本文介绍了Linux系统中关于网络转发、内存管理、文件系统、安全防护等方面的内核参数设置,包括开启IPv4和IPv6转发、调整接收与发送窗口大小、限制硬链接和软链接创建、设置反向路由过滤及TCP连接超时等,旨在提升系统性能并增强网络安全。
net.bridge.bridge-nf-call-ip6tables=1
net.bridge.bridge-nf-call-iptables=1
net.ipv4.ip_forward=1 开启转发
net.ipv4.conf.all.forwarding=1 所有网卡开启转发
net.ipv4.conf.eth0.forwarding = 1 单个网卡开启转发
#sysctls for k8s node config
net.core.rmem_max=16777216 接收窗口大小最大
net.core.wmem_max = 1048576 发送窗口最大
fs.inotify.max_user_watches=524288 io最大的event数目
fs.file-max=2097152 统一时间允许打开的文件数
vm.max_map_count=262144 允许虚拟内存的大小
net.core.netdev_max_backlog=16384 表示socket监听队列上限
net.core.somaxconn=32768 限制套接字侦听积压
net.ipv6.conf.all.disable_ipv6=1
net.ipv6.conf.default.disable_ipv6=1
net.ipv6.conf.lo.disable_ipv6=1
vm.swappiness=0 禁用虚拟内存
net.ipv4.conf.default.accept_source_route=0 不处理无源路由的包
net.ipv4.conf.all.accept_source_route=0
fs.protected_hardlinks=1 用于限制普通用户建立硬链接
fs.protected_symlinks=1 用于限制普通用户建立软链接
net.ipv4.conf.all.rp_filter=0 不通过反向路由回溯进行源地址验证
net.ipv4.conf.default.rp_filter=0
net.ipv4.conf.default.arp_announce = 2
net.ipv4.conf.lo.arp_announce=2
net.ipv4.conf.all.arp_announce=2
net.ipv4.tcp_max_tw_buckets=5000 系统同时保持timewait套接字的最大数
net.ipv4.tcp_syncookies=1 防止syn flood攻击
net.ipv4.tcp_fin_timeout=30
net.ipv4.tcp_synack_retries=2
kernel.sysrq=1
扫一扫
3950
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
