- 論壇徽章:
- 0
|
回復(fù) 51# kns1024wh
我來分享一個(gè)當(dāng)前生產(chǎn)環(huán)境中的內(nèi)核參數(shù)優(yōu)化���,接上之前發(fā)布的內(nèi)核編譯優(yōu)化�����,系統(tǒng)是freebsd 7.3
二、內(nèi)核參數(shù)優(yōu)化
內(nèi)核編譯完后��,就要對(duì)內(nèi)核的參數(shù)做一些調(diào)整��,以提高服務(wù)器的運(yùn)行速度
/etc/sysctl.conf
----------------------------------------------------------
#通過源路由��,攻擊者可以嘗試到達(dá)內(nèi)部IP地址 --包括RFC1918中的地址��,所以
不接受源路由信息包可以防止你的內(nèi)部網(wǎng)絡(luò)被探測(cè)
net.inet.ip.sourceroute=0
net.inet.ip.accept_sourceroute=0
#安全參數(shù)��,編譯內(nèi)核的時(shí)候加了options TCP_DROP_SYNFIN才可以用,可以阻止某些OS探測(cè)
net.inet.tcp.drop_synfin=1
#最大的待發(fā)送TCP數(shù)據(jù)緩沖區(qū)空間
net.inet.tcp.sendspace=65536
#最大的接受TCP緩沖區(qū)空間
net.inet.tcp.recvspace=65536
#最大的接受UDP緩沖區(qū)大小
net.inet.udp.recvspace=49152
#最大的發(fā)送UDP數(shù)據(jù)緩沖區(qū)大小
net.inet.udp.maxdgram=24576
#本地套接字連接的數(shù)據(jù)發(fā)送空間
net.local.stream.sendspace=65535
#加快網(wǎng)絡(luò)性能的協(xié)議
net.inet.tcp.rfc1323=1
net.inet.tcp.rfc3042=1
net.inet.tcp.rfc3390=1
#最大的套接字緩沖區(qū)
kern.ipc.maxsockbuf=2097152
#系統(tǒng)中允許的最多文件數(shù)量
kern.maxfiles=65536
#每個(gè)進(jìn)程能夠同時(shí)打開的最大文件數(shù)量
kern.maxfilesperproc=32768
#該選項(xiàng)設(shè)置是否延遲ACK應(yīng)答數(shù)據(jù)包
net.inet.tcp.delayed_ack=1
#屏蔽ICMP重定向功能
net.inet.icmp.drop_redirect=1
net.inet.icmp.log_redirect=1
net.inet.ip.redirect=0
net.inet6.ip6.redirect=0
#防止ICMP廣播風(fēng)暴
net.inet.icmp.bmcastecho=0
net.inet.icmp.maskrepl=0
#限制系統(tǒng)發(fā)送ICMP速率
net.inet.icmp.icmplim=100
net.inet.icmp.icmplim_output=1
#設(shè)置為1會(huì)幫助系統(tǒng)清除沒有正常斷開的TCP連接
net.inet.tcp.always_keepalive=1
#若看到net.inet.ip.intr_queue_drops這個(gè)在增加,就要調(diào)大net.inet.ip.intr_queue_maxlen,為0最好
net.inet.ip.intr_queue_maxlen=1000
net.inet.ip.intr_queue_drops=0
#防止DOS攻擊,默認(rèn)為30000
net.inet.tcp.msl=2500
#接收到一個(gè)已經(jīng)關(guān)閉的端口發(fā)來的所有包,直接drop,如果設(shè)置為1則是只針對(duì)TCP包
net.inet.tcp.blackhole=2
#接收到一個(gè)已經(jīng)關(guān)閉的端口發(fā)來的所有UDP包直接drop
net.inet.udp.blackhole=1
#為網(wǎng)絡(luò)數(shù)據(jù)連接時(shí)提供緩沖
net.inet.tcp.inflight.enable=1
#限制 TCP 帶寬延遲積和 NetBSD 的 TCP/Vegas 類似��。
#它可以通過將 sysctl 變量 net.inet.tcp.inflight.enable 設(shè)置成 1 來啟用�����。
#系統(tǒng)將嘗試計(jì)算每一個(gè)連接的帶寬延遲積����,并將排隊(duì)的數(shù)據(jù)量限制在恰好能保持最優(yōu)吞吐量的水平上。
#這一特性在您的服務(wù)器同時(shí)向使用普通調(diào)制解調(diào)器���,千兆以太網(wǎng)��,乃至更高速度的光與網(wǎng)絡(luò)連接 (或其他帶寬延遲積很
#大的連接) 的時(shí)候尤為重要����,
#特別是當(dāng)您同時(shí)使用滑動(dòng)窗縮放�����,或使用了大的發(fā)送窗口的時(shí)候�����。
#如果啟用了這個(gè)選項(xiàng),您還應(yīng)該把 net.inet.tcp.inflight.debug 設(shè)置為 0 (禁用調(diào)試)����,
#對(duì)于生產(chǎn)環(huán)境而言, 將 net.inet.tcp.inflight.min 設(shè)置成至少 6144 會(huì)很有好處��。
#然而�����, 需要注意的是��,這個(gè)值設(shè)置過大事實(shí)上相當(dāng)于禁用了連接帶寬延遲積限制功能�����。
#這個(gè)限制特性減少了在路由和交換包隊(duì)列的堵塞數(shù)據(jù)數(shù)量���,也減少了在本地主機(jī)接口隊(duì)列阻塞的數(shù)據(jù)的數(shù)量。
#在少數(shù)的等候隊(duì)列中��、交互式連接�����,尤其是通過慢速的調(diào)制解調(diào)器,也能用低的 往返時(shí)間操作���。
#但是���,注意這只影響到數(shù)據(jù)發(fā)送 (上載/服務(wù)端)。對(duì)數(shù)據(jù)接收(下載)沒有效果�。
#調(diào)整 net.inet.tcp.inflight.stab 是 不 推薦的���。
#這個(gè)參數(shù)的默認(rèn)值是 20��,表示把 2 個(gè)最大包加入到帶寬延遲積窗口的計(jì)算中�。
#額外的窗口似的算法更為穩(wěn)定,并改善對(duì)于多變網(wǎng)絡(luò)環(huán)境的相應(yīng)能力,
#但也會(huì)導(dǎo)致慢速連接下的 ping 時(shí)間增長 (盡管還是會(huì)比沒有使用 inflight 算法低許多)。
#對(duì)于這些情形, 您可能會(huì)希望把這個(gè)參數(shù)減少到 15, 10�, 或 5;
#并可能因此而不得不減少 net.inet.tcp.inflight.min (比如說����, 3500) 來得到希望的效果��。
#減少這些參數(shù)的值�, 只應(yīng)作為最后不得已時(shí)的手段來使用�。
net.inet.tcp.inflight.debug=0
net.inet.tcp.inflight.rttthresh=10
net.inet.tcp.inflight.min=6144
net.inet.tcp.inflight.max=1073725440
net.inet.tcp.inflight.stab=20
#如果打開的話每個(gè)目標(biāo)地址一次轉(zhuǎn)發(fā)成功以后它的數(shù)據(jù)都將被記錄進(jìn)路由表和arp數(shù)據(jù)表,節(jié)約路由的計(jì)算時(shí)間,但會(huì)需#
要大量的內(nèi)核內(nèi)存空間來保存路由表
net.inet.ip.fastforwarding=1
#默認(rèn)情況下���,ip包的id號(hào)是連續(xù)的��,如果設(shè)置成1,則這個(gè)id號(hào)是隨機(jī)的
net.inet.ip.random_id=1
#并發(fā)連接數(shù),默認(rèn)為128,推薦在1024-4096之間,數(shù)字越大占用內(nèi)存也越大
kern.ipc.somaxconn=8192
#不允許用戶看到其他用戶的進(jìn)程
security.bsd.see_other_uids=0
security.bsd.see_other_gids=0
#設(shè)置kernel安全級(jí)別
kern.securelevel=0
#記錄下任何TCP連接
net.inet.tcp.log_in_vain=0
#記錄下任何UDP連接
net.inet.udp.log_in_vain=0
#防止不正確的udp包的攻擊
net.inet.udp.checksum=1
#防止DOS攻擊
net.inet.tcp.syncookies=1
#僅為線程提供物理內(nèi)存支持,需要256兆以上內(nèi)存
kern.ipc.shm_use_phys=1
# 線程可使用的最大共享內(nèi)存
kern.ipc.shmmax=67108864
# 最大線程數(shù)量
kern.ipc.shmall=32768
# 程序崩潰時(shí)不記錄
kern.coredump=0
#lo本地?cái)?shù)據(jù)流接收和發(fā)送空間
net.local.stream.recvspace=65536
net.local.dgram.maxdgram=16384
net.local.dgram.recvspace=65536
# 本地?cái)?shù)據(jù)最大數(shù)量
net.inet.raw.maxdgram=65536
# 本地?cái)?shù)據(jù)流接收空間
net.inet.raw.recvspace=65536
#ipfw防火墻動(dòng)態(tài)規(guī)則數(shù)量,默認(rèn)為4096,增大該值可以防止某些病毒發(fā)送大量TCP連接,導(dǎo)致不能建立正常連接
net.inet.ip.fw.dyn_max=65535
#所有MPSAFE的網(wǎng)絡(luò)ISR對(duì)包做立即響應(yīng),提高網(wǎng)卡性能
net.isr.direct=1
#清理apache產(chǎn)生的CLOSE_WAIT狀態(tài)
net.inet.ip.rtexpire=3600
net.inet.ip.rtminexpire=2
#TCP的套接字的空閑時(shí)間
net.inet.tcp.keepidle=600000
#控制TCP及UDP所使用的port范圍
net.inet.ip.portrange.first=8888
net.inet.ip.portrange.hifirst=8888
#加載linux內(nèi)核版本
compat.linux.osrelease=2.6.16
/boot/loader.conf
----------------------------------------------------
kern.maxdsiz="536870912"
kern.ipc.maxsockets="16424"
kern.ipc.nmbclusters="32768"
kern.ipc.nmbufs="65535"
kern.ipc.nsfbufs="2496"
net.inet.tcp.tcbhashsize="2048"
kern.maxusers="256"
|
|
免費(fèi)注冊(cè)
樓主: king_819
發(fā)表于 2012-03-09 16:29
發(fā)表于 2012-03-09 22:42
念章.png "2016科比退役紀(jì)念章
日期:2022-04-24 14:33:24")