sysctl.conf文件里的参数解释
引用自:FreeBSD下构建安全的Web服务器
作者:heiyeluren http://www.unixsky.net
一般优化系统主要是重新编译内核,去掉一些不要的驱动等等,你可以参考我在我Blog上写的关于编译内核的文章。我们这里对网络和内核一些选项进行优化和安全设置。编辑 /etc/sysctl.conf 文件,在里面加入如下内容:(有注释)
#最大的待发送TCP数据缓冲区空间
net.inet.tcp.sendspace=65536
#最大的接受TCP缓冲区空间
net.inet.tcp.recvspace=65536
#最大的接受UDP缓冲区大小
net.inet.udp.sendspace=65535
#最大的发送UDP数据缓冲区大小
net.inet.udp.maxdgram=65535
#本地套接字连接的数据发送空间
net.local.stream.sendspace=65535
#加快网络性能的协议
net.inet.tcp.rfc1323=1
net.inet.tcp.rfc1644=1
net.inet.tcp.rfc3042=1
net.inet.tcp.rfc3390=1
#最大的套接字缓冲区
kern.ipc.maxsockbuf=2097152
#系统中允许的最多文件数量
kern.maxfiles=65536
#每个进程能够同时打开的最大文件数量
kern.maxfilesperproc=32768
#当一台计算机发起TCP连接请求时,系统会回应ACK应答数据包。该选项设置是否延迟ACK应答数据包,把它和包含数据的数据包一起发送,在高速网络和低负载的情况下会略微提高性能,但在网络连接较差的时候,对方计算机得不到应答会持续发起连接请求,反而会降低性能。
net.inet.tcp.delayed_ack=0
#屏蔽ICMP重定向功能
net.inet.icmp.drop_redirect=1
net.inet.icmp.log_redirect=1
net.inet.ip.redirect=0
net.inet6.ip6.redirect=0
#防止ICMP广播风暴
net.inet.icmp.bmcastecho=0
net.inet.icmp.maskrepl=0
#限制系统发送ICMP速率
net.inet.icmp.icmplim=100
#安全参数,编译内核的时候加了options TCP_DROP_SYNFIN才可以用
net.inet.icmp.icmplim_output=0
net.inet.tcp.drop_synfin=1
#设置为1会帮助系统清除没有正常断开的TCP连接,这增加了一些网络带宽的使用,但是一些死掉的连接最终能被识别并清除。死的TCP连接是被拨号用户存取的系统的一个特别的问题,因为用户经常断开modem而不正确的关闭活动的连接
net.inet.tcp.always_keepalive=1
#若看到net.inet.ip.intr_queue_drops这个在增加,就要调大net.inet.ip.intr_queue_maxlen,为0最好
net.inet.ip.intr_queue_maxlen=1000
#防止DOS攻击,默认为30000
net.inet.tcp.msl=7500
#接收到一个已经关闭的端口发来的所有包,直接drop,如果设置为1则是只针对TCP包
net.inet.tcp.blackhole=2
#接收到一个已经关闭的端口发来的所有UDP包直接drop
net.inet.udp.blackhole=1
#为网络数据连接时提供缓冲
net.inet.tcp.inflight.enable=1
#如果打开的话每个目标地址一次转发成功以后它的数据都将被记录进路由表和arp数据表,节约路由的计算时间,但会需要大量的内核内存空间来保存路由表
net.inet.ip.fastforwarding=0
#kernel编译打开options POLLING功能,高负载情况下使用低负载不推荐SMP不能和polling一起用
#kern.polling.enable=1
#并发连接数,默认为128,推荐在1024-4096之间,数字越大占用内存也越大
kern.ipc.somaxconn=32768
#禁止用户查看其他用户的进程
security.bsd.see_other_uids=0
#设置kernel安全级别
kern.securelevel=0
#记录下任何TCP连接
net.inet.tcp.log_in_vain=1
#记录下任何UDP连接
net.inet.udp.log_in_vain=1
#防止不正确的udp包的攻击
net.inet.udp.checksum=1
#防止DOS攻击
net.inet.tcp.syncookies=1
#仅为线程提供物理内存支持,需要256兆以上内存
kern.ipc.shm_use_phys=1
# 线程可使用的最大共享内存
kern.ipc.shmmax=67108864
# 最大线程数量
kern.ipc.shmall=32768
# 程序崩溃时不记录
kern.coredump=0
# lo本地数据流接收和发送空间
net.local.stream.recvspace=65536
net.local.dgram.maxdgram=16384
net.local.dgram.recvspace=65536
# 数据包数据段大小,ADSL为1452。
net.inet.tcp.mssdflt=1460
# 为网络数据连接时提供缓冲
net.inet.tcp.inflight_enable=1
# 数据包数据段最小值,ADSL为1452
net.inet.tcp.minmss=1460
# 本地数据最大数量
net.inet.raw.maxdgram=65536
# 本地数据流接收空间
net.inet.raw.recvspace=65536
#ipfw防火墙动态规则数量,默认为4096,增大该值可以防止某些病毒发送大量TCP连接,导致不能建立正常连接
net.inet.ip.fw.dyn_max=65535
#设置ipf防火墙TCP连接空闲保留时间,默认8640000(120小时)
net.inet.ipf.fr_tcpidletimeout=864000
分享到:
相关推荐
配置文件我们的服务器端 sysctl.conf 内核参数,如当前部署
第7章 修改/etc/sysctl.conf文件中的系统参数,加入如下: 38 第8章 路由配置信息 39 第9章 LVM基础信息查询 40 第10章 光纤口状态查询 41 第11章 更改主机相关IP 42 附:/etc/cluster/cluster.conf文件内容 43
9 配置内核参数 /etc/sysctl.conf 10 配置权限参数 /etc/security/limits.conf 11 配置全局shell /etc/profile 12 互信 13 时钟同步 14 配置共享磁盘 验证安装Grid环境
修改sysctl.conf文件 在文件/etc/sysctl.conf中添加以下内容: kernel.sem = 250 32000 100 128 kernel.shmall = 2097152 kernel.shmmax = 2147483648 kernel.shmmni = 4096 fs.aio-max-nr = 1048576 fs.file-max ...
1.检查系统包是否已经安装 2.如缺少相应的补丁包,可以到系统安装盘安装相关的补丁包 3.添加oracle组和用户 4.修改参数文件 sysctl.conf 5.修改参数文件limits.conf .............
如果希望参数永久生效可以修改配置文件“/etc/sysctl.conf”。 语法格式:sysctl [参数] 常用参数: -n 打印值时不打印关键字 -e 忽略未知关键字错误 -N 仅打印名称 -w 当改变sysctl设置时使用此项 -p ...
1、配置系统内核参数,以root用户登录,修改在/etc/sysctl.conf文件,在该文件中添加以下参数: kernel.shmall = 2097152 kernel.shmmax = 536870912 (512物理内存的标准) kernel.shmmni = 4096 kernel.sem = 250 ...
人偶系统 概述 管理sysctl变量值。 所有更改都将立即应用,并配置为持久化。... 对于主/etc/sysctl.conf文件中的一些原始设置,该值也将被替换,以使运行sysctl -p不会还原puppet所做的任何更改。 例子
从ORACLE 11gR2 for linux版本,已经不需要DBA们手动去编辑/etc/...件和/etc/security/limits.conf文件来修改操作系统的内核参数和限额,这些工作ORACL E会生成一个脚本,DBA只需要用root用户执行一下这个脚本即可。
8. oracle需要的参数配置(/etc/profile、 .bash_profile、 /etc/sysctl.conf) 9. oracle安装需要的图形化支持(linux的xmanager配置,vnc配置) 10.对oracle rac配置ssh的互信 11.oracle优化的操作系统层(linux优化...
文件/etc/sysctl.conf中配置信号量相关参数 kernel.msgmni kernel.sem cat /proc/sys/kernel/sem echo 250 32000 100 128 > /proc/sys/kernel/sem ipcs -ls sysctl -w kernel.sem="250 32000 100 128" echo ...
/etc/sysctl.conf4.3.2 修改系统限制参数编辑: /etc/security/limits.conf4.3.3 配置oracle用户的环境变量文件4.3.4 创建文件夹4.3.4 开始上传附件5 安装5.1 安装前准备5.1.1 临时关闭SELinux 执行命令5.1.2 关闭...
centos 内核配置文件为 /etc/sysctl.conf . 修改参数后启用:sysctl -p net.ipv4.tcp_tw_reuse:允许将TIME-WAIT sockets重新用于新的TCP连接,默认为0,表示关闭. net.ipv4.tcp_tw_recycle: 表示开启TCP连接中TIME-...
由于Linux的内核参数信息都存在...但是,当系统重新启动后,原来设置的参数值就会丢失,而系统每次启动时都会自动去/etc/sysctl.conf文件中读取内核参数,因此将内核的参数配置写入这个文件中,是一个比较好的选择。
免责声明:kcptun维护一个... 建议使用sysctl.conf参数以更好地处理UDP数据包: net.core.rmem_max=26214400 // BDP - bandwidth delay productnet.core.rmem_default=26214400net.core.wmem_max=26214400net.core.wme
... ... ... 要求目标最低推荐系统aix darwin蜻蜓freebsd linux netbsd openbsd solaris Windows linux内存> 20MB> 32MB CPU带有AES-NI和AVX2的任何amd64快速入门增加服务器上打开文件的...建议的sysctl.conf参数,以更好地处理
PyAudting工具 PyAuditingTool:一个测试GNU / Linux安全性和配置错误的开源工具。 主要目标是扫描,审查和审核,以提出建议并解决强化系统的问题。 这些测试是通用安全准则和标准的... 检查sysctl.conf(几个配置参数
| 7 | 内核sysctl.conf的常用参数优化释义(只显示不进行优化) | | 8 | 服务器字符集调整到utf-8 | | 9 | 优化缩短TCP断开连接自动回收时间为20s | | k8s | 关闭swap并将桥接的IPv4流量传递到iptables的链(k8s适用...
9.2.1 编辑httpd.conf文件 158 9.2.2 .htaccess文件和访问限制 160 9.3 虚拟主机 161 9.3.1 基于地址的虚拟主机 161 9.3.2 基于名字的虚拟主机 162 9.4 日志记录 163 9.5 CGI和SSI 164 9.5.1 CGI 164 9.5.2 SSI 164 ...
vi /etc/sysctl.conf kernel.core_uses_pid = 1 kernel.shmmax=2147483648 kernel.shmmni=4096 kernel.shmall=2097152 kernel.sem=250 32000 100 128 net.ipv4.ip_local_port_range=1024 65000 fs.file-max=65536 ...