大型网站linux服务器优化,优化Linux生产服务器-CSDN博客

本文介绍了如何对Linux服务器进行性能优化和安全配置，包括时间同步、SYNcookie保护、Squid服务器优化、Nginx服务器配置以及调整最大文件打开数。通过设置如ntpdate进行时间同步，启用SYNcookie防止攻击，调整内核参数减少TIME_WAIT套接字，限制文件打开数等措施，提升服务器稳定性和安全性。

一、时间同步

生产环境下的服务器对时间的要求是精准的，编辑

vim /etc/crontab

至今每天跟ntp时间服务器自动对时一次：

30 1 * * * /usr/sbin/ntpdate 192.43.244.18

二、启用内核中的SYN cookie保护：

echo "1" > /proc/sys/net/ipv4/tcp_syncookies

执行以下命令使内核配置立马生效：

/sbin/sysctl -p

三、Squid服务器变慢的解决方法

如果自己的生产服务器是squid缓存服务器，当发现系统变慢或打开网页变慢时可输入下列命令：

netstat -n | awk '/^tcp/ {++S[$NF]} \ END {for(a in S) print a, S[a]}'

这条命令可以把当前系统的网络连接状态分类汇总，由此分析出系统变慢的原因。

Linux下高并发的Squid服务器，TCP TIME_WAIT套接字数量经常达到两、三万，服务器很容易被拖死。通过修改Linux内核参数，可以

减少Squid服务器的TIME_WAIT套接字数量。

vim /etc/sysctl.conf

增加以下几行：

net.ipv4.tcp_fin_timeout = 30 net.ipv4.tcp_keepalive_time = 1200 net.ipv4.tcp_tw_reuse = 1 net.ipv4.tcp_tw_recycle = 1 net.ipv4.ip_local_port_range = 1024 65000 net.ipv4.tcp_max_syn_backlog = 8192 net.ipv4.tcp_max_tw_buckets = 5000

说明：

net.ipv4.tcp_tw_reuse = 1 表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接，默认为0，表示关闭；

net.ipv4.tcp_tw_recycle = 1 表示开启TCP连接中TIME-WAIT sockets的快速回收，默认为0，表示关闭。

net.ipv4.tcp_fin_timeout = 30 表示如果套接字由本端要求关闭，这个参数决定了它保持在FIN-WAIT-2状态的时间。

net.ipv4.tcp_keepalive_time = 1200 表示当keepalive起用的时候，TCP发送keepalive消息的频度。缺省是2小时，改为20分钟。

net.ipv4.ip_local_port_range = 1024 65000 表示用于向外连接的端口范围。缺省情况下很小，改为1024到65000。

net.ipv4.tcp_max_syn_backlog = 8192 表示SYN队列的长度，默认为1024，加大队列长度为8192，可以容纳更多等待连接的网络连接数。

net.ipv4.tcp_max_tw_buckets = 5000表示系统同时保持TIME_WAIT套接字的最大数量，如果超过这个数字，TIME_WAIT套接字将立刻被清除并打印警告信息。默认为 180000，改为5000。对于Apache、Nginx等服务器，上几行的参数可以很好地减少TIME_WAIT套接字数量，但是对于Squid，效果却不大。此项参数可以控制TIME_WAIT套接字的最大数量，避免Squid服务器被大量的TIME_WAIT套接字拖死。

执行以下命令使内核配置立马生效：

/sbin/sysctl –p

四、Nginx服务器的情况

如果服务器是Nginx负载均衡器或用于Nginx+PHP5的web服务器，此二项也必须打开：

net.ipv4.tcp_tw_reuse = 1 #允许重新用于新的TCP连接 net.ipv4.tcp_tw_recycle = 1 #开启TCP连接快速回收

执行以下命令使内核配置立马生效：

/sbin/sysctl –p

五、调整Linux的最大文件打开数

Linux最大文件打开数的默认值很低，必须修改的高一些，否则squid服务器在高负载时执行性能将很低。

vim /etc/security/limit.conf

，在最后一行添加

* soft nofile 60000 * hard nofile 65535