linuxlisten第二個參數_在linux的內核參數表有多個相同的參數

A. linux 內核參數優化

一、Sysctl命令用來配置與顯示在/proc/sys目錄中的內核參數．如果想使參數長期保存，可以通過編輯/etc/sysctl.conf文件來實現。

命令格式：
sysctl [-n] [-e] -w variable=value
sysctl [-n] [-e] -p (default /etc/sysctl.conf)
sysctl [-n] [-e] –a

常用參數的意義：
-w 臨時改變某個指定參數的值，如
# sysctl -w net.ipv4.ip_forward=1
-a 顯示所有的系統參數
-p從指定的文件載入系統參數,默認從/etc/sysctl.conf 文件中載入，如：

以上兩種方法都可能立即開啟路由功能，但如果系統重啟，或執行了
# service network restart
命令，所設置的值即會丟失，如果想永久保留配置，可以修改/etc/sysctl.conf文件，將 net.ipv4.ip_forward=0改為net.ipv4.ip_forward=1

二、linux內核參數調整：linux 內核參數調整有兩種方式

方法一：修改/proc下內核參數文件內容，不能使用編輯器來修改內核參數文件，理由是由於內核隨時可能更改這些文件中的任意一個，另外，這些內核參數文件都是虛擬文件，實際中不存在，因此不能使用編輯器進行編輯，而是使用echo命令，然後從命令行將輸出重定向至 /proc 下所選定的文件中。如：將 timeout_timewait 參數設置為30秒：

參數修改後立即生效，但是重啟系統後，該參數又恢復成默認值。因此，想永久更改內核參數，需要修改/etc/sysctl.conf文件

方法二．修改/etc/sysctl.conf文件。檢查sysctl.conf文件，如果已經包含需要修改的參數，則修改該參數的值，如果沒有需要修改的參數，在sysctl.conf文件中添加參數。如：
net.ipv4.tcp_fin_timeout=30
保存退出後，可以重啟機器使參數生效，如果想使參數馬上生效，也可以執行如下命令：

三、sysctl.conf 文件中參數設置及說明
proc/sys/net/core/wmem_max
最大socket寫buffer,可參考的優化值:873200

/proc/sys/net/core/rmem_max
最大socket讀buffer,可參考的優化值:873200
/proc/sys/net/ipv4/tcp_wmem
TCP寫buffer,可參考的優化值: 8192 436600 873200

/proc/sys/net/ipv4/tcp_rmem
TCP讀buffer,可參考的優化值: 32768 436600 873200

/proc/sys/net/ipv4/tcp_mem
同樣有3個值,意思是:
net.ipv4.tcp_mem[0]:低於此值,TCP沒有內存壓力.
net.ipv4.tcp_mem[1]:在此值下,進入內存壓力階段.
net.ipv4.tcp_mem[2]:高於此值,TCP拒絕分配socket.
上述內存單位是頁,而不是位元組.可參考的優化值是:786432 1048576 1572864

/proc/sys/net/core/netdev_max_backlog
進入包的最大設備隊列.默認是300,對重負載伺服器而言,該值太低,可調整到1000

/proc/sys/net/core/somaxconn
listen()的默認參數,掛起請求的最大數量.默認是128.對繁忙的伺服器,增加該值有助於網路性能.可調整到256.

/proc/sys/net/core/optmem_max
socket buffer的最大初始化值,默認10K

/proc/sys/net/ipv4/tcp_max_syn_backlog
進入SYN包的最大請求隊列.默認1024.對重負載伺服器,可調整到2048

/proc/sys/net/ipv4/tcp_retries2
TCP失敗重傳次數,默認值15,意味著重傳15次才徹底放棄.可減少到5,盡早釋放內核資源.

/proc/sys/net/ipv4/tcp_keepalive_time
/proc/sys/net/ipv4/tcp_keepalive_intvl
/proc/sys/net/ipv4/tcp_keepalive_probes
這3個參數與TCP KeepAlive有關.默認值是:
tcp_keepalive_time = 7200 seconds (2 hours)
tcp_keepalive_probes = 9
tcp_keepalive_intvl = 75 seconds
意思是如果某個TCP連接在idle 2個小時後,內核才發起probe.如果probe 9次(每次75秒)不成功,內核才徹底放棄,認為該連接已失效.對伺服器而言,顯然上述值太大. 可調整到:
/proc/sys/net/ipv4/tcp_keepalive_time 1800
/proc/sys/net/ipv4/tcp_keepalive_intvl 30
/proc/sys/net/ipv4/tcp_keepalive_probes 3

/proc/sys/net/ipv4/ip_local_port_range
指定埠范圍的一個配置,默認是32768 61000,已夠大.
net.ipv4.tcp_syncookies = 1
表示開啟SYN Cookies。當出現SYN等待隊列溢出時，啟用cookies來處理，可防範少量SYN攻擊，默認為0，表示關閉；

net.ipv4.tcp_tw_reuse = 1
表示開啟重用。允許將TIME-WAIT sockets重新用於新的TCP連接，默認為0，表示關閉；

net.ipv4.tcp_tw_recycle = 1
表示開啟TCP連接中TIME-WAIT sockets的快速回收，默認為0，表示關閉。

net.ipv4.tcp_fin_timeout = 30
表示如果套接字由本端要求關閉，這個參數決定了它保持在FIN-WAIT-2狀態的時間。

net.ipv4.tcp_keepalive_time = 1200
表示當keepalive起用的時候，TCP發送keepalive消息的頻度。預設是2小時，改為20分鍾。

net.ipv4.ip_local_port_range = 1024 65000
表示用於向外連接的埠范圍。預設情況下很小：32768到61000，改為1024到65000。

net.ipv4.tcp_max_syn_backlog = 8192
表示SYN隊列的長度，默認為1024，加大隊列長度為8192，可以容納更多等待連接的網路連接數。

net.ipv4.tcp_max_tw_buckets = 5000
表示系統同時保持TIME_WAIT套接字的最大數量，如果超過這個數字，TIME_WAIT套接字將立刻被清除並列印警告信息。默認為 180000，改為 5000。對於Apache、Nginx等伺服器，上幾行的參數可以很好地減少TIME_WAIT套接字數量，但是對於Squid，效果卻不大。此項參數可以控制TIME_WAIT套接字的最大數量，避免Squid伺服器被大量的TIME_WAIT套接字拖死。

Linux上的NAT與iptables
談起Linux上的NAT，大多數人會跟你提到iptables。原因是因為iptables是目前在linux上實現NAT的一個非常好的介面。它通過和內核級直接操作網路包，效率和穩定性都非常高。這里簡單列舉一些NAT相關的iptables實例命令，可能對於大多數實現有多幫助。
這里說明一下，為了節省篇幅，這里把准備工作的命令略去了，僅僅列出核心步驟命令，所以如果你單單執行這些沒有實現功能的話，很可能由於准備工作沒有做好。如果你對整個命令細節感興趣的話，可以直接訪問我的《如何讓你的Linux網關更強大》系列文章，其中對於各個腳本有詳細的說明和描述。

EXTERNAL="eth0"
INTERNAL="eth1"

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $EXTERNAL -j MASQUERADE

LOCAL_EX_IP=11.22.33.44 #設定網關的外網卡ip，對於多ip情況，參考《如何讓你的Linux網關更強大》系列文章
LOCAL_IN_IP=192.168.1.1 #設定網關的內網卡ip
INTERNAL="eth1" #設定內網卡

echo 1 > /proc/sys/net/ipv4/ip_forward

modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

iptables -t nat -A PREROUTING -d $LOCAL_EX_IP -p tcp --dport 80 -j DNAT --to 192.168.1.10

iptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to $LOCAL_IN_IP

iptables -A FORWARD -o $INTERNAL -d 192.168.1.10 -p tcp --dport 80 -j ACCEPT

iptables -t nat -A OUTPUT -d $LOCAL_EX_IP -p tcp --dport 80 -j DNAT --to 192.168.1.10
獲取系統中的NAT信息和診斷錯誤
了解/proc目錄的意義
在Linux系統中，/proc是一個特殊的目錄，proc文件系統是一個偽文件系統，它只存在內存當中，而不佔用外存空間。它包含當前系統的一些參數（variables）和狀態（status）情況。它以文件系統的方式為訪問系統內核數據的操作提供介面
通過/proc可以了解到系統當前的一些重要信息，包括磁碟使用情況，內存使用狀況，硬體信息，網路使用情況等等，很多系統監控工具（如HotSaNIC）都通過/proc目錄獲取系統數據。
另一方面通過直接操作/proc中的參數可以實現系統內核參數的調節，比如是否允許ip轉發，syn-cookie是否打開，tcp超時時間等。
獲得參數的方式：
第一種：cat /proc/xxx/xxx，如 cat /proc/sys/net/ipv4/conf/all/rp_filter
第二種：sysctl xxx.xxx.xxx，如 sysctl net.ipv4.conf.all.rp_filter
改變參數的方式：
第一種：echo value > /proc/xxx/xxx，如 echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
第二種：sysctl [-w] variable=value，如 sysctl [-w] net.ipv4.conf.all.rp_filter=1
以上設定系統參數的方式只對當前系統有效，重起系統就沒了，想要保存下來，需要寫入/etc/sysctl.conf文件中
通過執行 man 5 proc可以獲得一些關於proc目錄的介紹
查看系統中的NAT情況
和NAT相關的系統變數
/proc/slabinfo：內核緩存使用情況統計信息（Kernel slab allocator statistics）
/proc/sys/net/ipv4/ip_conntrack_max：系統支持的最大ipv4連接數，默認65536（事實上這也是理論最大值）
/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established 已建立的tcp連接的超時時間，默認432000，也就是5天
和NAT相關的狀態值
/proc/net/ip_conntrack：當前的前被跟蹤的連接狀況，nat翻譯表就在這里體現（對於一個網關為主要功能的Linux主機，裡面大部分信息是NAT翻譯表）
/proc/sys/net/ipv4/ip_local_port_range：本地開放埠范圍，這個范圍同樣會間接限制NAT表規模

cat /proc/sys/net/ipv4/ip_conntrack_max

cat /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established

cat /proc/net/ip_conntrack

cat /proc/sys/net/ipv4/ip_local_port_range

wc -l /proc/net/ip_conntrack

grep ip_conntrack /proc/slabinfo | grep -v expect | awk '{print 2;}'

grep ip_conntrack /proc/slabinfo | grep -v expect | awk '{print 3;}'

cat /proc/net/ip_conntrack | cut -d ' ' -f 10 | cut -d '=' -f 2 | sort | uniq -c | sort -nr | head -n 10

cat /proc/net/ip_conntrack | perl -pe s/^(.*?)src/src/g | cut -d ' ' -f1 | cut -d '=' -f2 | sort | uniq -c | sort -nr | head -n 10

B. socket 里listen 的疑惑

可以認為是有一個線程在不停的監聽，int listen(int sockfd, int backlog); 第二個參數是你監聽客戶端的最大個數，如連接到主機上的客戶端超過其數listen則會返回一個錯誤代號。至於隊列放在哪可以不關心，可以認為是一個緩沖區。

C. 在linux的內核參數表有多個相同的參數

其實也不能算是原創，日常工作的時候經常和這些參數打交道，遇到不明白的就去網上找到並記錄下來，零零散散的記錄了這么多，呵呵，如果你遇到沒見過的參數，不妨來我這里找找，如果有不準確的地方，還請大家回復指出，謝謝
$ /proc/sys/net/core/wmem_max
最大socket寫buffer,可參考的優化值:873200
$ /proc/sys/net/core/rmem_max
最大socket讀buffer,可參考的優化值:873200
$ /proc/sys/net/ipv4/tcp_wmem
TCP寫buffer,可參考的優化值: 8192 436600 873200
$ /proc/sys/net/ipv4/tcp_rmem
TCP讀buffer,可參考的優化值: 32768 436600 873200
$ /proc/sys/net/ipv4/tcp_mem
同樣有3個值,意思是:
net.ipv4.tcp_mem[0]:低於此值,TCP沒有內存壓力.
net.ipv4.tcp_mem[1]:在此值下,進入內存壓力階段.
net.ipv4.tcp_mem[2]:高於此值,TCP拒絕分配socket.
上述內存單位是頁,而不是位元組.可參考的優化值是:786432 1048576 1572864
$ /proc/sys/net/core/netdev_max_backlog
進入包的最大設備隊列.默認是300,對重負載伺服器而言,該值太低,可調整到1000.
$ /proc/sys/net/core/somaxconn
listen()的默認參數,掛起請求的最大數量.默認是128.對繁忙的伺服器,增加該值有助於網路性能.可調整到256.
$ /proc/sys/net/core/optmem_max
socket buffer的最大初始化值,默認10K.
$ /proc/sys/net/ipv4/tcp_max_syn_backlog
進入SYN包的最大請求隊列.默認1024.對重負載伺服器,增加該值顯然有好處.可調整到2048.
$ /proc/sys/net/ipv4/tcp_retries2
TCP失敗重傳次數,默認值15,意味著重傳15次才徹底放棄.可減少到5,以盡早釋放內核資源.
$ /proc/sys/net/ipv4/tcp_keepalive_time
$ /proc/sys/net/ipv4/tcp_keepalive_intvl
$ /proc/sys/net/ipv4/tcp_keepalive_probes
這3個參數與TCP KeepAlive有關.默認值是:
tcp_keepalive_time = 7200 seconds (2 hours)
tcp_keepalive_probes = 9
tcp_keepalive_intvl = 75 seconds
意思是如果某個TCP連接在idle 2個小時後,內核才發起probe.如果probe 9次(每次75秒)不成功,內核才徹底放棄,認為該連接已失效.對伺服器而言,顯然上述值太大. 可調整到:
/proc/sys/net/ipv4/tcp_keepalive_time 1800
/proc/sys/net/ipv4/tcp_keepalive_intvl 30
/proc/sys/net/ipv4/tcp_keepalive_probes 3
$ proc/sys/net/ipv4/ip_local_port_range
指定埠范圍的一個配置,默認是32768 61000,已夠大.

net.ipv4.tcp_syncookies = 1
表示開啟SYN Cookies。當出現SYN等待隊列溢出時，啟用cookies來處理，可防範少量SYN攻擊，默認為0，表示關閉；
net.ipv4.tcp_tw_reuse = 1
表示開啟重用。允許將TIME-WAIT sockets重新用於新的TCP連接，默認為0，表示關閉；
net.ipv4.tcp_tw_recycle = 1
表示開啟TCP連接中TIME-WAIT sockets的快速回收，默認為0，表示關閉。
net.ipv4.tcp_fin_timeout = 30
表示如果套接字由本端要求關閉，這個參數決定了它保持在FIN-WAIT-2狀態的時間。
net.ipv4.tcp_keepalive_time = 1200
表示當keepalive起用的時候，TCP發送keepalive消息的頻度。預設是2小時，改為20分鍾。
net.ipv4.ip_local_port_range = 1024 65000
表示用於向外連接的埠范圍。預設情況下很小：32768到61000，改為1024到65000。
net.ipv4.tcp_max_syn_backlog = 8192
表示SYN隊列的長度，默認為1024，加大隊列長度為8192，可以容納更多等待連接的網路連接數。
net.ipv4.tcp_max_tw_buckets = 5000
表示系統同時保持TIME_WAIT套接字的最大數量，如果超過這個數字，TIME_WAIT套接字將立刻被清除並列印警告信息。默認為180000，改為 5000。對於Apache、Nginx等伺服器，上幾行的參數可以很好地減少TIME_WAIT套接字數量，但是對於Squid，效果卻不大。此項參數可以控制TIME_WAIT套接字的最大數量，避免Squid伺服器被大量的TIME_WAIT套接字拖死。

本文出自「虛擬的現實」博客，請務必保留此出處http://waringid.blog.51cto.com/65148/183496
kernel.hung_task_check_count
The number of tasks checked:
*/
unsigned long __read_mostly sysctl_hung_task_check_count = PID_MAX_LIMIT;
最大pid上限？
###############################################

net.ipv4.ip_forward = 0
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.accept_source_route = 0
kernel.sysrq = 0
kernel.core_uses_pid = 1
net.ipv4.tcp_syncookies = 1
kernel.msgmnb = 65536
每個消息隊列的最大位元組限制
kernel.msgmax = 65536
每個消息的最大size.
kernel.shmmax = 68719476736
內核參數定義單個共享內存段的最大值
kernel.shmall = 4294967296
參數是控制共享內存頁數

net.ipv4.tcp_max_syn_backlog = 65536 表示SYN隊列的長度，默認為1024，加大隊列長度為8192，可以容納更多等待連接的網路連接數
net.core.netdev_max_backlog = 8192 每個網路介面接收數據包的速率比內核處理這些包的速率快時，允許送到隊列的數據包的最大數目
net.ipv4.tcp_max_tw_buckets = 20000 表示系統同時保持TIME_WAIT套接字的最大數量，如果超過這個數字，TIME_WAIT套接字將立刻被清除並列印警告信息。默認為180000，改為5000。對於Apache、Nginx等伺服器，上幾行的參數可以很好地減少TIME_WAIT套接字數量，但是對於Squid，效果卻不大。此項參數可以控制TIME_WAIT套接字的最大數量，避免Squid伺服器被大量的TIME_WAIT套接字拖死
net.core.somaxconn = 32768 定義了系統中每一個埠最大的監聽隊列的長度,這是個全局的參數,默認值為1024
net.core.wmem_default = 8388608 該文件指定了發送套接字緩沖區大小的預設值（以位元組為單位）。
net.core.rmem_default = 8388608 該文件指定了接收套接字緩沖區大小的默認值（以位元組為單位）。
net.core.rmem_max = 16777216 指定了接收套接字緩沖區（接收窗口）大小的最大值（以位元組為單位）最大的TCP數據接收緩沖
net.core.wmem_max = 16777216 指定了發送套接字緩沖區（接收窗口）大小的最大值（以位元組為單位）最大的TCP數據發送緩沖
net.ipv4.tcp_timestamps = 0 以一種比重發超時更精確的方法（請參閱 RFC 1323）來啟用對 RTT 的計算；為了實現更好的性能應該啟用這個選項，時間戳在(請參考RFC 1323)TCP的包頭增加12個位元組
net.ipv4.tcp_synack_retries = 2 # syn-ack握手狀態重試次數，默認5，遭受syn-flood攻擊時改為1或2
net.ipv4.tcp_syn_retries = 2 外向syn握手重試次數，默認4
net.ipv4.tcp_tw_recycle = 1 # 默認0，tw快速回收
net.ipv4.tcp_tw_reuse = 1 表示開啟重用。允許將TIME-WAIT sockets重新用於新的TCP連接，默認為0，表示關閉；
net.ipv4.tcp_mem = 94500000 915000000 927000000 確定 TCP 棧應該如何反映內存使用；每個值的單位都是內存頁（通常是 4KB）。第一個值是內存使用的下限。第二個值是內存壓力模式開始對緩沖區使用應用壓力的上限。第三個值是內存上限。在這個層次上可以將報文丟棄，從而減少對內存的使用。對於較大的 BDP 可以增大這些值（但是要記住，其單位是內存頁，而不是位元組）
net.ipv4.tcp_max_orphans = 3276800 系統中最多有多少個TCP套接字不被關聯到任何一個用戶文件句柄上。如果超過這個數字，孤兒連接將即刻被復位並列印出警告信息。這個限制僅僅是為了防止簡單的DoS攻擊，你絕對不能過分依靠它或者人為地減小這個值，更應該增加這個值(如果增加了內存之後)

net.ipv4.tcp_fin_timeout = 30 表示如果套接字由本端要求關閉，這個參數決定了它保持在FIN-WAIT-2狀態的時間。
net.ipv4.tcp_keepalive_time = 600 表示當keepalive起用的時候，TCP發送keepalive消息的頻度。預設是2小時，改為20分鍾。
net.ipv4.tcp_keepalive_intvl = 30 當探測沒有確認時，重新發送探測的頻度。預設是75秒
net.ipv4.tcp_keepalive_probes = 3 在認定連接失效之前，發送多少個TCP的keepalive探測包。預設值是9。這個值乘以tcp_keepalive_intvl之後決定了，一個連接發送了keepalive之後可以有多少時間沒有回應

net.ipv4.tcp_no_metrics_save = 1 一個tcp連接關閉後,把這個連接曾經有的參數比如慢啟動門限snd_sthresh,擁塞窗口snd_cwnd 還有srtt等信息保存到dst_entry中, 只要dst_entry 沒有失效,下次新建立相同連接的時候就可以使用保存的參數來初始化這個連接.
tcp_no_metrics_save 設置為1就是不保持這些參數(經驗值),每次建立連接後都重新摸索一次. 我覺得沒什麼好處. 所以系統默認把它設為0.

net.ipv4.ip_local_port_range = 1024 65535 指定埠范圍的一個配置,默認是32768 61000
kernel.msgmni = 1024 這個參數決定了系統中同時運行的最大的message queue的個數
kernel.sem = 250 256000 32 2048
cat /proc/sys/kernel/sem
250 32000 100 128

4個數據分別對應
SEMMSL 250 表示每個信號集中的最大信號量數目
SEMMNS 32000 表示系統范圍內的最大信號量總數目
SEMOPM 100 表示每個信號發生時的最大系統操作數目
SEMMNI 128 表示系統范圍內的最大信號集總數目

D. C++ socket listen() 第二個參數的問題

網頁鏈接

The behavior of the backlog argument on TCP sockets changed with Linux 2.2. Now it specifies the queue length for completely established sockets waiting to beaccepted, instead of the number of incomplete connection requests. The maximum length of the queue for incomplete sockets can be set using /proc/sys/net/ipv4/tcp_max_syn_backlog. When syncookies are enabled there is no logical maximum length and this setting is ignored. See tcp(7) for more information.

在linux 2.2以後 listen的第二個參數。指的是在完成TCP三次握手後的隊列。即在系統accept之前的隊列。已經完成的隊列。如果系統沒有調用accpet把這個隊列的數據拿出來。一旦這個隊列滿了。未連接隊列的請求過不來。導致未連接隊列里的請求會超時或者拒絕。如果系統調用了accpet隊列接受請求數據。那麼就會把接受到請求移除已完成隊列。這時候已完成隊列又可以使用了。

最後說了如果開啟了syncookies 忽略listen的第二個參數。

E. 一般優化linux的內核，需要優化什麼參數

首先要知道一點所有的TCP/IP的參數修改是臨時的，因為它們都位於/PROC/SYS/NET目錄下，如果想使參數長期保存，可以通過編輯/ETC/SYSCTL.CONF文件來實現，這里不做詳細說明，只針對Linux的TCPIP內核參數優化列舉相關參數：

1、為自動調優定義socket使用的內存

2、默認的TCP數據接收窗口大小（位元組）

3、最大的TCP數據接收窗口

4、默認的TCP發送窗口大小

5、最大的TCP數據發送窗口

6、在每個網路介面接收數據包的速率比內核處理這些包速率快時，允許送到隊列的數據包最大數目

7、定義了系統中每一個埠最大的監聽隊列長度

8、探測消息未獲得相應時，重發該消息的間隔時間

9、在認定tcp連接失效之前，最多發送多少個keepalive探測消息等。

F. 怎樣正確配置apache實現用戶個人主頁（linux）

Apache伺服器的設置文件位於/usr/local/apache/conf/目錄下，傳統上使用三個配置文件httpd.conf,access.conf和srm.conf，來配置Apache伺服器的行為。

httpd.conf提供了最基本的伺服器配置，是對守護程序httpd如何運行的技術描述；srm.conf是伺服器的資源映射文件，告訴伺服器各種文件的

MIME類型，以及如何支持這些文件；access.conf用於配置伺服器的訪問許可權，控制不同用戶和計算機的訪問限制；這三個配置文件控制著服務

器的各個方面的特性，因此為了正常運行伺服器便需要設置好這三個文件。

除了這三個設置文件之外，Apache還使用mime.types文件用於標識不同文件

對應的MIME類型， magic文件設置不同MIME類型文件的一些特殊標識，使得Apache 伺服器從文檔後綴不能判斷出文件的MIME 類型時，能通過

文件內容中的這些特殊標記來判斷文檔的MIME類型。

bash-2.02$ ls -l /usr/local/apache/conf

total 100

-rw-r--r-- 1 root wheel 348 Apr 16 16:01 access.conf

-rw-r--r-- 1 root wheel 348 Feb 13 13:33 access.conf.default

-rw-r--r-- 1 root wheel 30331 May 26 08:55 httpd.conf

-rw-r--r-- 1 root wheel 29953 Feb 13 13:33 httpd.conf.default

-rw-r--r-- 1 root wheel 12441 Apr 19 15:42 magic

-rw-r--r-- 1 root wheel 12441 Feb 13 13:33 magic.default

-rw-r--r-- 1 root wheel 7334 Feb 13 13:33 mime.types

-rw-r--r-- 1 root wheel 383 May 13 17:01 srm.conf

-rw-r--r-- 1 root wheel 357 Feb 13 13:33 srm.conf.default

事實上當前版本的Apache將原來httpd.conf、srm.conf與access.conf中的所有配置參數均放在了一個配置文件httpd.conf中，只是為了與

以前的版本兼容的原因（使用這三個設置文件的方式來源於NCSA-httpd），才使用三個配置文件。而提供的access.conf和srm.conf文件中沒有

具體的設置。

由於在新版本的Apache中，所有的設置都被放在了httpd.conf中，因此只需要調整這個文件中的設置。以下使用預設提供的httpd.conf為

例，解釋Apache伺服器的各個設置選項。然而不必因為它提供設置的參數太多而煩惱，基本上這些參數都很明確，也可以不加改動運行Apache

伺服器。但如果需要調整Apache伺服器的性能，以及增加對某種特性的支持，就需要了解這些設置參數的含義。

關於Apache伺服器的性能，在Internet上存在很大的爭議，基本上使用Apache的使用者幾乎都不懷疑它的優秀性能，Apache也支撐了很多

著名的高負載的網站，但是在商業機構的評測中，Apache往往得分不高。很多人指出，在這些評測中，商業Web伺服器及其操作系統往往由其專

業公司的工程師進行過性能調整，而Free 的操作系統和Web伺服器往往就使用其預設配置或僅僅作很小的更改。需要指出的是，除了操作系統

的性能調整之外，Apache 伺服器本身的預設配置絕不是最優化和最高效的，而是要適應幾乎所有種類操作系統、所有種類硬體下的設置，多平

台的軟體不可能為特定平台和特定硬體提供最優化的預設配置。因此要使用Apache的時候，性能調整是必不可少的。

在商業評測中忽略了的另一個事實是，評測時往往對不同種類的功能進行比較，例如使用Apache的標准CGI 的性能與ISAPI，NSAPI等服務

器端API比較，事實上Apache伺服器與此可以比較的功能為modperl ，FastCGI，與ASP類似的功能為PHP等等，只不過由於Apache的開放模式，

這些功能是由獨立的開發組，作為獨立的模塊來實現的。但是在評測中，測試人員沒有加入相應的模塊評測其性能。

HTTP守護進程的運行參數

httpd.conf中首先定義了一些httpd守護進程運行時需要的參數，來決定其運行方式和運行環境。

ServerType standalone

ServerType定義伺服器的啟動方式，預設值為獨立方式standalone，httpd伺服器將由其本身啟動，並駐留在主機中監視連接請求。在

Linux下將在啟動文件 /etc/rc.d/rc.local/init.d/apache中自動啟動Web伺服器，這種方式是推薦設置。

啟動Apache伺服器的另一種方式是inet方式，使用超級伺服器inetd監視連接請求並啟動伺服器。當需要使用inetd啟動方式時，便需要更

改為這個設置，並屏蔽/etc/rc.d/rc.local/init.d/apache文件，以及更改/etc/inetd.conf並重起inetd，那麼Apache就能從inetd中啟動了。

兩種方式的區別是獨立方式是由伺服器自身管理自己的啟動進程，這樣在啟動時能立即啟動伺服器的多個副本，每個副本都駐留在內存中

，一有連接請求不需要生成子進程就可以立即進行處理，對於客戶瀏覽器的請求反應更快，性能較高。而 inetd方式要由inetd發現有連接請求

後才去啟動http伺服器，由於inetd 要監聽太多的埠，因此反應較慢、效率較低，但節約了沒有連接請求時Web伺服器佔用的資源。因此

inetd方式只用於偶爾被訪問並且不要求訪問速度的伺服器上。事實上inetd方式不適合http的突發和多連接的特性，因為一個頁面可能包含多

個圖象，而每個圖象都會引起一個連接請求，即使雖然訪問人數造成教少，但瞬間的連接請求並不少，這就受到inetd性能的限制，甚至會影響

由inetd啟動的其他伺服器程序。

ServerRoot "/usr/local"

ServerRoot用於指定守護進程httpd的運行目錄，httpd在啟動之後將自動將

進程的當前目錄改變為這個目錄，因此如果設置文件中指定的文件或目錄是相對路徑，那麼真實路徑就位於這個ServerRoot定義的路徑之下。
由於httpd會經常進行並發的文件操作，就需要使用加鎖的方式來保證文件操作不沖突，由於NFS文件系統在文件加鎖方面能力有限，因此

這個目錄應該是本地磁碟文件系統，而不應該使用NFS文件系統。

#LockFile /var/run/httpd.lock
LockFile參數指定了httpd守護進程的加鎖文件，一般不需要設置這個參數， Apache伺服器將自動在ServerRoot下面的路徑中進行操作。

但如果ServerRoot為NFS文件系統，便需要使用這個參數指定本地文件系統中的路徑。

PidFile /var/run/httpd.pid
PidFile指定的文件將記錄httpd守護進程的進程號，由於httpd能自動復制其自身，因此系統中有多個httpd進程，但只有一個進程為最初

啟動的進程，它為其他進程的父進程，對這個進程發送信號將影響所有的httpd進程。PidFILE定義的文件中就記錄httpd父進程的進程號。

ScoreBoardFile /var/run/httpd.scoreboard
httpd使用ScoreBoardFile來維護進程的內部數據，因此通常不需要改變這個參數，除非管理員想在一台計算機上運行幾個Apache伺服器，

這時每個Apache伺服器都需要獨立的設置文件httpd.conf，並使用不同的ScoreBoardFile。

#ResourceConfig conf/srm.conf
#AccessConfig conf/access.conf

這兩個參數ResourceConfig和AccessConfig，就用於和使用 srm.conf 和 access.conf 設置文件的老版本Apache兼容。如果沒有兼容的需

要，可以將對應的設置文件指定為/dev/null，這將表示不存在其他設置文件，而僅使用httpd.conf 一個文件來保存所有的設置選項。

Timeout 300

Timeout定義客戶程序和伺服器連接的超時間隔，超過這個時間間隔（秒）後伺服器將斷開與客戶機的連接。

KeepAlive On

在HTTP 1.0中，一次連接只能作傳輸一次HTTP請求，而KeepAlive參數用於支持HTTP 1.1版本的一次連接、多次傳輸功能，這樣就可以在一

次連接中傳遞多個HTTP請求。雖然只有較新的瀏覽器才支持這個功能，但還是打開使用這個選項。

MaxKeepAliveRequests 100

MaxKeepAliveRequests為一次連接可以進行的HTTP請求的最大請求次數。將

其值設為0將支持在一次連接內進行無限次的傳輸請求。事實上沒有客戶程序在一次連接中請求太多的頁面，通常達不到這個上限就完成連接了

。

KeepAliveTimeout 15

KeepAliveTimeout測試一次連接中的多次請求傳輸之間的時間，如果伺服器

已經完成了一次請求，但一直沒有接收到客戶程序的下一次請求，在間隔超過了

這個參數設置的值之後，伺服器就斷開連接

-----------------------------------------------------------------------------------------
MinSpareServers 5
MaxSpareServers 10

在使用子進程處理HTTP請求的Web伺服器上，由於要首先生成子進程才能處理客戶的請求，因此反應時間就有一點延遲。但是，Apache服務

器使用了一個特殊技術來擺脫這個問題，這就是預先生成多個空餘的子進程駐留在系統中，一旦有請求出現，就立即使用這些空餘的子進程進

行處理，這樣就不存在生成子進程造成的延遲了。在運行中隨著客戶請求的增多，啟動的子進程會隨之增多，但這些伺服器副本在處理完一次

HTTP請求之後並不立即退出，而是停留在計算機中等待下次請求。但是空餘的子進程副本不能光增加不減少，太多的空餘子進程沒有處理任務

，也佔用伺服器的處理能力，因此也要限制空餘副本的數量，使其保持一個合適的數量，使得既能及時回應客戶請求，又能減少不必要的進程

數量。

因此就可以使用參數MinSpareServers來設置最少的空餘子進程數量，以及使用參數MaxSpareServers 來限制最多的空閑子進程數量，多

余的伺服器進程副本就會退出。根據伺服器的實際情況來進行設置，如果伺服器性能較高，並且也被頻繁訪問，就應該增大這兩個參數的設置

。對於高負載的專業網站，這兩個值應該大致相同，並且等同於系統支持的最多伺服器副本數量，也減少不必要的副本退出。

StartServers 5

StartServers參數就是用來設置httpd啟動時啟動的子進程副本數量，這個參數與上面定義的MinSpareServers和MaxSpareServers參數相關

，都是用於啟動空閑子進程以提高伺服器的反應速度的。這個參數應該設置為前兩個值之間的一個數值，小於MinSpareServers和大於MaxS

pareServers都沒有意義。

MaxClients 150

在另一方面，伺服器的能力畢竟是有限的，不可能同時處理無限多的連接請求，因此參數Maxclient s就用於規定伺服器支持的最多並發訪

問的客戶數，如果這個值設置得過大，系統在繁忙時不得不在過多的進程之間進行切換來為太多的客戶進行服務，這樣對每個客戶的反應就會

減慢，並降低了整體的效率。如果這個值設置的較小，那麼系統繁忙時就會拒絕一些客戶的連接請求。當伺服器性能較高時，就可以適當增加

這個值的設置。對於專業網站，應該使用提高伺服器效率的策略，因此這個參數不能超過硬體本身的限制，如果頻繁出現拒絕訪問現象，就說

明需要升級伺服器硬體了。對於非專業網站，不太在意對客戶瀏覽器的反應速度，或者認為反應速度較慢也比拒絕連接好，就也可以略微超過

硬體條件來設置這個參數。

這個參數限制了MinSpareServers和MaxSpareServers的設置，它們不應該大於這個參數的設置。

MaxRequestsPerChild 30

使用子進程的方式提供服務的Web服務，常用的方式是一個子進程為一次連接服務，這樣造成的問題就是每次連接都需要生成、退出子進程

的系統操作，使得這些額外的處理過程占據了計算機的大量處理能力。因此最好的方式是一個子進程可以為多次連接請求服務，這樣就不需要

這些生成、退出進程的系統消耗，Apache就採用了這樣的方式，一次連接結束後，子進程並不退出，而是停留在系統中等待下一次服務請求，

這樣就極大的提高了性能。

但由於在處理過程中子進程要不斷的申請和釋放內存，次數多了就會造成一些內存垃圾，就會影響系統的穩定性，並且影響系統資源的有

效利用。因此在一個副本處理過一定次數的請求之後，就可以讓這個子進程副本退出，再從原始的httpd進程中重新復制一個干凈的副本，這樣

就能提高系統的穩定性。這樣，每個子進程處理服務請求次數由MaxRequestPerChild定義。預設的設置值為30，

這個值對於具備高穩定性特點的Linux系統來講是過於保守的設置，可以設置為1000甚至更高，設置為0支持每個副本進行無限次的服務處理。

#Listen 3000

#Listen 12.34.56.78:80

#BindAddress *
Listen參數可以指定伺服器除了監視標準的80埠之外，還監視其他埠的HTTP請求。由於FreeBSD系統可以同時擁有多個IP地址，因此也

可以指定伺服器只聽取對某個BindAddress< /B>的IP地址的HTTP請求。如果沒有配置這一項，則伺服器會回應對所有IP的請求。

即使使用了BindAddress參數，使得伺服器只回應對一個IP地址的請求，但是通過使用擴展的Listen參數，仍然可以讓HTTP守護進程回應對

其他IP地址的請求。此時Listen參數的用法與上面的第二個例子相同。這種比較復雜的用法主要用於設置虛擬主機。此後可以用VirtualHost參

數定義對不同IP的虛擬主機，然而這種用法是較早的HTTP 1.0標准中設置虛擬主機的方法，每針對一個虛擬主機就需要一個IP地址，實際上用

處並不大。在HTTP 1.1中，增加了對單IP地址多域名的虛擬主機的支持，使得虛擬主機的設置具備更大的意義。

LoadMole mime_magic_mole libexec/apache/mod_mime_magic.so
LoadMole info_mole libexec/apache/mod_info.so
LoadMole speling_mole libexec/apache/mod_speling.so
LoadMole proxy_mole libexec/apache/libproxy.so
LoadMole rewrite_mole libexec/apache/mod_rewrite.so
LoadMole anon_auth_mole libexec/apache/mod_auth_anon.so
LoadMole db_auth_mole libexec/apache/mod_auth_db.so
LoadMole digest_mole libexec/apache/mod_digest.so
LoadMole cern_meta_mole libexec/apache/mod_cern_meta.so
LoadMole expires_mole libexec/apache/mod_expires.so
LoadMole headers_mole libexec/apache/mod_headers.so
LoadMole usertrack_mole libexec/apache/mod_usertrack.so
LoadMole unique_id_mole libexec/apache/mod_unique_id.so

ClearMoleList
AddMole mod_env.c
AddMole mod_log_config.c
AddMole mod_mime_magic.c
AddMole mod_mime.c
AddMole mod_negotiation.c
AddMole mod_status.c
AddMole mod_info.c
AddMole mod_include.c
AddMole mod_autoindex.c
AddMole mod_dir.c
AddMole mod_cgi.c
AddMole mod_asis.c
AddMole mod_imap.c
AddMole mod_actions.c
AddMole mod_speling.c
AddMole mod_userdir.c
AddMole mod_proxy.c
AddMole mod_alias.c
AddMole mod_rewrite.c
AddMole mod_access.c
AddMole mod_auth.c
AddMole mod_auth_anon.c
AddMole mod_auth_db.c
AddMole mod_digest.c
AddMole mod_cern_meta.c
AddMole mod_expires.c
AddMole mod_headers.c
AddMole mod_usertrack.c
AddMole mod_unique_id.c
AddMole mod_so.c
AddMole mod_setenvif.c

Apache伺服器的一個重要特性就是其模塊化的結構，這不但表現為其能在編
譯時能通過新的模塊加入新的功能，還表現為其模塊可以動態載入入http服務程

序中，而不必載入不需要的模塊。使用Apache的動態載入模塊只需要設置好Load Mole和AddMole參數就可以了，這種特性就是Apache的

DSO（Dynamic Shared Object）特性，然而要想充分使用DSO特性仍然不是一個簡單的事情，不適當的改動這里的設置就可能造成伺服器不能正

常啟動。因此如果不是要增加或減少伺服器提供的功能，就不要改動這里的設置。

上面這些列表就顯示了Linux下的預設Apache伺服器支持的模塊，事實上很
多模塊是沒有必要的，不必要模塊不會被載入內存。模塊可以靜態連接到pache 伺服器內部，也可以這樣動態載入，將Apache的特性都編譯成

動態可載入模塊是該Port的做法，而不是Apache的預設做法，這樣就以犧牲很小的性能的同時，帶來極大的靈活性。

因而動態可載入的能力還是對性能有輕微的影響，因此可以重新編譯Apache，將自己所需要的功能編譯進Apache 伺服器內部，可以讓系統

顯得更為干凈，效率也有輕微的提高。通常僅僅為了這一個目的就重新編譯Apache是沒有必要的，如果需要增加其他特性而重新編譯Apache，

不妨在增加其他模塊的同時將所有的模塊都靜態連接入Apache 伺服器。有的使用者更喜歡動態載入模塊，那麼也不妨全部都使用動態載入模塊

。

這些模塊都被放置到/usr/local/apache/libexec/目錄下，每個模塊對應Apache伺服器的一個特性。詳細解釋每個模塊的功能需要相當多

的篇幅，其中比較重要的特性將在後面相應的地方中進行解釋，而具體每個模塊的功能及用法就需要查看Apache的文檔。

#ExtendedStatus On

Apache伺服器可以通過特殊的HTTP請求，來報告自身的運行狀態，打開這個ExtendedStatus 參數可以讓伺服器報告更全面的運行狀態信息

。
-----------------------------------------------------------------------------------------------------------------
主伺服器設置

Apache伺服器需要各種設置，以定義自己使用各種參數以提供Web服務。對於使用虛擬主機的情況，除了在虛擬主機的定義項中覆蓋的設置

之外（有的設置必須重新定義），這里的設置也是虛擬主機的預設設置。

Port 80

Port定義了Standalone模式下httpd守護進程使用的埠，標准埠是80。這個選項只對於以獨立方式啟動的伺服器才有效，對於以inetd

方式啟動的伺服器則在inetd.conf中定義使用哪個埠。

在Unix下使用80埠需要root許可權，一些管理員為了安全的原因，認為 httpd 伺服器不可能沒有安全漏洞，因而更願意使用普通用戶的權

限來啟動伺服器，這樣就不能使用80埠及其他小於1024的埠，而必須使用大於 1024的埠來啟動httpd，一般情況下8000或8080也是常用

的埠。而Apache httpd伺服器本身可以在以root許可權打開80埠後再改變為普通用戶身份進行運行，這樣就減少了危險性，因而就不需要考

慮這個安全問題。但是如果普通用戶也想安裝配置自己的WWW伺服器，那麼就不得不使用大於1024的埠。

User nobody
Group nogroup

User和Group配置是Apache的安全保證，Apache在打開埠之後，就將其本身設置為這兩個選項設置的用戶和組許可權進行運行，這樣就降低

了伺服器的危險性。這個選項也只用於 Standalone模式，inetd模式在inetd.conf中指定運行Apache的用戶。由於伺服器必須執行改變身份的

setuid()操作，因此初始進程應該具備root許可權，如果是使用非root用戶來啟動Aapche，這個配置就不會發揮作用。

預設設置為nobody和nogroup，這個用戶和組在系統中不擁有文件，保證了伺服器本身和由它啟動的CGI 進程沒有許可權更改文件系統。在某

些情況下，例如為了運行CGI與Unix交互，也需要讓伺服器來訪問伺服器上的文件，如果仍然使用nobody和nogroup，那麼系統中將會出現屬於

nobody的文件，這對於系統安全是不利的，因為其他程序也會以nobody和nogroup的許可權執行某些操作，就有可能訪問這些nobody擁有的文件，

造成安全問題。一般情況下要為Web服務設定一個特定的用戶和組，同時在這里更改用戶和組設置。

ServerAdmin [email protected]
配置文件中應該改變的也許只有ServerAdmin，這一項用於配置WWW伺服器的管理員的email地址，這將在HTTP服務出現錯誤的條件下返回

給瀏覽器，以便讓Web使用者和管理員聯系，報告錯誤。習慣上使用伺服器上的webmaster作為WWW伺服器的管理員，通過郵件伺服器的別名機制

，將發送到webmaster 的電子郵件發送給真正的Web管理員。

#ServerName new.host.name

預設情況下，並不需要指定這個ServerName參數，伺服器將自動通過名字解析過程來獲得自己的名字，但如果伺服器的名字解析有問題（

通常為反向解析不正確），或者沒有正式的DNS名字，也可以在這里指定IP地址。當ServerName設置不正確的時候，伺服器不能正常啟動。

通常一個Web伺服器可以具有多個名字，客戶瀏覽器可以使用所有這些名字或IP地址來訪問這台伺服器，但在沒有定義虛擬主機的情況下，

伺服器總是以自己的正式名字回應瀏覽器。ServerName就定義了Web伺服器自己承認的正式名字，例如一台伺服器名字（在DNS中定義了A類型）

為exmaple.org.cn，同時為了方便記憶還定義了一個別名（CNAME記錄）為www.exmaple.org.cn，那麼Apache自動解析得到的名字就為

example.org.cn，這樣不管客戶瀏覽器使用哪個名字發送請求，伺服器總是告訴客戶程序自己為 example.org.cn。雖然這一般並不會造成什麼

問題，但是考慮到某一天伺服器可能遷移到其他計算機上，而只想通過更改DNS中的www別名配置就完成遷移任務，所以不想讓客戶在其書簽中

使用 Linux 記錄下這個伺服器的地址，就必須使用ServerName來重新指定伺服器的正式名字。

DocumentRoot "/www/"
DocumentRoot定義這個伺服器對外發布的超文本文檔存放的路徑，客戶程序請求的URL就被映射為這個目錄下的網頁文件。這個目錄下的子

目錄，以及使用符號連接指出的文件和目錄都能被瀏覽器訪問，只是要在URL上使用同樣的相對目錄名。

注意，符號連接雖然邏輯上位於根文檔目錄之下，但實際上可以位於計算機上的任意目錄中，因此可以使客戶程序能訪問那些根文檔目錄

之外的目錄，這在增加了靈活性的同時但減少了安全性。Apache在目錄的訪問控制中提供了FollowSymLinks選項來打開或關閉支持符號連接的

特性。
---------------------------------------------------------------------------------------------------------------------------
Options FollowSymLinks
AllowOverride None

Apache伺服器可以針對目錄進行文檔的訪問控制，然而訪問控制可以通過兩

種方式來實現，一個是在設置文件 httpd.conf（或access.conf）中針對每個目
錄進行設置，另一個方法是在每個目錄下設置訪問控制文件，通常訪問控制文件
名字為.htaccess。雖然使用這兩個方式都能用於控制瀏覽器的訪問，然而使用配置文件的方法要求每次改動後重新啟動httpd守護進程，比較

不靈活，因此主要用於配置伺服器系統的整體安全控制策略，而使用每個目錄下的.htaccess文件設置具體目錄的訪問控制更為靈活方便。
Directory語句就是用來定義目錄的訪問限制的，這里可以看出它的標准語法，為一個目錄定義訪問限制。上例的這個設置是針對系統的根

目錄進行的，設置了允許符號連接的選項FollowSymLinks ，以及使用AllowOverride None表示不允許這個目錄下的訪問控制文件來改變這里進

行的配置，這也意味著不用查看這個目錄下的相應訪問控制文件。

由於Apache對一個目錄的訪問控制設置是能夠被下一級目錄繼承的，因此對根目錄的設置將影響到它的下級目錄。注意由於AllowOverride

None的設置，使得Apache伺服器不需要查看根目錄下的訪問控制文件，也不需要查看以下各級目錄下的訪問控制文件，直至httpd.conf（或

access.conf ）中為某個目錄指定了允許Alloworride，即允許查看訪問控制文件。由於Apache對目錄訪問控制是採用的繼承方式，如果從根目

錄就允許查看訪問控制文件，那麼Apache就必須一級一級的查看訪問控制文件，對系統性能會造成影響。而預設關閉了根目錄的這個特性，就

使得Apache從httpd.conf中具體指定的目錄向下搜尋，減少了搜尋的級數，增加了系統性能。因此對於系統根目錄設置AllowOverride None不

但對於系統安全有幫助，也有益於系統性能。

Options Indexes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all

這里定義的是系統對外發布文檔的目錄的訪問設置，設置不同的 AllowOverride選項，以定義配置文件中的目錄設置和用戶目錄下的安全

控制文件的關系，而Options選項用於定義該目錄的特性。
配置文件和每個目錄下的訪問控制文件都可以設置訪問限制，設置文件是由管理員設置的，而每個目錄下的訪問控制文件是由目錄的屬主

設置的，因此管理員可以規定目錄的屬主是否能覆蓋系統在設置文件中的設置，這就需要使用AllowOverride參數進行設置，通常可以設置的值

為：AllowOverride的設置對每個目錄訪問控制文件作用的影響

All 預設值，使訪問控制文件可以覆蓋系統配置

None 伺服器忽略訪問控制文件的設置
Options 允許訪問控制文件中可以使用Options參數定義目錄的選項
FileInfo 允許訪問控制文件中可以使用AddType等參數設置
AuthConfig 允許訪問控制文件使用AuthName，AuthType等針對每個用戶的認證機制，這使目錄屬主能用口令和用戶名來保護目錄 Limit 允許

G. 在Linux中，如何配置WWW伺服器

導航:首頁 > 編程系統 > linuxlisten第二個參數

linuxlisten第二個參數

與linuxlisten第二個參數相關的資料

友情鏈接