内核参数整理

最新推荐文章于 2024-08-13 08:27:23 发布
最新推荐文章于 2024-08-13 08:27:23 发布
阅读量1.5k 收藏
点赞数
分类专栏: linux系统 网络

以下内核参数未做相关优化,均使用系统默认值

net.ipv4.tcp_mem = 196608 262144  393216

net.core.wmem_max = 131071

net.core.rmem_max = 131071

net.ipv4.tcp_wmem = 4096  16384  4194304

net.ipv4.tcp_rmem = 4096 87380 4194304

net.ipv4.tcp_tw_reuse = 0

net.ipv4.tcp_tw_recycle = 0

net.ipv4.tcp_retries2 = 15

net.ipv4.tcp_keepalive_intvl = 75

net.ipv4.tcp_keepalive_probes = 9

net.ipv4.tcp_max_tw_buckets = 180000

net.ipv4.ip_local_port_range = 32768    61000

net.core.somaxconn = 128

kernel.sem = 250 32000 32 128

net.ipv4.conf.lo.arp_accept = 0

net.ipv4.conf.lo.arp_ignore = 0

net.ipv4.conf.lo.arp_announce = 0

net.ipv4.conf.lo.arp_filter = 0

net.ipv4.conf.all.arp_accept = 0

net.ipv4.conf.all.arp_ignore = 0

net.ipv4.conf.all.arp_announce = 0

net.ipv4.conf.all.arp_filter = 0

net.ipv4.neigh.default.gc_thresh1 = 128

net.ipv4.neigh.default.gc_thresh2 = 512

net.ipv4.neigh.default.gc_thresh3 = 1024

net.ipv4.ip_conntrack_max = 65536

net.ipv4.netfilter.ip_conntrack_max = 65536

net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 432000

net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait = 120

net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait = 60

net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait = 120

net.ipv4.netfilter.ip_conntrack_tcp_timeout_max_retrans = 300

net.ipv4.netfilter.ip_conntrack_tcp_timeout_close = 10

net.ipv4.netfilter.ip_conntrack_tcp_timeout_last_ack = 30

net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv = 60

net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent = 120

kernel.sem = 250 32000 32 128

 

下面是各个参数详细配置情况及其含义:

内存&缓存

vm.swappiness = 10

配置方式:

在文件/etc/rc.local配置 echo 10 > /proc/sys/vm/swappiness

含义:

swappiness的值的大小对如何使用swap分区是有着很大的联系的。

swappiness=0的时候表示最大限度使用物理内存,然后才是 swap空间,

swappiness100的时候表示积极的使用swap分区,并且把内存上的数据及时的搬运到 swap空间里面。

两个极端,对于centos linux 5的默认设置,这个值等于60,建议修改为10

 

kernel.shmmax = 68719476736

配置方式:

/etc/sysctl.conf配置kernel.shmall = 4294967296

含义:

定义了共享内存段的最大尺寸(以字节为单位)

 

kernel.shmall = 4294967296

配置方式:

/etc/sysctl.conf配置kernel.shmall = 4294967296

含义:

表示系统一次可以使用的共享内存总量(以页为单位)。缺省值就是2097152,通常不需要修改。

 

net.ipv4.tcp_mem = 196608 262144  393216

系统默认值,SA未优化

含义

net.ipv4.tcp_mem[0]:低于此值,TCP没有内存压力.

net.ipv4.tcp_mem[1]:在此值下,进入内存压力阶段.

net.ipv4.tcp_mem[2]:高于此值,TCP拒绝分配socket

 

net.core.wmem_max = 131071

系统默认参数,SA未优化

含义:

最大socketbuffer


net.core.rmem_max = 131071

系统默认参数,SA未优化

含义:

最大socketbuffer

 

net.ipv4.tcp_wmem = 4096  16384  4194304

系统默认参数,SA未优化

含义:

TCPbuffer

 

net.ipv4.tcp_rmem = 4096 87380 4194304

系统默认参数,SA未优化

含义:

TCPbuffer

 

kernel.msgmnb = 65536

配置方式:

/etc/sysctl.conf配置kernel.msgmnb = 65536

含义:

每个消息队列的最大字节限制

 

kernel.msgmax = 65536

配置方式:

/etc/sysctl.conf配置kernel.msgmax = 65536

含义:

每个消息的最大size

TCP/IP相关

net.ipv4.tcp_syncookies = 1

配置方式:

/etc/sysctl.conf配置net.ipv4.tcp_syncookies = 1

含义:

表示开启SYN Cookies。当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击,默认为0,表示关闭;

 

net.ipv4.tcp_synack_retries = 3

/etc/sysctl.conf配置net.ipv4.tcp_synack_retries = 3

含义:

为了打开对端的连接,内核需要发送一个SYN并附带一个回应前面一个SYNACK。也就是所谓三次握手中的第二次握手。这个设置决定了内核放弃连接之前发送SYN+ACK包的数量。

 

net.ipv4.tcp_syn_retries = 2

/etc/sysctl.conf配置net.ipv4.tcp_syn_retries = 2

含义:

在内核放弃建立连接之前发送SYN包的数量

 

net.ipv4.tcp_tw_reuse = 0

系统默认值,SA未优化

含义:

表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接,默认为0,表示关闭;

 

net.ipv4.tcp_tw_recycle = 0

系统默认值,SA未优化

含义:

表示开启TCP连接中TIME-WAIT sockets的快速回收,默认为0,表示关闭。

 

net.ipv4.tcp_fin_timeout = 6

配置方式:

内核源码中修改相关参数

含义:

表示如果套接字由本端要求关闭,这个参数决定了它保持在FIN-WAIT-2状态的时间。

 

net.ipv4.tcp_keepalive_time = 1800

配置方式:

内核中做了修改(与httpdnginxweb 应用程序有关)

含义:

表示当keepalive起用的时候,TCP发送keepalive消息的频度。缺省是2小时,改为30分钟。

 

net.ipv4.tcp_max_syn_backlog = 20480

配置方式:

在文件/etc/sysctl.conf中设置net.ipv4.tcp_max_syn_backlog = 20480

含义:

进入SYN包的最大请求队列.默认1024.对重负载服务器,增加该值显然有好处.

 

net.ipv4.tcp_retries2 = 15

系统默认值,SA未修改

含义:

TCP失败重传次数,默认值15,意味着重传15次才彻底放弃.可减少到特定值,以尽早释放内核资源.

 

net.ipv4.tcp_keepalive_intvl = 75

net.ipv4.tcp_keepalive_probes = 9

系统默认配置,SA未配置

含义:

如果某个TCP连接在idle 30分钟后,内核才发起探测(probe).如果probe 9(每次75)不成功,内核才彻底放弃,认为该连接已失效.

 

net.ipv4.tcp_max_tw_buckets = 180000

系统默认值,SA未配置

含义:

表示系统同时保持TIME_WAIT套接字的最大数量,如果超过这个数字,TIME_WAIT套接字将立刻被清除并打印警告信息。对于ApacheNginx等服务器,上几行的参数可以很好地减少TIME_WAIT套接字数量,但是对于Squid,效果却不大。此项参数可以控制TIME_WAIT套接字的最大数量,避免Squid服务器被大量的TIME_WAIT套接字拖死。

随机端口

net.ipv4.ip_local_port_range = 32768  61000

系统默认参数,SA未优化

含义:

表示用于向外连接的端口范围。缺省情况下很小:3276861000,改为1024065000

core

net.core.somaxconn = 128

系统默认设置,SA未配置

含义:

listen()的默认参数,挂起请求的最大数量.默认是128.对繁忙的服务器,增加该值有助于网络性能.

 

net.core.netdev_max_backlog = 1000

配置方式

内核中修改

含义:

进入包的最大设备队列.默认是300,对重负载服务器而言,该值太低,可调整到2000.

 

kernel.core_pattern = core-%e-%p-%s-%t

配置方式:

在文件/etc/sysctl.conf中设置kernel.core_pattern = core-%e-%p-%s-%t

含义:

当系统中的一些程序在遇到一些错误以及crash时,系统会自动产生core file记录crash时刻系统信息包括内存和寄存器信息,用以程序员日后debug时可以使用

文件描述符

ulimit -Hn 10240

ulimit -n 10240

配置方式:

在文件/etc/rc.local中设置,开机启动时设置

ARP

net.ipv4.conf.lo.arp_accept = 0

net.ipv4.conf.lo.arp_ignore = 0

net.ipv4.conf.lo.arp_announce = 0

net.ipv4.conf.lo.arp_filter = 0

net.ipv4.conf.all.arp_accept = 0

net.ipv4.conf.all.arp_ignore = 0

net.ipv4.conf.all.arp_announce = 0

net.ipv4.conf.all.arp_filter = 0

开启arp响应,在使用lvs开源负载均衡时候,需要关闭serverarp响应,因公司使用F5设备,vipserverIP在不同网段,故不需要关闭arp响应

 

net.ipv4.neigh.default.gc_thresh1 = 128

系统默认设置,SA未配置

含义:

存在于ARP高速缓存中的最少层数,如果少于这个数,垃圾收集器将不会运行。缺省值是128

 

net.ipv4.neigh.default.gc_thresh2 = 512

系统默认设置,SA未配置

含义:

保存在 ARP 高速缓存中的最多的记录软限制。垃圾收集器在开始收集前,允许记录数超过这个数字 5 秒。缺省值是 512

 

net.ipv4.neigh.default.gc_thresh3 = 1024

系统默认设置,SA未配置

含义:

保存在 ARP 高速缓存中的最多记录的硬限制,一旦高速缓存中的数目高于此,垃圾收集器将马上运行。缺省值是1024

 以上三个参数,当内核维护的arp表过于庞大时候,可以考虑优化

iptables

net.ipv4.ip_conntrack_max = 65536

net.ipv4.netfilter.ip_conntrack_max = 65536

net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 432000

net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait = 120

net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait = 60

net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait = 120

net.ipv4.netfilter.ip_conntrack_tcp_timeout_max_retrans = 300

net.ipv4.netfilter.ip_conntrack_tcp_timeout_close = 10

net.ipv4.netfilter.ip_conntrack_tcp_timeout_last_ack = 30

net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv = 60

net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent = 120

以上iptables参数均是系统默认参数,因为目前系统不使用iptables,故可以不考虑


信号量相关

kernel.sem = 250 32000 32 128

系统默认值,SA未优化

含义:

# ipcs -ls

------ Semaphore Limits --------

max number of arrays = 128

max semaphores per array = 250

max semaphores system wide = 32000

max ops per semop call = 32

semaphore max value = 32767

SEMMNI

SEMMNI定义了max number of arrays的大小,表示系统内的最大semaphore set大小,这个缺省值128差不多了.

SEMMSL

SEMMSL 定义了max semaphores pre array的大小,表示每个semaphore set的最大semaphore.oracle进程获得系统的一个semaphore set,oracle进程内的每个线程需要一个semaphore,假如你的系统内只有一个oracle实例,你的SEMMSL的值需要等于或稍大于 (oracle中定义的最大PROCESSES+10),如果是MTS模式,可以适当放小.

SEMMNS

SEMMNS定义 max semaphores system wide的大小,表示系统内允许的最大semaphore set大小,系统缺省大小为(SEMMNI*SEMMSL),oracle推荐的设置为系统内所有数据库的PROCESSES参数的总和,加上最大的的那个PROCESSES,然后加上10.

SEMOPM

SEMOPM定义了每个semop系统调用能够操作的最大semaphore,semop系统调用主要是一个semaphore setsemaphore操作,这个值系统缺省为32,建议设置等于SEMMSL.

另:

Httpd重启失败,信号量过多,是因为我们关闭apache的时候使用了kill -9 来关闭程序来造成的,后续优化改进。

michaelcao1980
关注
专栏目录
Linux内核参数调优
悦分享
07-21 3782
为了应付这种攻击,现代Unix系统中普遍采用多连接队列处理的方式来缓冲(而不是解决)这种攻击,是用一个基本队列处理正常的完全连接应用(Connect()和Accept()),是用另一个队列单独存放半打开连接。在/proc/sys目录下存放着大多数的内核参数,并且设计成可以在系统运行的同时进行更改,可以通过更改/proc/sys中内核参数对应的文件达到修改内核参数的目的(修改过后,保存配置文件就马上自动生效),不过重新启动机器后之前修改的参数值会失效,所以只能是一种临时参数变更方案。...
LINUX内核参数调优
m0_74282605的博客
03-16 449
为了应付这种攻击,现代Unix系统中普遍采用多连接队列处理的方式来缓冲(而不是解决)这种攻击,是用一个基本队列处理正常的完全连接应用(Connect()和Accept() ),是用另一个队列单独存放半打开连接。为了实现更好的性能应该启用这个选项。系统支持的最大ipv4连接数,默认65536(事实上这也是理论最大值),同时这个值和你的内存大小有关,如果内存128M,这个值最大8192,1G以上内存这个值都是默认65536,这个值受/proc/sys/net/ipv4/ip_conntrack_max限制。
重启iptables为啥内核参数不对了?
BUG_zhentan的博客
12-22 390
问题描述 在一台服务器上重启iptables服务后,经过一段时间出现服务器丢包问题,看系统日志出现报错: nf_conntrack是啥 Linux内核中有一个内核模块nf_conntrack用于做连接跟踪,当iptables添加了nat相关规则时此模块会被自动启用。 顾名思义这个模块维护了一个连接跟踪表,当iptables做网络地址转换(nat)或设置一些跟连接状态(state)相关的规则时,此模块会被自动启用。该模块生效后,需要对部分参数做优化,如: net.netfilter.nf_c
iptables参数
Mryang2333的博客
12-28 487
filter表:负责过滤功能,防火墙;内核模块:iptables_filter nat表:network address translation,网络地址转换功能;内核模块:iptable_nat mangle表:拆解报文,做出修改,并重新封装 的功能;iptable_mangle raw表:关闭nat表上启用的连接追踪机制;iptable_raw -t : 指定表,默认为filter表 -v :...
Linux内核参数(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Javachichi的博客
08-13 913
通过修改 /proc/sys 目录下的文件,‌可以在系统运行时临时修改内核参数,‌而通过修改 /etc/sysctl.conf 文件,‌则可以永久地更改内核参数的默认设置。内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
修改iptables的内核参数报错
火云邪神的博客
02-28 516
1.报错信息 [root@controller ~]# sysctl -p net.ipv4.ip_default_ttl = 128 sysctl: cannot stat /proc/sys/net/bridge/bridge-nf-call-iptables: No such file or directory sysctl: cannot stat /proc/sys/net/bridge...
【linux】修改arp_ignore、arp_announce、arp_filter、accept_local |内核调优
bandaoyu的note
09-02 8864
对网络接口上本地IP地址发出的ARP报文作出相应级别的限制。0:本机所有IP地址都向任何一个接口通告ARP报文。1:尽量仅向该网卡回应与该网段匹配的ARP报文。2:只向该网卡回应与该网段匹配的ARP报文。
1、linux内核参数注释,Linux系统优化部分内核参数调优中文注释
weixin_42481708的博客
05-12 327
应用服务器sysctl.conf部分参数## network configurationsnet.ipv4.ip_forward = 0 # IP packet forwardingnet.ipv4.tcp_tw_reuse=1net.ipv4.tcp_tw_recycle=1net.ipv4.tcp_fin_timeout=30 #60,每条至多占 1.5K 的内存net.ipv4.tcp_k...
OpenCL中设置内核参数整理
hanxing0的专栏
12-25 9119
很久没来了,一直在忙毕设的东西。这篇博文整理下OpenCL内核参数设置的问题。资源摘自OpenCL实战 首先,说一下kernel中的几种地址空间限定符: (1)__global 该参数的数据会保存在全局数据空间,在内核中的参数使用例子如下: __kernel void kernel_func(__global float *f) { } (2)__constant 该参数
Linux内核设备驱动之Linux内核模块加载机制笔记整理
09-15
内核模块可以通过`module_param`宏定义参数,使得在加载模块时可以传递自定义的参数。例如,定义一个整型变量`num`,默认值为0,可以通过`module_param(num, int, 0)`将其注册为模块参数。在加载模块时,如`insmod ...
Linux内核设备驱动之内核的调试技术笔记整理
09-15
Linux内核调试是系统开发和维护中的重要环节,特别是对于涉及设备驱动的开发,了解和掌握内核调试技术至关重要。本文主要围绕四个关键点展开,包括内核源代码中的调试配置选项、通过宏进行`printk`调试、使用`strace...
修改tcp内核参数:somaxconn
06-10 1175
修改somaxconn 该内核参数默认值一般是128(定义了系统中每一个端口最大的监听队列的长度),对于负载很大的服务程序来说大大的不够。一般会将它修改为2048或者更大。 echo 2048 > /proc/sys/net/core/somaxconn 但是这样系统重启后保存不了 在/etc/sysctl.conf中添加如下 net.core.somaxconn = 2048 然后在终端中执行 sysctl -p https://www.cnblogs.com/jeffen/p/...
GARP(Gratuitous ARP)
redwingz的博客
10-29 2517
内核函数arp_is_garp判断ARP报文是否为GARP,先决条件是发送者IP和目标IP地址相同,另外,对于ARP回复(REPLAY)报文,要求如果目标硬件地址存在,需要与发送者硬件地址相等。最后,要求ARP报文的发送者IP为单播地址,否则,判定报文不是garp。 static bool arp_is_garp(struct net *net, struct net_device *dev, int *addr_type, __be16 ar_op, __b
linux内核参数与优化,linux内核参数优化一
weixin_30487899的博客
04-30 174
如果nginx等web或者其它要面临高并发的服务器,就一定要调一下文件句柄等内核部分。文件句柄修改/etc/security/limits.conf,添加*-nofile65535然后新建个连接用ulimit -n 查看一下。下面我把内核参数和说明贴出来,这是我在网上找的,自己整理了一下。原始链接找不到了,等找的会加上。尊重别人的劳动成果。如果有理解错误的地方,请帮助我提高自己。1. n...
linux sga_max_size 作用,shmmax/shmall和sga_max_size/sga_target应该设置多大
weixin_35702498的博客
05-13 1050
shmmax/shmall和sga_max_size/sga_target应该设置多大2013-04-10linux环境安装oracle时候,如果有32G内存,CentOS 5.8 64bit安装oracle10g 64bit。那么shmmax/shmall和sga_max_size/sga_target这4个参数到底应该设置多大呢?因为每个数据库需求和压力都不尽相同,这里只能给出一些相对值供大家...
【体系结构】Oracle的kernel.shmmax和kernel.shmall设置
cuichou8903的博客
05-17 3260
1. kernel.shmmax : 是核心参数中最重要的参数之一,用于定义单个共享内存段的最大值。设置应该足够大,能在一个共享内存段下容纳下整个的 SGA , ...
转载----Linux内核参数(如kernel.shmmax)及Oracle相关参数调整(如SGA_MAX_SIZE)
lifengyong的专栏
10-09 454
      我们一般在Linux 上安装 设置Oracle 数据库 或者在更换或升级硬件的时候都需要配置Linux 系统的核心参数, 然后才是调整Oracle 系统参数 。具体这些参数的实质意义是什么,为什么要做调整,如何合理调整? 带着这些问题我们做以下的一些分析以及测试。 注意: 以下的一些测试可能只适用于Linux 系统,且测试Linux 系统为64Bit,32Bit Linux 系...
Linux 核心(kernel)参数 sysctl.conf , shmmax
cuizhu0832的博客
08-10 369
# Added for Oracle 10g RAC -- 64bit, 64G内存的serverkernel.shmall = 16777216 kernel.shmmax = 68719...
sysctl arp_filter 的作用
可能青蛙的专栏
06-17 5709
在文 arp_announce 的作用 里解释了 arp_announce 的用途,即控制 arp 请求包。今天又碰到一个也是和 arp 有关的问题, 涉及到另外一个参数 arp_filter,这个参数和 arp 响应有关系。 在某台 ESXi 部署了一台虚拟机 A。ESXi 宿主机上一个物理网卡和交换机的 trunk 端口相连,即通过该物理网卡能访问多个网段,假设有两个网段分别为 19
Linux2.6内核驱动移植指南
文档作者晏渭川分享了他在整理过程中发现的主要变化,虽然没有详细列出每个函数的用法,但提到了一些关键的更新和新功能。此外,文档还指出可以参考http://lwn.net获取更详细的函数说明。" 在Linux2.6内核驱动移植...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值