4.tcp_keepal

3、ive_time=300#設(shè)置tcp/ip會話的滑動窗口大小是否可變sysctl -w net.ipv4.tcp_window_scaling=1#該文件表示是否允許重新應(yīng)用處于TIME-WAIT狀態(tài)的socket用于新的TCP連接sysctl -w net.ipv4.tcp_tw_reuse=1sysctl -w net.ipv4.tcp_tw_recycle=1#該文件表示TCPUDP協(xié)議打開的本地端口號范圍echo 10000 65000 /proc/sys/net/ipv4/ip_local_port_range#該文件指定了可以分配的文件句柄的最大數(shù)目echo 32768 /proc

4、/sys/fs/file-max#增加文件描述符ulimit -HSn 65535在服務(wù)器安裝了LNMP(Linux+Nginx+Mysql+php)環(huán)境之后Linux服務(wù)器參數(shù)必須做必要的優(yōu)化，包括網(wǎng)絡(luò)參數(shù)優(yōu)化、文件數(shù)優(yōu)化、內(nèi)存優(yōu)化等等。1、網(wǎng)絡(luò)參數(shù)優(yōu)化：這部分主要參照張宴大師 Nginx 0.8.x + PHP 5.2.13（FastCGI）搭建勝過Apache十倍的Web服務(wù)器（第6版）原創(chuàng)其中 五、優(yōu)化Linux內(nèi)核參數(shù)的內(nèi)容：01vi /etc/sysctl.conf #編輯sysctl.conf文件 02#在/etc/sysctl.conf中添加如下內(nèi)容 03# 網(wǎng)絡(luò)參數(shù)優(yōu)化開始

5、04net.ipv4.tcp_max_syn_backlog = 65536 dev_max_backlog =? 32768 06net.core.somaxconn = 32768 07?08net.core.wmem_default = 09net.core.rmem_default = 10net.core.rmem_max = 11net.core.wmem_max = 12?13net.ipv4.tcp_timestamps = 0 14net.ipv4.tcp_synack_retries = 2 15net.ipv4.tcp_syn_retries = 2 16?17net.i

6、pv4.tcp_tw_recycle = 1 18#net.ipv4.tcp_tw_len = 1 19net.ipv4.tcp_tw_reuse = 1 20?21net.ipv4.tcp_mem = 22net.ipv4.tcp_max_orphans = 23?24#net.ipv4.tcp_fin_timeout = 30 25#net.ipv4.tcp_keepalive_time = 120 26net.ipv4.ip_local_port_range = 1024? 65535 27#網(wǎng)絡(luò)參數(shù)優(yōu)化結(jié)束 28#添加內(nèi)容結(jié)束修改完成后運行以下命令使參數(shù)生效：1/sbin/sysctl

7、 -p2、系統(tǒng)最大打開文件數(shù)優(yōu)化默認(rèn)情況下，系統(tǒng)允許最大打開文件數(shù)為1024個，這對于訪問量較大的web服務(wù)器來說遠遠不夠用。系統(tǒng)最大打開文件數(shù)可以通過ulimit來修改和查詢。一般情況下，可以通過ulimit -n來查看目前系統(tǒng)允許的最大打開文件數(shù)，例如 ：1ulimit -n 21024 #系統(tǒng)返回如果我們要修改系統(tǒng)允許最大文件打開數(shù)，可以通過ulimit -SHn來做，例如要臨時修改系統(tǒng)最大打開文件數(shù)為51201個，那么用如下命令：1ulimit -SHn 51201每次重啟系統(tǒng)時，該值會被自動還原，可以將上述命令寫入 /etc/rc.local 中。如果想永久更改，可以按照如下修改：1

8、vi /etc/security/limits.conf 2# add 3*? soft? nofile? 51201 4*? hard? nofile? 51201系統(tǒng)最大打開文件數(shù)影響到的配置文件(以下必須設(shè)置為系統(tǒng)設(shè)置相一致，例如設(shè)置系統(tǒng)最大打開文件數(shù)為：51201)：?01A、 Nginx配置文件nginx.conf的配置項：worker_rlimit_nofile、worker_connections、 open_file_cache等，例如設(shè)置為： 02?worker_rlimit_nofile 51201; 03?events 04? 05?useepoll; 06?worker

9、_connections 51201; 07? 08?http 09? 10?#其它參數(shù)略過 11?open_file_cache max=51201 inactive=20s; 12?open_file_cache_min_uses 1; 13?open_file_cache_valid 30s; 14?#其它參數(shù)略過 15? 16B、FastCGI配置文件php-fpm.conf的配置項 17?512013、系統(tǒng)共享內(nèi)存優(yōu)化：系統(tǒng)共享內(nèi)存大小主要影響到eaccelerator的設(shè)置：?1eaccelerator.shm_size=32該項為eaccelerator可使用的共享內(nèi)存大小(單位

10、為MB)設(shè)置。在Linux下，單個進程的最大共享內(nèi)存使用量受/proc/sys/kernel/shmmax中設(shè)置的數(shù)字限制(單位為字節(jié))，例如Redhat 4.7的shmmax默認(rèn)值為字節(jié)(bytes/1024/1024=32MB)。臨時更改該值(例如修改為128MB=128x1024x1024=字節(jié))：?1echo /proc/sys/kernel/shmmax 2echo /proc/sys/kernel/shmall按照以上方法更改，在每次重啟系統(tǒng)時，該值會被自動還原。如果想永久更改，可以修改/etc/sysctl.conf文件，設(shè)置：1#系統(tǒng)共享內(nèi)存大小優(yōu)化 2kernel.shmma

11、x = 完整的/etc/sysctl.conf修改添加內(nèi)容如下：01#在/etc/sysctl.conf中添加如下內(nèi)容 02# 網(wǎng)絡(luò)參數(shù)優(yōu)化開始 03net.ipv4.tcp_max_syn_backlog = 65536 dev_max_backlog =? 32768 05net.core.somaxconn = 32768 06?07net.core.wmem_default = 08net.core.rmem_default = 09net.core.rmem_max = 10net.core.wmem_max = 11?12net.ipv4.tcp_timestamps = 0 13

12、net.ipv4.tcp_synack_retries = 2 14net.ipv4.tcp_syn_retries = 2 15?16net.ipv4.tcp_tw_recycle = 1 17#net.ipv4.tcp_tw_len = 1 18net.ipv4.tcp_tw_reuse = 1 19?20net.ipv4.tcp_mem = 21net.ipv4.tcp_max_orphans = 22?23#net.ipv4.tcp_fin_timeout = 30 24#net.ipv4.tcp_keepalive_time = 120 25net.ipv4.ip_local_por

13、t_range = 1024? 65535 26#網(wǎng)絡(luò)參數(shù)優(yōu)化結(jié)束 27#系統(tǒng)共享內(nèi)存大小優(yōu)化開始 28kernel.shmmax = 29#系統(tǒng)共享內(nèi)存大小優(yōu)化結(jié)束 30#添加內(nèi)容結(jié)束修改完成后運行以下命令使參數(shù)生效：/sbin/sysctl p詳細介紹Linux網(wǎng)絡(luò)部分優(yōu)化策略方法Ioports I/O端口的使用Kcore 內(nèi)核核心印象Kmsg 內(nèi)核消息Ksyms 內(nèi)核符號表Loadavg 負(fù)載均衡Locks 內(nèi)核鎖Meminfo 內(nèi)存信息Misc 雜項Modules 加載模塊列表Mounts 加載的文件系統(tǒng)Partitions 系統(tǒng)識別的分區(qū)表Rtc 實時時鐘Slabinfo Slab池

14、信息Stat 全面統(tǒng)計狀態(tài)表Swaps 對換空間的利用情況Version 內(nèi)核版本Uptime 系統(tǒng)正常運行時間 并不是所有這些目錄在你的系統(tǒng)中都有，這取決于你的內(nèi)核配置和裝載的模塊。另外，在/proc下還有三個很重要的目錄：net，scsi和sys。 Sys目錄是可寫的，可以通過它來訪問或修改內(nèi)核的參數(shù)（見下一部分），而net和scsi則依賴于內(nèi)核配置。例如，如果系統(tǒng)不支持scsi，則scsi 目錄不存在。除了以上介紹的這些，還有的是一些以數(shù)字命名的目錄，它們是進程目錄。系統(tǒng)中當(dāng)前運行的每一個進程都有對應(yīng)的一個目錄在 /proc下，以進程的PID號為目錄名，它們是讀取進程信息的接口。而sel

15、f目錄則是讀取進程本身的信息接口，是一個link。Proc文件系統(tǒng)的名 字就是由之而起。進程目錄的結(jié)構(gòu)如下：目錄名稱 目錄內(nèi)容Cmdline 命令行參數(shù)Environ 環(huán)境變量值Fd 一個包含所有文件描述符的目錄Mem 進程的內(nèi)存被利用情況Stat 進程狀態(tài)Status 進程當(dāng)前狀態(tài)，以可讀的方式顯示出來Cwd 當(dāng)前工作目錄的鏈接Exe 指向該進程的執(zhí)行命令文件Maps 內(nèi)存映象Statm 進程內(nèi)存狀態(tài)信息Root 鏈接此進程的root目錄用戶如果要查看系統(tǒng)信息，可以用cat命令。例如：# cat /proc/interruptsCPU00: XT-PIC timer1: 895 XT-PIC

16、 keyboard2: 0 XT-PIC cascade3: XT-PIC aha152x4: XT-PIC serial5: 44401 XT-PIC pcnet_cs8: 2 XT-PIC rtc11: 8 XT-PIC i8236512: XT-PIC Mouse13: 1 XT-PIC fpu PS/214: XT-PIC ide015: 7 XT-PIC ide1NMI: 0用戶還可以實現(xiàn)修改內(nèi)核參數(shù)。在/proc文件系統(tǒng)中有一個有趣的目錄：/proc/sys。它不僅提 供了內(nèi)核信息，而且可以通過它修改內(nèi)核參數(shù)，來優(yōu)化你的系統(tǒng)。但是你必須很小心，因為可能會造成系統(tǒng)崩潰。最好是先找一臺

17、無關(guān)緊要的機子，調(diào)試成功后再應(yīng) 用到你的系統(tǒng)上。要改變內(nèi)核的參數(shù)，只要用vi編輯或echo參數(shù)重定向到文件中即可。下面有一個例子：# cat /proc/sys/fs/file-max4096# echo 8192 ; /proc/sys/fs/file-max# cat /proc/sys/fs/file-max8192如果你優(yōu)化了參數(shù)，則可以把它們寫成添加到文件rc.local中，使它在系統(tǒng)啟動時自動完成修改。/proc文件系統(tǒng)中網(wǎng)絡(luò)參數(shù)在/proc/sys/net/ipv4/目錄下，包含的是和tcp/ip協(xié)議相關(guān)的各種參數(shù)，下面我們就對這些網(wǎng)絡(luò)參數(shù)加以詳細的說明。ip_forward 參

18、數(shù)類型：BOOLEAN0 - 關(guān)閉(默認(rèn)值)not 0 - 打開ip轉(zhuǎn)發(fā)在網(wǎng)絡(luò)本地接口之間轉(zhuǎn)發(fā)數(shù)據(jù)報。該參數(shù)非常特殊，對該參數(shù)的修改將導(dǎo)致其它所有相關(guān)配置參數(shù)恢復(fù)其默認(rèn)值(對于主機參閱RFC1122，對于路由器參見RFC1812)ip_default_ttl 參數(shù)類型：INTEGER默認(rèn)值為 64 。表示IP數(shù)據(jù)報的Time To Live值。ip_no_pmtu_disc 參數(shù)類型：BOOLEAN關(guān)閉路徑MTU探測，默認(rèn)值為FALSEipfrag_high_thresh 參數(shù)類型：整型用來組裝分段的IP包的最大內(nèi)存量。當(dāng)ipfrag_high_thresh數(shù)量的內(nèi)存被分配來用來組裝IP包，則

19、IP分片處理器將丟棄數(shù)據(jù)報直到ipfrag_low_thresh數(shù)量的內(nèi)存被用來組裝IP包。ipfrag_low_thresh 參數(shù)類型：整型參見ipfrag_high_thresh。ipfrag_time 參數(shù)類型：整型保存一個IP分片在內(nèi)存中的時間。inet_peer_threshold 參數(shù)類型：整型INET對端存儲器某個合適值，當(dāng)超過該閥值條目將被丟棄。該閥值同樣決定生存時間以及廢物收集通過的時間間隔。條目越多存活期越低GC 間隔越短inet_peer_minttl 參數(shù)類型：整型條目的最低存活期。在重組端必須要有足夠的碎片(fragment)存活期。這個最低存活期必須保證緩沖池容積是

20、否少于 inet_peer_threshold。該值以 jiffies為單位測量。詳細介紹Linux網(wǎng)絡(luò)部分優(yōu)化策略方法2007-8-10 作者： 編輯：眼鏡丟了 點擊進入論壇關(guān)于 SYN_RECV 的雜七雜八的東西 Posted by kreny at September 8, 2004 10:38 PM | Trackback URL: 網(wǎng)頁在翻頁到一個特定的頁面的時候，和服務(wù)器80端口的連接被中止。 查看了netstat -anlp 發(fā)現(xiàn)有類似以下的記錄，而IP就是我的。 tcp 0 2560 8:80 41:1523 SYN_RECV -

21、由于可能是程序的問題，因為僅僅在瀏覽這張網(wǎng)頁的時候會出現(xiàn)這個問題，但是還是在netstat里面偶爾會看到幾個 SYN_RECV ,所以就google了一下，在此總結(jié)一下。 1.對于大量的 SYN_RECV 若懷疑是SYN Flood攻擊，有以下建議: 這個攻擊的解決方法如下： 1，增加未完成連接隊列（q0)的最大長度。 echo 1280;/proc/sys/net/ipv4/tcp_max_syn_backlog 2, 啟動SYN_cookie。 echo 1;/proc/sys/net/ipv4/tcp_syncookies 這些是被動的方法，治標(biāo)不治本。而且加大了服務(wù)器的負(fù)擔(dān)，但是可以避

22、免被拒絕攻擊（只是減緩） 治本的方法是在防火墻上做手腳。但是現(xiàn)在能在一定程度上防住syn flood攻擊的防火墻都不便宜。并且把這個命令加入/etc/rc.d/rc.local文件中,如果對 /proc/sys/net/ipv4 下的配置文件進行解釋，可以參閱 LinuxAid技術(shù)站的文章。查看本文全文也可以參閱。 關(guān)于 syn cookies， 請參閱 ; http:/cr.yp.to/syncookies.html,也許使用mod_limitipconn.c來限制apache的并發(fā)數(shù) 也會有一定的幫助。最終，僅僅修改了這個參數(shù)，但是也加上了iptables的防火墻規(guī)則，問題解決。 2.什麼

23、是 TCP SYN Flood 攻擊 TCP SYN Flood是一種常見，而且有效的遠端(遠程)拒絕服務(wù)(Denial of Service)攻擊方式，它透過一定的操作破壞TCP三次握手建立正常連接，佔用並耗費系統(tǒng)資源，使得提供TCP服務(wù)的主機系統(tǒng)無法正常工作。 由於TCP SYN Flood是透過網(wǎng)路底層對服務(wù)器Server進行攻擊的，它可以在任意改變自己的網(wǎng)路IP地址的同時，不被網(wǎng)路上的其他設(shè)備所識別，這樣就給防範(fàn)網(wǎng)路犯 罪部門追查犯罪來源造成很大的困難。 在國內(nèi)內(nèi)外的網(wǎng)站中，這種攻擊屢見不鮮。在一個拍賣網(wǎng)站上，曾經(jīng)有犯罪分子利用這種手段，在低價位時阻止其他用戶繼續(xù)對商品拍賣，干擾拍賣過

24、程的正常運 作。 系統(tǒng)檢查 一般情況下，可以一些簡單步驟進行檢查，來判斷系統(tǒng)是否正在遭受TCP SYN Flood攻擊。 1、 服務(wù)端無法提供正常的TCP服務(wù)。連接請求被拒絕或超時。 2、透過 netstat -an 命令檢查系統(tǒng)，發(fā)現(xiàn)有大量的SYN_RECV連接狀態(tài)。 3. iptables的設(shè)置，引用自CU 防止同步包洪水（Sync Flood） # iptables -A FORWARD -p tcp -syn -m limit -limit 1/s -j ACCEPT 也有人寫作 #iptables -A INPUT -p tcp -syn -m limit -limit 1/s -j

25、 ACCEPT -limit 1/s 限制syn并發(fā)數(shù)每秒1次，可以根據(jù)自己的需要修改 防止各種端口掃描 # iptables -A FORWARD -p tcp -tcp-flags SYN,ACK,FIN,RST RST -m limit -limit 1/s -j ACCEPT Ping洪水攻擊（Ping of Death） # iptables -A FORWARD -p icmp -icmp-type echo-request -m limit -limit 1/s -j ACCEPT 附： Iptables 指南 1.1.19 防火墻例子： 在Linux上使用iptables命令，

26、建立一個個人防火墻 參閱： proc文件系統(tǒng)面面談 02-01-16 21:34 5467p ideal - 什么是proc文件系統(tǒng) proc文件系統(tǒng)是一個偽文件系統(tǒng)，它只存在內(nèi)存當(dāng)中，而不占用外存空間。它以文件系統(tǒng)的方式為訪問系統(tǒng)內(nèi)核數(shù)據(jù)的操作提供接口。用戶和應(yīng)用程序可 以通過proc得到系統(tǒng)的信息，并可以改變內(nèi)核的某些參數(shù)。由于系統(tǒng)的信息，如進程，是動態(tài)改變的，所以用戶或應(yīng)用程序讀取proc文件時，proc文件 系統(tǒng)是動態(tài)從系統(tǒng)內(nèi)核讀出所需信息并提交的。它的目錄結(jié)構(gòu)如下： 目錄名稱 目錄內(nèi)容 apm 高級電源管理信息 cmdline 內(nèi)核命令行 Cpuinfo 關(guān)于Cpu信息 Device

27、s 可以用到的設(shè)備（塊設(shè)備/字符設(shè)備） Dma 使用的DMA通道 Filesystems 支持的文件系統(tǒng) Interrupts 中斷的使用 Ioports I/O端口的使用 Kcore 內(nèi)核核心印象 Kmsg 內(nèi)核消息 Ksyms 內(nèi)核符號表 Loadavg 負(fù)載均衡 Locks 內(nèi)核鎖 Meminfo 內(nèi)存信息 Misc 雜項 Modules 加載模塊列表 Mounts 加載的文件系統(tǒng) Partitions 系統(tǒng)識別的分區(qū)表 Rtc 實時時鐘 Slabinfo Slab池信息 Stat 全面統(tǒng)計狀態(tài)表 Swaps 對換空間的利用情況 Version 內(nèi)核版本 Uptime 系統(tǒng)正常運行時間

28、并不是所有這些目錄在你的系統(tǒng)中都有，這取決于你的內(nèi)核配置和裝載的模塊。另外，在/proc下還有三個很重要的目錄：net，scsi和sys。 Sys目錄是可寫的，可以通過它來訪問或修改內(nèi)核的參數(shù)（見下一部分），而net和scsi則依賴于內(nèi)核配置。例如，如果系統(tǒng)不支持scsi，則scsi 目錄不存在。 除了以上介紹的這些，還有的是一些以數(shù)字命名的目錄，它們是進程目錄。系統(tǒng)中當(dāng)前運行的每一個進程都有對應(yīng)的一個目錄在/proc下，以進程的 PID號為目錄名，它們是讀取進程信息的接口。而self目錄則是讀取進程本身的信息接口，是一個link。Proc文件系統(tǒng)的名字就是由之而起。進程目 錄的結(jié)構(gòu)如下： 目

29、錄名稱 目錄內(nèi)容 Cmdline 命令行參數(shù) Environ 環(huán)境變量值 Fd 一個包含所有文件描述符的目錄 Mem 進程的內(nèi)存被利用情況 Stat 進程狀態(tài) Status 進程當(dāng)前狀態(tài)，以可讀的方式顯示出來 Cwd 當(dāng)前工作目錄的鏈接 Exe 指向該進程的執(zhí)行命令文件 Maps 內(nèi)存映象 Statm 進程內(nèi)存狀態(tài)信息 Root 鏈接此進程的root目錄 用戶如果要查看系統(tǒng)信息，可以用cat命令。例如： # cat /proc/interrupts CPU0 0: XT-PIC timer 1: 895 XT-PIC keyboard 2: 0 XT-PIC cascade 3: XT-PIC

30、 aha152x 4: XT-PIC serial 5: 44401 XT-PIC pcnet_cs 8: 2 XT-PIC rtc 11: 8 XT-PIC i82365 12: XT-PIC Mouse 13: 1 XT-PIC fpu PS/2 14: XT-PIC ide0 15: 7 XT-PIC ide1 NMI: 0用 戶還可以實現(xiàn)修改內(nèi)核參數(shù)。在/proc文件系統(tǒng)中有一個有趣的目錄：/proc/sys。它不僅提供了內(nèi)核信息，而且可以通過它修改內(nèi)核參數(shù)，來優(yōu)化你 的系統(tǒng)。但是你必須很小心，因為可能會造成系統(tǒng)崩潰。最好是先找一臺無關(guān)緊要的機子，調(diào)試成功后再應(yīng)用到你的系統(tǒng)上。 要改變

31、內(nèi)核的參數(shù)，只要用vi編輯或echo參數(shù)重定向到文件中即可。下面有一個例子： # cat /proc/sys/fs/file-max 4096 # echo 8192 ; /proc/sys/fs/file-max # cat /proc/sys/fs/file-max 8192如果你優(yōu)化了參數(shù)，則可以把它們寫成添加到文件rc.local中，使它在系統(tǒng)啟動時自動完成修改。 /proc文件系統(tǒng)中網(wǎng)絡(luò)參數(shù) 在/proc/sys/net/ipv4/目錄下，包含的是和tcp/ip協(xié)議相關(guān)的各種參數(shù)，下面我們就對這些網(wǎng)絡(luò)參數(shù)加以詳細的說明。 ip_forward 參數(shù)類型：BOOLEAN 0 - 關(guān)閉(

32、默認(rèn)值) not 0 - 打開ip轉(zhuǎn)發(fā) 在網(wǎng)絡(luò)本地接口之間轉(zhuǎn)發(fā)數(shù)據(jù)報。該參數(shù)非常特殊，對該參數(shù)的修改將導(dǎo)致其它所有相關(guān)配置參數(shù)恢復(fù)其默認(rèn)值(對于主機參閱RFC1122，對于路由器參見RFC1812) ip_default_ttl 參數(shù)類型：INTEGER 默認(rèn)值為 64 。表示IP數(shù)據(jù)報的Time To Live值。 ip_no_pmtu_disc 參數(shù)類型：BOOLEAN 關(guān)閉路徑MTU探測，默認(rèn)值為FALSE ipfrag_high_thresh 參數(shù)類型：整型 用來組裝分段的IP包的最大內(nèi)存量。當(dāng)ipfrag_high_thresh數(shù)量的內(nèi)存被分配來用來組裝IP包，則IP分片處理器將丟棄

33、數(shù)據(jù)報直到ipfrag_low_thresh數(shù)量的內(nèi)存被用來組裝IP包。 ipfrag_low_thresh 參數(shù)類型：整型 參見ipfrag_high_thresh。 ipfrag_time 參數(shù)類型：整型 保存一個IP分片在內(nèi)存中的時間。 inet_peer_threshold 參數(shù)類型：整型 INET對端存儲器某個合適值，當(dāng)超過該閥值條目將被丟棄。該閥值同樣決定生存時間以及廢物收集通過的時間間隔。條目越多存活期越低GC 間隔越短 inet_peer_minttl 參數(shù)類型：整型 條目的最低存活期。在重組端必須要有足夠的碎片(fragment)存活期。這個最低存活期必須保證緩沖池容積是否少

34、于 inet_peer_threshold。該值以 jiffies為單位測量。 inet_peer_maxttl 參數(shù)類型：整型 條目的最大存活期。在此期限到達之后如果緩沖池沒有耗盡壓力的話(例如緩沖池中的條目數(shù)目非常少)不使用的條目將會超時。該值以 jiffies為單位測量。 inet_peer_gc_mintime 參數(shù)類型：整型 廢物收集(GC)通過的最短間隔。這個間隔會影響到緩沖池中內(nèi)存的高壓力。 該值以 jiffies為單位測量。 inet_peer_gc_maxtime 參數(shù)類型：整型 廢物收集(GC)通過的最大間隔，這個間隔會影響到緩沖池中內(nèi)存的低壓力。 該值以 jiffies為

35、單位測量。 tcp_syn_retries 參數(shù)類型：整型 對于一個新建連接，內(nèi)核要發(fā)送多少個 SYN 連接請求才決定放棄。不應(yīng)該大于255，默認(rèn)值是5，對應(yīng)于180秒左右。 tcp_synack_retries 參數(shù)類型：整型 對于遠端的連接請求SYN，內(nèi)核會發(fā)送SYN ACK數(shù)據(jù)報，以確認(rèn)收到上一個 SYN連接請求包。這是所謂的三次握手( threeway handshake)機制的第二個步驟。這里決定內(nèi)核在放棄連接之前所送出的 SYN+ACK 數(shù)目。 tcp_keepalive_time 參數(shù)類型：整型 當(dāng)keepalive打開的情況下，TCP發(fā)送keepalive消息的頻率，默認(rèn)值是2

36、個小時。 tcp_keepalive_probes 參數(shù)類型：整型 TCP發(fā)送keepalive探測以確定該連接已經(jīng)斷開的次數(shù)，默認(rèn)值是9。 tcp_keepalive_interval 參數(shù)類型：整型 探測消息發(fā)送的頻率，乘以tcp_keepalive_probes就得到對于從開始探測以來沒有響應(yīng)的連接殺除的時間。默認(rèn)值為75秒，也就是沒有活動的連接將在大約11分鐘以后將被丟棄。 tcp_retries1 參數(shù)類型：整型 當(dāng)出現(xiàn)可疑情況而必須向網(wǎng)絡(luò)層報告這個可疑狀況之前需要進行多少次重試。最低的 RFC 數(shù)值是 3 這也是默認(rèn)值根據(jù)RTO的值大約在3秒 - 8分鐘之間。 tcp_retrie

37、s2 參數(shù)類型：整型 在丟棄激活的TCP連接之前需要進行多少次重試。RFC1122規(guī)定，該值必須大于100秒。默認(rèn)值為15，根據(jù)RTO的值來決定，相當(dāng)于13-30分鐘， tcp_orphan_retries 參數(shù)類型：整型 在近端丟棄TCP連接之前要進行多少次重試。默認(rèn)值是 7 個相當(dāng)于 50秒 - 16分鐘視 RTO 而定。如果您的系統(tǒng)是負(fù)載很大的web服務(wù)器那么也許需要降低該值這類 sockets 可能會耗費大量的資源。另外參的考 tcp_max_orphans 。 tcp_fin_timeout 參數(shù)類型：整型 對于本端斷開的socket連接，TCP保持在FIN-WAIT-2狀態(tài)的時間。

38、對方可能會斷開連接或一直不結(jié)束連接或不可預(yù)料的進程死亡。默認(rèn)值 為 60 秒。過去在2.2版本的內(nèi)核中是 180 秒。您可以設(shè)置該值但需要注意如果您的機器為負(fù)載很重的web服務(wù)器您可能要冒內(nèi)存被大量無效數(shù)據(jù)報填滿的風(fēng)險FIN-WAIT-2 sockets 的危險性低于 FIN-WAIT-1 因為它們最多只吃 1.5K 的內(nèi)存但是它們存在時間更長。另外參考 tcp_max_orphans。 tcp_max_tw_buckets 參數(shù)類型：整型 系統(tǒng)在同時所處理的最大timewait sockets 數(shù)目。如果超過此數(shù)的話time-wait socket 會被立即砍除并且顯示警告信息。之所以要設(shè)定

39、這個限制純粹為了抵御那些簡單的 DoS 攻擊千萬不要人為的降低這個限制不過如果網(wǎng)絡(luò)條件需要比默認(rèn)值更多則可以提高它(或許還要增加內(nèi)存)。 tcp_tw_recycle 參數(shù)類型：布爾 打開快速 TIME-WAIT sockets 回收。默認(rèn)值是1。除非得到技術(shù)專家的建議或要求請不要隨意修改這個值。 tcp_max_orphans 參數(shù)類型：整型 系統(tǒng)所能處理不屬于任何進程的TCP sockets最大數(shù)量。假如超過這個數(shù)量那么不屬于任何進程的連接會被立即reset，并同時顯示警告信息。之所以要設(shè)定這個限制純粹為了抵御那些簡單的 DoS 攻擊千萬不要依賴這個或是人為的降低這個限制 tcp_abor

40、t_on_overflow 參數(shù)類型：布爾 當(dāng)守護進程太忙而不能接受新的連接，就象對方發(fā)送reset消息，默認(rèn)值是false。這意味著當(dāng)溢出的原因是因為一個偶然的猝發(fā)，那么連接將恢復(fù)狀態(tài)。只有在你確信守護進程真的不能完成連接請求時才打開該選項，該選項會影響客戶的使用。 tcp_syncookies 參數(shù)類型：整型 只有在內(nèi)核編譯時選擇了CONFIG_SYNCOOKIES時才會發(fā)生作用。當(dāng)出現(xiàn)syn等候隊列出現(xiàn)溢出時象對方發(fā)送syncookies。目的是為了防止syn flood攻擊。默認(rèn)值是false。 注意：該選項千萬不能用于那些沒有收到攻擊的高負(fù)載服務(wù)器，如果在日志中出現(xiàn)synflood消

41、息，但是調(diào)查發(fā)現(xiàn)沒有收到synflood攻擊，而 是合法用戶的連接負(fù)載過高的原因，你應(yīng)該調(diào)整其它參數(shù)來提高服務(wù)器性能。參考: tcp_max_syn_backlog, tcp_synack_retries, tcp_abort_on_overflow. syncookie嚴(yán)重的違背TCP協(xié)議，不允許使用TCP擴展，可能對某些服務(wù)導(dǎo)致嚴(yán)重的性能影響(如SMTP轉(zhuǎn)發(fā))。 tcp_stdurg 參數(shù)類型：整型 使用 TCP urg pointer 字段中的主機請求解釋功能。大部份的主機都使用老舊的 BSD解釋，因此如果您在 Linux 打開它或會導(dǎo)致不能和它們正確溝通。默認(rèn)值為為FALSE tcp_

42、max_syn_backlog 參數(shù)類型：整型 對于那些依然還未獲得客戶端確認(rèn)的連接請求需要保存在隊列中最大數(shù)目。對于超過 128Mb 內(nèi)存的系統(tǒng)默認(rèn)值是 1024 低于 128Mb 的則為 128。如果服務(wù)器經(jīng)常出現(xiàn)過載可以嘗試增加這個數(shù)字。警告假如您將此值設(shè)為大于 1024最好修改 include/net/tcp.h 里面的 TCP_SYNQ_HSIZE 以保持 TCP_SYNQ_HSIZE*16; 0)或者bytes-bytes/2(-tcp_adv_win_scale)(如果tcp_adv_win_scale ; 128Mb 32768-61000 ;0)則系統(tǒng)將忽略所有發(fā)送給自己的I

43、CMP ECHO請求或那些廣播地址的請求。 icmp_destunreach_rate - 整數(shù) icmp_paramprob_rate - 整數(shù) icmp_timeexceed_rate - 整數(shù) icmp_echoreply_rate - 整數(shù)(not enabled per default) 限制發(fā)向特定目標(biāo)的ICMP數(shù)據(jù)報的最大速率。0表示沒有任何限制，否則表示jiffies數(shù)據(jù)單位中允許發(fā)送的個數(shù)。 icmp_ignore_bogus_error_responses - 布爾類型 某些路由器違背RFC1122標(biāo)準(zhǔn)，其對廣播幀發(fā)送偽造的響應(yīng)來應(yīng)答。這種違背行為通常會被以告警的方式記錄在

44、系統(tǒng)日志中。如果該選項設(shè)置為True，內(nèi)核不會記錄這種警告信息。默認(rèn)值為False。 (1) Jiffie: 內(nèi)核使用的內(nèi)部時間單位，在i386系統(tǒng)上大小為1/100s，在Alpha中為1/1024S。在/usr/include/asm/param.h中的HZ定義有特定系統(tǒng)的值。 conf/interface/*: conf/all/*是特定的，用來修改所有接口的設(shè)置，is special and changes the settings for all interfaces. Change special settings per interface. log_martians - 布爾類型

45、 記錄帶有不允許的地址的數(shù)據(jù)報到內(nèi)核日志中。 accept_redirects - 布爾類型 收發(fā)接收ICMP重定向消息。對于主機來說默認(rèn)為True，對于用作路由器時默認(rèn)值為False。 forwarding - 布爾類型 在該接口打開轉(zhuǎn)發(fā)功能 mc_forwarding - 布爾類型 是否進行多播路由。只有內(nèi)核編譯有CONFIG_MROUTE并且有路由服務(wù)程序在運行該參數(shù)才有效。 proxy_arp - 布爾類型 打開proxy arp功能。 shared_media - 布爾類型 發(fā)送(路由器)或接收(主機) RFC1620 共享媒體重定向。覆蓋ip_secure_redirects的值。

46、默認(rèn)為True。 secure_redirects - 布爾類型 僅僅接收發(fā)給默認(rèn)網(wǎng)關(guān)列表中網(wǎng)關(guān)的ICMP重定向消息，默認(rèn)值是TRUE。 send_redirects - 布爾類型 如果是router，發(fā)送重定向消息，默認(rèn)值是TRUE bootp_relay - 布爾類型 接收源地址為0.b.c.d，目的地址不是本機的數(shù)據(jù)報。用來支持BOOTP轉(zhuǎn)發(fā)服務(wù)進程，該進程將捕獲并轉(zhuǎn)發(fā)該包。默認(rèn)為False，目前還沒有實現(xiàn)。 accept_source_route - 布爾類型 接收帶有SRR選項的數(shù)據(jù)報。對于主機來說默認(rèn)為False，對于用作路由器時默認(rèn)值為True。 rp_filte 參數(shù)類型 1

47、- 通過反向路徑回溯進行源地址驗證(在RFC1812中定義)。對于單穴主機和stub網(wǎng)絡(luò)路由器推薦使用該選項。 0 - 不通過反向路徑回溯進行源地址驗證。 默認(rèn)值為0。某些發(fā)布在啟動時自動將其打開。 sysctl優(yōu)化linux網(wǎng)絡(luò)sysctl優(yōu)化linux網(wǎng)絡(luò)1, 優(yōu)化網(wǎng)絡(luò)設(shè)備接收隊列 dev_max_backlog=3000 該文件表示在每個網(wǎng)絡(luò)接口接收數(shù)據(jù)包的速率比內(nèi)核處理這些包的速率快時，允許送到隊列的數(shù)據(jù)包的最大數(shù)目。 默認(rèn)值：Red Hat Linux release 9 (Shrike)默認(rèn)為300 rhel5 默認(rèn)為1000 建議值為30002， net.ipv4.conf.lo

48、.accept_redirects accept_redirects：該參數(shù)位于 /proc/sys/net/ipv4/conf/DEV/accept_redirects （DEV表示具體的網(wǎng)絡(luò)接口），如果你的主機所在的網(wǎng)段中有兩個路由器，你將其中一個設(shè)置成了缺省網(wǎng)關(guān)，但是該網(wǎng)關(guān)在收到你的ip包時發(fā)現(xiàn)該ip包必須經(jīng) 過另外一個路由器，這時這個路由器就會給你發(fā)一個所謂的“重定向”icmp包，告訴將ip包轉(zhuǎn)發(fā)到另外一個路由器。參數(shù)值為布爾值，1表示接收這類重定向 icmp 信息，0表示忽略。在充當(dāng)路由器的linux主機上缺省值為0，在一般的linux主機上缺省值為1。建議將其改為0，或者使用“安全

49、重定向”（見下文） 以消除安全性隱患。 net.ipv4.conf.lo.accept_redirects=0 net.ipv4.conf.all.accept_redirects=0 net.ipv4.conf.eth0.accept_redirects=0 net.ipv4.conf.default.accept_redirects=03， 打開TIME-WAIT套接字重用功能，對于存在大量連接的Web服務(wù)器非常有效。 net.ipv4.tcp_tw_recyle=1 net.ipv4.tcp_tw_reuse=1 10) /proc/sys/net/ipv4/tcp_tw_recyle 打開快速 TIME-WAIT sockets 回收。除非得到技術(shù)專家的建議或要求，請不要隨 意修改這個值。 缺省