linux中sysctl.conf檔案常用參數中文說明

來源:互聯網
上載者:User

本文章來給各位同學介紹關於linux中sysctl.conf檔案常用參數詳解,這裡每個參數我們都用中文來詳解介紹了功能,希望對大家有所協助。

 

最近發現很多核心最佳化參數都記不住了,寫下文章來備記,方便以後查看.

編輯 /etc/sysctl.conf 檔案,在裡面加入如下內容:(有注釋) 
 
#最大的待發送TCP資料緩衝區空間 
net.inet.tcp.sendspace=65536 
 
#最大的接受TCP緩衝區空間 
net.inet.tcp.recvspace=65536 
 
#最大的接受UDP緩衝區大小 
net.inet.udp.sendspace=65535 
 
#最大的發送UDP資料緩衝區大小 
net.inet.udp.maxdgram=65535 
 
#本地通訊端串連的資料發送空間 
net.local.stream.sendspace=65535 
 
#加快網路效能的協議 
net.inet.tcp.rfc1323=1 
net.inet.tcp.rfc1644=1 
net.inet.tcp.rfc3042=1 
net.inet.tcp.rfc3390=1 
 
#最大的通訊端緩衝區 
kern.ipc.maxsockbuf=2097152 
 
#系統中允許的最多檔案數量 
kern.maxfiles=65536 
 
#每個進程能夠同時開啟的最大檔案數量 
kern.maxfilesperproc=32768 
 
#當一台電腦發起TCP串連請求時,系統會回應ACK應答資料包。該選項設定是否延遲ACK應答資料包,把它和包含資料的資料包一起發送

,在高速網路和低負載的情況下會略微提高效能,但在網路連接較差的時候,對方電腦得不到應答會持續發起串連請求,反而會降低性

能。 
net.inet.tcp.delayed_ack=0 
 
#屏蔽ICMP重新導向功能 
net.inet.icmp.drop_redirect=1 
net.inet.icmp.log_redirect=1 
net.inet.ip.redirect=0 
net.inet6.ip6.redirect=0 
 
#防止ICMP廣播風暴 
net.inet.icmp.bmcastecho=0 
net.inet.icmp.maskrepl=0 
 
#限制系統發送ICMP速率 
net.inet.icmp.icmplim=100 
 
#安全參數,編譯核心的時候加了options TCP_DROP_SYNFIN才可以用 
net.inet.icmp.icmplim_output=0 
net.inet.tcp.drop_synfin=1 
 
#設定為1會協助系統清除沒有正常斷開的TCP串連,這增加了一些網路頻寬的使用,但是一些死掉的串連最終能被識別並清除。死的TCP連

接是被撥號使用者存取的系統的一個特別的問題,因為使用者經常斷開modem而不正確的關閉活動的串連 
net.inet.tcp.always_keepalive=1 
 
#若看到net.inet.ip.intr_queue_drops這個在增加,就要調大net.inet.ip.intr_queue_maxlen,為0最好 
net.inet.ip.intr_queue_maxlen=1000 
 
#防止DOS攻擊,預設為30000 
net.inet.tcp.msl=7500 
 
#接收到一個已經關閉的連接埠發來的所有包,直接drop,如果設定為1則是只針對TCP包 
net.inet.tcp.blackhole=2 
 
#接收到一個已經關閉的連接埠發來的所有UDP包直接drop 
net.inet.udp.blackhole=1 
 
#為網路資料連線時提供緩衝 
net.inet.tcp.inflight.enable=1 
 
#如果開啟的話每個目標地址一次轉寄成功以後它的資料都將被記錄進路由表和arp資料表,節約路由的計算時間,但會需要大量的核心記憶體

空間來儲存路由表 
net.inet.ip.fastforwarding=0 
 
#kernel編譯開啟options POLLING功能,高負載情況下使用低負載不推薦SMP不能和polling一起用 
#kern.polling.enable=1 
 
#並發串連數,預設為128,推薦在1024-4096之間,數字越大佔用記憶體也越大 
kern.ipc.somaxconn=32768 
 
#禁止使用者查看其他使用者的進程 
security.bsd.see_other_uids=0 
 
#設定kernel安全層級 
kern.securelevel=0 
 
#記錄下任何TCP串連 
net.inet.tcp.log_in_vain=1 
 
#記錄下任何UDP串連 
net.inet.udp.log_in_vain=1 
 
#防止不正確的udp包的攻擊 
net.inet.udp.checksum=1 
 
#防止DOS攻擊 
net.inet.tcp.syncookies=1 
 
#僅為線程提供實體記憶體支援,需要256兆以上記憶體 
kern.ipc.shm_use_phys=1 
 
# 線程可使用的最大共用記憶體 
kern.ipc.shmmax=67108864 
 
# 最大線程數量 
kern.ipc.shmall=32768 
 
# 程式崩潰時不記錄 
kern.coredump=0 
 
# lo本機資料流接收和發送空間 
net.local.stream.recvspace=65536 
net.local.dgram.maxdgram=16384 
net.local.dgram.recvspace=65536 
 
# 資料包資料區段大小,ADSL為1452。 
net.inet.tcp.mssdflt=1460 
 
# 為網路資料連線時提供緩衝 
net.inet.tcp.inflight_enable=1 
 
# 資料包資料區段最小值,ADSL為1452 
net.inet.tcp.minmss=1460 
 
# 本機資料最大數量 
net.inet.raw.maxdgram=65536 
 
# 本機資料流接收空間 
net.inet.raw.recvspace=65536 
 
#ipfw防火牆動態規則數量,預設為4096,增大該值可以防止某些病毒發送大量TCP串連,導致不能建立正常串連 
net.inet.ip.fw.dyn_max=65535 
 
#設定ipf防火牆TCP串連空閑保留時間,預設8640000(120小時) 
net.inet.ipf.fr_tcpidletimeout=864000


$ /proc/sys/net/core/wmem_max
最大socket寫buffer,可參考的最佳化值:873200
$ /proc/sys/net/core/rmem_max
最大socket讀buffer,可參考的最佳化值:873200
$ /proc/sys/net/ipv4/tcp_wmem
TCP寫buffer,可參考的最佳化值: 8192 436600 873200
$ /proc/sys/net/ipv4/tcp_rmem
TCP讀buffer,可參考的最佳化值: 32768 436600 873200
$ /proc/sys/net/ipv4/tcp_mem
同樣有3個值,意思是:
net.ipv4.tcp_mem[0]:低於此值,TCP沒有記憶體壓力.
net.ipv4.tcp_mem[1]:在此值下,進入記憶體壓力階段.
net.ipv4.tcp_mem[2]:高於此值,TCP拒絕分配socket.
上述記憶體單位是頁,而不是位元組.可參考的最佳化值是:786432 1048576 1572864
$ /proc/sys/net/core/netdev_max_backlog
進入包的最大裝置隊列.預設是300,對重負載伺服器而言,該值太低,可調整到1000.
$ /proc/sys/net/core/somaxconn
listen()的預設參數,掛起請求的最大數量.預設是128.對繁忙的伺服器,增加該值有助於網路效能.可調整到256.
$ /proc/sys/net/core/optmem_max
socket buffer的最大初始化值,預設10K.
$ /proc/sys/net/ipv4/tcp_max_syn_backlog
進入SYN包的最大請求隊列.預設1024.對重負載伺服器,增加該值顯然有好處.可調整到2048.
$ /proc/sys/net/ipv4/tcp_retries2
TCP失敗重傳次數,預設值15,意味著重傳15次才徹底放棄.可減少到5,以儘早釋放核心資源.
$ /proc/sys/net/ipv4/tcp_keepalive_time
$ /proc/sys/net/ipv4/tcp_keepalive_intvl
$ /proc/sys/net/ipv4/tcp_keepalive_probes
這3個參數與TCP KeepAlive有關.預設值是:
tcp_keepalive_time = 7200 seconds (2 hours)
tcp_keepalive_probes = 9
tcp_keepalive_intvl = 75 seconds
意思是如果某個TCP串連在idle 2個小時後,核心才發起probe.如果probe 9次(每次75秒)不成功,核心才徹底放棄,認為該串連已失效.對伺服器而言,顯然上述值太大. 可調整到:
/proc/sys/net/ipv4/tcp_keepalive_time 1800
/proc/sys/net/ipv4/tcp_keepalive_intvl 30
/proc/sys/net/ipv4/tcp_keepalive_probes 3
$ proc/sys/net/ipv4/ip_local_port_range
指定連接埠範圍的一個配置,預設是32768 61000,已夠大.
 
net.ipv4.tcp_syncookies = 1
表示開啟SYN Cookies。當出現SYN等待隊列溢出時,啟用cookies來處理,可防範少量SYN攻擊,預設為0,表示關閉;

net.ipv4.tcp_tw_reuse = 1
表示開啟重用。允許將TIME-WAIT sockets重新用於新的TCP串連,預設為0,表示關閉;

net.ipv4.tcp_tw_recycle = 1
表示開啟TCP串連中TIME-WAIT sockets的快速回收,預設為0,表示關閉。

net.ipv4.tcp_fin_timeout = 30
表示如果通訊端由本端要求關閉,這個參數決定了它保持在FIN-WAIT-2狀態的時間。

net.ipv4.tcp_keepalive_time = 1200
表示當keepalive起用的時候,TCP發送keepalive訊息的頻度。預設是2小時,改為20分鐘。

net.ipv4.ip_local_port_range = 1024 65000
表示用於向外串連的連接埠範圍。預設情況下很小:32768到61000,改為1024到65000。

net.ipv4.tcp_max_syn_backlog = 8192
表示SYN隊列的長度,預設為1024,加大隊列長度為8192,可以容納更多等待串連的網路連接數。

net.ipv4.tcp_max_tw_buckets = 5000

表示系統同時保持TIME_WAIT通訊端的最大數量,如果超過這個數字,TIME_WAIT通訊端將立刻被清除並列印警告資訊。預設為180000,改為 5000。對於Apache、Nginx等伺服器,上幾行的參數可以很好地減少TIME_WAIT通訊端數量,但是對於Squid,效果卻不大。此項參數可以控制TIME_WAIT通訊端的最大數量,避免Squid伺服器被大量的TIME_WAIT通訊端拖死。

相關文章

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.