linux內(nèi)核參數(shù)設(shè)置

　　內(nèi)核參數(shù)設(shè)置

　　Linux 操作系統(tǒng)修改內(nèi)核參數(shù)有以下三種方式：

　　修改 /etc/sysctl.conf 文件；

　　在文件中加入配置項(xiàng)，格式為 key = value，保存修改后的文件，執(zhí)行命令 sysctl -p 加載新配置。

　　使用 sysctl 命令臨時(shí)修改；

　　如：sysctl -w net.ipv4.tcp_mem = “379008 505344 758016”直接修改 /proc/sys/ 目錄中的文件。

　　如：echo “379008 505344 758016” 》 /proc/sys/net/ipv4/tcp_mem注意：第一種方式在重啟操作系統(tǒng)后自動(dòng)永久生效；第二種和第三種方式在重啟后失效。

　　內(nèi)核參數(shù)

　　kernel.core_uses_pid = 1

　　? core_uses_pid 可以控制 core 文件的文件名中是否添加 pid 作為擴(kuò)展名。設(shè)置為1，表示添加 pid 作為擴(kuò)展名，生成的 core 文件格式為 core.xxx；設(shè)置為0（默認(rèn)），表示生成的 core 文件統(tǒng)一命名為 core。

　　kernel.core_pattern = core

　　? core_pattern 可以控制 core 文件的保存位置和文件格式。

　　? 如：kernel.core_pattern = “/corefile/core-%e-%p-%t”，表示將 core 文件統(tǒng)一生成到 /corefile 目錄下，產(chǎn)生的文件名為 core-命令名-pid-時(shí)間戳。

　　以下是參數(shù)列表：

　　%p - insert pid into filename 添加 pid

　　%u - insert current uid into filename 添加當(dāng)前 uid

　　%g - insert current gid into filename 添加當(dāng)前 gid

　　%s - insert signal that caused the coredump into the filename 添加導(dǎo)致產(chǎn)生 core 的信號(hào)

　　%t - insert UNIX time that the coredump occurred into filename 添加 core 文件生成時(shí)的 unix 時(shí)間

　　%h - insert hostname where the coredump happened into filename 添加主機(jī)名

　　%e - insert coredumping executable name into filename 添加命令名

　　kernel.msgmax = 8192

　　? 進(jìn)程間的消息傳遞是在內(nèi)核的內(nèi)存中進(jìn)行的。msgmax 指定了消息隊(duì)列中消息的最大值。（65536B=64KB）

　　kernel.msgmnb = 16384

　　? msgmnb 規(guī)定了一個(gè)消息隊(duì)列的最大值，即一個(gè)消息隊(duì)列的容量。msgmnb 控制可以使用的共享內(nèi)存的總頁(yè)數(shù)。Linux共享內(nèi)存頁(yè)大小為4KB，共享內(nèi)存段的大小都是共享內(nèi)存頁(yè)大小的整數(shù)倍。一個(gè)共享內(nèi)存段的最大大小是 16G，那么需要共享內(nèi)存頁(yè)數(shù)是16GB / 4KB = 16777216KB / 4KB = 4194304（頁(yè)），也就是64Bit系統(tǒng)下16GB物理內(nèi)存，設(shè)置kernel.shmall = 4194304才符合要求。

　　kernel.shmall = 1048576

　　? 表示在任何給定時(shí)刻，系統(tǒng)上可以使用的共享內(nèi)存的總量（bytes）。

　　kernel.shmmax = 4294967295

　　? 表示內(nèi)核所允許的最大共享內(nèi)存段的大?。╞ytes）。用于定義單個(gè)共享內(nèi)存段的最大值，64位 linux 系統(tǒng)，可取的最大值為物理內(nèi)存值 - 1byte，建議值為多于物理內(nèi)存的一半，一般取值大于SGA_MAX_SIZE即可，可以取物理內(nèi)存-1byte。例如，如果為64GB物理內(nèi)存，可取64 * 1024 * 1024 * 1024 - 1 = 68719476735。

　　? 實(shí)際可用最大共享內(nèi)存段大小=shmmax * 98%，其中大約2%用于共享內(nèi)存結(jié)構(gòu)?？梢酝ㄟ^(guò)設(shè)置 shmmax，然后執(zhí)行ipcs -l來(lái)驗(yàn)證。

　　kernel.sysrq = 0

　　? 控制系統(tǒng)調(diào)試內(nèi)核的功能，不同的值對(duì)應(yīng)不同的功能：

　　0 完全禁用 sysrq 組合鍵

　　1 啟用 sysrq 組合鍵的全部功能

　　2 啟用控制臺(tái)日志級(jí)別控制

　　4 啟用鍵盤控制（SAK、unraw）

　　8 啟用進(jìn)程的調(diào)試信息輸出等

　　16 啟用同步命令

　　32 啟用重新掛載為只讀

　　64 啟用進(jìn)程信號(hào)（終止、殺死、溢出殺死）

　　128 允許重啟/關(guān)機(jī)

　　256 控制實(shí)時(shí)任務(wù)的優(yōu)先級(jí)控制（nicing）

　　net.core.netdev_max_backlog = 262144

　　? 表示當(dāng)每個(gè)網(wǎng)絡(luò)接口接收數(shù)據(jù)包的速率比內(nèi)核處理這些包的速率快時(shí)，允許發(fā)送到隊(duì)列的數(shù)據(jù)包的最大數(shù)目。

　　net.core.rmem_default = 8388608

　　? 為 TCP socket 預(yù)留用于接收緩沖的內(nèi)存默認(rèn)值。

　　net.core.rmem_max = 16777216

　　? 為 TCP socket 預(yù)留用于接收緩沖的內(nèi)存最大值。

　　net.core.somaxconn = 128

　　? listen（函數(shù)）的默認(rèn)參數(shù)，掛起請(qǐng)求的最大數(shù)量限制。web 應(yīng)用中 listen 函數(shù)的 backlog 默認(rèn)會(huì)給我們內(nèi)核參數(shù)的 net.core.somaxconn 限制到128。nginx 服務(wù)器中定義的 NGX_LISTEN_BACKLOG 默認(rèn)為511。

　　net.core.wmem_default = 8388608

　　? 為 TCP socket 預(yù)留用于發(fā)送緩沖的內(nèi)存默認(rèn)值。

　　net.core.wmem_max= 16777216

　　? 為 TCP socket 預(yù)留用于發(fā)送緩沖的內(nèi)存最大值。

　　net.ipv4.conf.all.accept_source_route = 0、net.ipv4.conf.default.accept_source_route = 0

　　? 處理無(wú)源路由的包。

　　net.ipv4.conf.all.rp_filter = 1、net.ipv4.conf.default.rp_filter = 1

　　? 開(kāi)啟反向路徑過(guò)濾。

　　net.ipv4.ip_forward = 0、net.ipv4.conf.all.send_redirects = 0、v4.conf.default.send_redirects = 0

　　? 不充當(dāng)路由器。

　　net.ipv4.icmp_echo_ignore_broadcasts = 1

　　? 避免放大攻擊。

　　net.ipv4.icmp_ignore_bogus_error_responses = 1

　　? 開(kāi)啟惡意 ICMP 錯(cuò)誤消息保護(hù)。

　　net.ipv4.ip_local_port_range = 1024 65535

　　? 增加系統(tǒng) IP 端口限制。表示用于向外連接的端口范圍。參考

　　net.ipv4.tcp_fin_timeout = 30

　　? 如果套接字由本端要求關(guān)閉，這個(gè)參數(shù)決定了它保持在 FIN-WAIT-2 狀態(tài)的時(shí)間。對(duì)端可以出錯(cuò)并永遠(yuǎn)不關(guān)閉連接，甚至意外宕機(jī)。缺省值是 60s，2.2 內(nèi)核通常是 180s，你可以按這個(gè)設(shè)置，但要記住的是，即使你的機(jī)器是一個(gè)輕載的 WEB 服務(wù)器，也有因?yàn)榇罅康乃捞捉幼侄鴥?nèi)存溢出的風(fēng)險(xiǎn)，F(xiàn)IN-WAIT-2 的危險(xiǎn)性比 FIN-WAIT-1 要小，因?yàn)樗疃嘀荒艹缘?1.5k 內(nèi)存，但是它們的生存期長(zhǎng)些。

　　net.ipv4.tcp_keepalive_time = 1200

　　? 表示當(dāng) keepalive 起作用的時(shí)候，TCP 發(fā)送 keepalive 消息的頻度。（單位：秒，缺省值：2小時(shí)）

　　net.ipv4.tcp_max_orphans = 3276800

　　? 表示系統(tǒng)中最多有多少個(gè) TCP 套接字不被關(guān)聯(lián)到任何一個(gè)用戶文件句柄上。這個(gè)限制僅僅是為了防止簡(jiǎn)單的 DoS 攻擊，不能郭飛依賴依靠它或者認(rèn)為地減小這個(gè)值，如果增加了內(nèi)存之后，更應(yīng)該增加這個(gè)值。

　　net.ipv4.tcp_max_syn_backlog = 262144

　　? 記錄的是那些尚未收到客戶端確認(rèn)信息的連接請(qǐng)求的最大值。對(duì)于有 128M 內(nèi)存的系統(tǒng)而言，缺省值是 1024，小內(nèi)存的系統(tǒng)則是 128。

　　net.ipv4.tcp_max_tw_buckets = 6000

　　? 表示系統(tǒng)同時(shí)保持 TIME_WAIT 套接字的最大數(shù)量，默認(rèn)是 180000。

　　net.ipv4.tcp_mem = 94500000 915000000 927000000

　　? 確定 TCP 棧應(yīng)該如何反映內(nèi)存使用；每個(gè)值的單位都是內(nèi)存頁(yè)（通常是 4KB）：

　　第一個(gè)值是內(nèi)存使用的下限。

　　第二個(gè)值是內(nèi)存壓力模式開(kāi)始對(duì)緩沖區(qū)使用應(yīng)用壓力的上限。

　　第三個(gè)值是內(nèi)存上限。在這個(gè)層次上可以將報(bào)文丟棄，從而減少對(duì)內(nèi)存的使用。對(duì)于較大的 BDP 可以增大這些值（但是要記住，其單位是內(nèi)存頁(yè)，而不是字節(jié)）。

　　net.ipv4.tcp_sack = 1

　　? 啟用有選擇的應(yīng)答（1表示啟用），通過(guò)有選擇地應(yīng)答亂序接收到的報(bào)文來(lái)提高性能，讓發(fā)送者只發(fā)送丟失的報(bào)文段，（對(duì)于廣域網(wǎng)通信來(lái)說(shuō)）這個(gè)選項(xiàng)應(yīng)該啟用，但是會(huì)增加對(duì)CPU的占用。

　　net.ipv4.tcp_synack_retries = 1

　　? 為了打開(kāi)對(duì)端的連接，內(nèi)核需要發(fā)送一個(gè) SYN 并附帶一個(gè)回應(yīng)前面一個(gè) SYN 的 ACK。也就是所謂三次握手中的第二次握手。這個(gè)設(shè)置決定了內(nèi)核放棄連接之前發(fā)送 SYN+ACK 包的數(shù)量。

　　net.ipv4.tcp_syncookies = 1

　　? 開(kāi)啟 SYN 洪水攻擊保護(hù)。

　　net.ipv4.tcp_syn_retries = 1

　　? 在內(nèi)核放棄建立連接之前發(fā)送 SYN 包的數(shù)量。

　　net.ipv4.tcp_timestamps = 0

　　? 該參數(shù)用于設(shè)置時(shí)間戳，可以避免序列號(hào)的卷繞。一個(gè)1Gbps的鏈路肯定會(huì)遇到以前用過(guò)的序列號(hào)。時(shí)間戳能夠讓內(nèi)核接受這種“異常”的數(shù)據(jù)包。設(shè)置為 0 表示將其關(guān)掉。

　　net.ipv4.tcp_tw_recycle = 0

　　? 是否開(kāi)啟 TCP 連接中 TIME-WAIT sockets 的快速回收，0 表示關(guān)閉，1 表示開(kāi)啟。當(dāng) tcp_tw_recycle 與 tcp_timestamp 同時(shí)開(kāi)啟時(shí)會(huì)降低連接成功率。

　　net.ipv4.tcp_tw_reuse = 1

　　? 是否開(kāi)啟重用，允許將 TIME-WAIT sockets 重新用于新的 TCP 連接，0 表示關(guān)閉，1 表示開(kāi)啟。

　　net.ipv4.tcp_window_scaling = 1

　　? 啟用 RFC 1323 定義的 window scaling，要支持超過(guò) 64KB 的 TCP 窗口，必須啟用該值（1表示啟用），TCP窗口最大至 1GB，TCP 連接雙方都啟用時(shí)才生效。

　　net.ipv6.conf.all.disable_ipv6 = 1、net.ipv6.conf.default.disable_ipv6 = 1

　　? 禁用 IPv6

　　linux內(nèi)核的功能有哪些

　　內(nèi)核主要有以下4能：系統(tǒng)內(nèi)存管理；軟件程序管理；硬件管理；文件系統(tǒng)管理；

　?。?）系統(tǒng)內(nèi)存管理

　　內(nèi)存管理是操作系統(tǒng)內(nèi)核的主要功能之一。內(nèi)核不僅能管理可用的物理內(nèi)存，還可以創(chuàng)建并管理虛擬內(nèi)存。

　　內(nèi)存管理必須使用硬盤空間，該空間被稱為交換空間。內(nèi)核不斷的在該交換空間和實(shí)際物理內(nèi)存之間交換虛擬內(nèi)存位置的內(nèi)容。這樣系統(tǒng)的可用內(nèi)存比實(shí)際內(nèi)存多。

　　將內(nèi)存位置分組為多個(gè)數(shù)據(jù)塊，此操作被稱為分頁(yè)。內(nèi)核定位物理內(nèi)存或交換空間中的每個(gè)內(nèi)存分頁(yè)，然后維護(hù)一個(gè)內(nèi)存分頁(yè)頁(yè)表，此表說(shuō)明位于物理內(nèi)存的分頁(yè)和交換到磁盤的分頁(yè)。內(nèi)存跟蹤使用的分頁(yè)，并且自動(dòng)將一段時(shí)間沒(méi)有用到的內(nèi)存分頁(yè)復(fù)制到交換空間區(qū)域，稱為換出過(guò)程。即使內(nèi)存夠也執(zhí)行這個(gè)過(guò)程。當(dāng)程序需要訪問(wèn)已經(jīng)換出的分頁(yè)時(shí)，內(nèi)存必須換出另一個(gè)分頁(yè)，以在物理內(nèi)存中為該內(nèi)存分頁(yè)騰出空間，然后從交換空間換入需要的分頁(yè)。

　　在Linux系統(tǒng)上運(yùn)行的每個(gè)進(jìn)程都有自己的內(nèi)存分頁(yè)，一個(gè)進(jìn)程不能訪問(wèn)另一個(gè)進(jìn)程正在使用的分頁(yè)。內(nèi)核也有自己的內(nèi)存區(qū)域，出于安全考慮，任何進(jìn)程都不能訪問(wèn)內(nèi)核進(jìn)程正在使用的內(nèi)存。

　?。?）軟件程序管理

　　正在運(yùn)行的程序被稱為進(jìn)程。進(jìn)程可以在前臺(tái)運(yùn)行，也可以在后臺(tái)運(yùn)行。

　　內(nèi)核創(chuàng)建的第一個(gè)進(jìn)程被稱為初始進(jìn)程，該進(jìn)程在系統(tǒng)上啟動(dòng)所有其它進(jìn)程。內(nèi)核啟動(dòng)的時(shí)候，初始進(jìn)程被加載到虛擬內(nèi)存中，內(nèi)存每啟動(dòng)一個(gè)其它進(jìn)程，都將在虛擬內(nèi)存中為其分配一個(gè)唯一的空間，用于儲(chǔ)存該進(jìn)程的數(shù)據(jù)和代碼。

　?。?）硬件管理

　　Linux系統(tǒng)需要與之通信的設(shè)備都必須在內(nèi)核代碼中插入驅(qū)動(dòng)程序代碼。驅(qū)動(dòng)程序代碼使內(nèi)核能夠向設(shè)備傳輸數(shù)據(jù)。在Linux中插入設(shè)備驅(qū)動(dòng)的程序有兩種方法：

　　1.在內(nèi)核中編譯驅(qū)動(dòng)程序。

　　2.向內(nèi)核添加驅(qū)動(dòng)程序模塊。

　　Linux將硬件設(shè)備標(biāo)識(shí)為特殊文件，稱為設(shè)備文件。設(shè)備文件分為3種：

　　1.字符

　　2.塊

　　3.網(wǎng)絡(luò)

　　字符設(shè)備文件用于那些一次僅處理一個(gè)字符的設(shè)備。塊文件用于那些一次可處理大量數(shù)據(jù)塊的設(shè)備。網(wǎng)絡(luò)文件用于那些使用數(shù)據(jù)包發(fā)送和接收數(shù)據(jù)的設(shè)備。

　　（4）文件系統(tǒng)管理

　　Linux系統(tǒng)可以使用不同類型的文件系統(tǒng)與硬盤傳輸數(shù)據(jù)。除了本身的文件系統(tǒng)外，還可以通過(guò)其他的操作系統(tǒng)使用的文件系統(tǒng)傳輸數(shù)據(jù)。Linux內(nèi)核使用虛擬文件系統(tǒng)與每個(gè)文件系統(tǒng)進(jìn)行連接。為內(nèi)核與其他文件系統(tǒng)類型的通信提供了一個(gè)標(biāo)準(zhǔn)接口，掛載和使用每個(gè)文件系統(tǒng)時(shí)。虛擬文件系統(tǒng)中緩存相關(guān)的信息。