linux內核的overlayfs

『壹』 linux 內核參數優化

一、Sysctl命令用來配置與顯示在/proc/sys目錄中的內核參數．如果想使參數長期保存，可以通過編輯/etc/sysctl.conf文件來實現。

命令格式：
sysctl [-n] [-e] -w variable=value
sysctl [-n] [-e] -p (default /etc/sysctl.conf)
sysctl [-n] [-e] –a

常用參數的意義：
-w 臨時改變某個指定參數的值，如
# sysctl -w net.ipv4.ip_forward=1
-a 顯示所有的系統參數
-p從指定的文件載入系統參數,默認從/etc/sysctl.conf 文件中載入，如：

以上兩種方法都可能立即開啟路由功能，但如果系統重啟，或執行了
# service network restart
命令，所設置的值即會丟失，如果想永久保留配置，可以修改/etc/sysctl.conf文件，將 net.ipv4.ip_forward=0改為net.ipv4.ip_forward=1

二、linux內核參數調整：linux 內核參數調整有兩種方式

方法一：修改/proc下內核參數文件內容，不能使用編輯器來修改內核參數文件，理由是由於內核隨時可能更改這些文件中的任意一個，另外，這些內核參數文件都是虛擬文件，實際中不存在，因此不能使用編輯器進行編輯，而是使用echo命令，然後從命令行將輸出重定向至 /proc 下所選定的文件中。如：將 timeout_timewait 參數設置為30秒：

參數修改後立即生效，但是重啟系統後，該參數又恢復成默認值。因此，想永久更改內核參數，需要修改/etc/sysctl.conf文件

方法二．修改/etc/sysctl.conf文件。檢查sysctl.conf文件，如果已經包含需要修改的參數，則修改該參數的值，如果沒有需要修改的參數，在sysctl.conf文件中添加參數。如：
net.ipv4.tcp_fin_timeout=30
保存退出後，可以重啟機器使參數生效，如果想使參數馬上生效，也可以執行如下命令：

三、sysctl.conf 文件中參數設置及說明
proc/sys/net/core/wmem_max
最大socket寫buffer,可參考的優化值:873200

/proc/sys/net/core/rmem_max
最大socket讀buffer,可參考的優化值:873200
/proc/sys/net/ipv4/tcp_wmem
TCP寫buffer,可參考的優化值: 8192 436600 873200

/proc/sys/net/ipv4/tcp_rmem
TCP讀buffer,可參考的優化值: 32768 436600 873200

/proc/sys/net/ipv4/tcp_mem
同樣有3個值,意思是:
net.ipv4.tcp_mem[0]:低於此值,TCP沒有內存壓力.
net.ipv4.tcp_mem[1]:在此值下,進入內存壓力階段.
net.ipv4.tcp_mem[2]:高於此值,TCP拒絕分配socket.
上述內存單位是頁,而不是位元組.可參考的優化值是:786432 1048576 1572864

/proc/sys/net/core/netdev_max_backlog
進入包的最大設備隊列.默認是300,對重負載伺服器而言,該值太低,可調整到1000

/proc/sys/net/core/somaxconn
listen()的默認參數,掛起請求的最大數量.默認是128.對繁忙的伺服器,增加該值有助於網路性能.可調整到256.

/proc/sys/net/core/optmem_max
socket buffer的最大初始化值,默認10K

/proc/sys/net/ipv4/tcp_max_syn_backlog
進入SYN包的最大請求隊列.默認1024.對重負載伺服器,可調整到2048

/proc/sys/net/ipv4/tcp_retries2
TCP失敗重傳次數,默認值15,意味著重傳15次才徹底放棄.可減少到5,盡早釋放內核資源.

/proc/sys/net/ipv4/tcp_keepalive_time
/proc/sys/net/ipv4/tcp_keepalive_intvl
/proc/sys/net/ipv4/tcp_keepalive_probes
這3個參數與TCP KeepAlive有關.默認值是:
tcp_keepalive_time = 7200 seconds (2 hours)
tcp_keepalive_probes = 9
tcp_keepalive_intvl = 75 seconds
意思是如果某個TCP連接在idle 2個小時後,內核才發起probe.如果probe 9次(每次75秒)不成功,內核才徹底放棄,認為該連接已失效.對伺服器而言,顯然上述值太大. 可調整到:
/proc/sys/net/ipv4/tcp_keepalive_time 1800
/proc/sys/net/ipv4/tcp_keepalive_intvl 30
/proc/sys/net/ipv4/tcp_keepalive_probes 3

/proc/sys/net/ipv4/ip_local_port_range
指定埠范圍的一個配置,默認是32768 61000,已夠大.
net.ipv4.tcp_syncookies = 1
表示開啟SYN Cookies。當出現SYN等待隊列溢出時，啟用cookies來處理，可防範少量SYN攻擊，默認為0，表示關閉；

net.ipv4.tcp_tw_reuse = 1
表示開啟重用。允許將TIME-WAIT sockets重新用於新的TCP連接，默認為0，表示關閉；

net.ipv4.tcp_tw_recycle = 1
表示開啟TCP連接中TIME-WAIT sockets的快速回收，默認為0，表示關閉。

net.ipv4.tcp_fin_timeout = 30
表示如果套接字由本端要求關閉，這個參數決定了它保持在FIN-WAIT-2狀態的時間。

net.ipv4.tcp_keepalive_time = 1200
表示當keepalive起用的時候，TCP發送keepalive消息的頻度。預設是2小時，改為20分鍾。

net.ipv4.ip_local_port_range = 1024 65000
表示用於向外連接的埠范圍。預設情況下很小：32768到61000，改為1024到65000。

net.ipv4.tcp_max_syn_backlog = 8192
表示SYN隊列的長度，默認為1024，加大隊列長度為8192，可以容納更多等待連接的網路連接數。

net.ipv4.tcp_max_tw_buckets = 5000
表示系統同時保持TIME_WAIT套接字的最大數量，如果超過這個數字，TIME_WAIT套接字將立刻被清除並列印警告信息。默認為 180000，改為 5000。對於Apache、Nginx等伺服器，上幾行的參數可以很好地減少TIME_WAIT套接字數量，但是對於Squid，效果卻不大。此項參數可以控制TIME_WAIT套接字的最大數量，避免Squid伺服器被大量的TIME_WAIT套接字拖死。

Linux上的NAT與iptables
談起Linux上的NAT，大多數人會跟你提到iptables。原因是因為iptables是目前在linux上實現NAT的一個非常好的介面。它通過和內核級直接操作網路包，效率和穩定性都非常高。這里簡單列舉一些NAT相關的iptables實例命令，可能對於大多數實現有多幫助。
這里說明一下，為了節省篇幅，這里把准備工作的命令略去了，僅僅列出核心步驟命令，所以如果你單單執行這些沒有實現功能的話，很可能由於准備工作沒有做好。如果你對整個命令細節感興趣的話，可以直接訪問我的《如何讓你的Linux網關更強大》系列文章，其中對於各個腳本有詳細的說明和描述。

EXTERNAL="eth0"
INTERNAL="eth1"

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $EXTERNAL -j MASQUERADE

LOCAL_EX_IP=11.22.33.44 #設定網關的外網卡ip，對於多ip情況，參考《如何讓你的Linux網關更強大》系列文章
LOCAL_IN_IP=192.168.1.1 #設定網關的內網卡ip
INTERNAL="eth1" #設定內網卡

echo 1 > /proc/sys/net/ipv4/ip_forward

modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

iptables -t nat -A PREROUTING -d $LOCAL_EX_IP -p tcp --dport 80 -j DNAT --to 192.168.1.10

iptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to $LOCAL_IN_IP

iptables -A FORWARD -o $INTERNAL -d 192.168.1.10 -p tcp --dport 80 -j ACCEPT

iptables -t nat -A OUTPUT -d $LOCAL_EX_IP -p tcp --dport 80 -j DNAT --to 192.168.1.10
獲取系統中的NAT信息和診斷錯誤
了解/proc目錄的意義
在Linux系統中，/proc是一個特殊的目錄，proc文件系統是一個偽文件系統，它只存在內存當中，而不佔用外存空間。它包含當前系統的一些參數（variables）和狀態（status）情況。它以文件系統的方式為訪問系統內核數據的操作提供介面
通過/proc可以了解到系統當前的一些重要信息，包括磁碟使用情況，內存使用狀況，硬體信息，網路使用情況等等，很多系統監控工具（如HotSaNIC）都通過/proc目錄獲取系統數據。
另一方面通過直接操作/proc中的參數可以實現系統內核參數的調節，比如是否允許ip轉發，syn-cookie是否打開，tcp超時時間等。
獲得參數的方式：
第一種：cat /proc/xxx/xxx，如 cat /proc/sys/net/ipv4/conf/all/rp_filter
第二種：sysctl xxx.xxx.xxx，如 sysctl net.ipv4.conf.all.rp_filter
改變參數的方式：
第一種：echo value > /proc/xxx/xxx，如 echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
第二種：sysctl [-w] variable=value，如 sysctl [-w] net.ipv4.conf.all.rp_filter=1
以上設定系統參數的方式只對當前系統有效，重起系統就沒了，想要保存下來，需要寫入/etc/sysctl.conf文件中
通過執行 man 5 proc可以獲得一些關於proc目錄的介紹
查看系統中的NAT情況
和NAT相關的系統變數
/proc/slabinfo：內核緩存使用情況統計信息（Kernel slab allocator statistics）
/proc/sys/net/ipv4/ip_conntrack_max：系統支持的最大ipv4連接數，默認65536（事實上這也是理論最大值）
/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established 已建立的tcp連接的超時時間，默認432000，也就是5天
和NAT相關的狀態值
/proc/net/ip_conntrack：當前的前被跟蹤的連接狀況，nat翻譯表就在這里體現（對於一個網關為主要功能的Linux主機，裡面大部分信息是NAT翻譯表）
/proc/sys/net/ipv4/ip_local_port_range：本地開放埠范圍，這個范圍同樣會間接限制NAT表規模

cat /proc/sys/net/ipv4/ip_conntrack_max

cat /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established

cat /proc/net/ip_conntrack

cat /proc/sys/net/ipv4/ip_local_port_range

wc -l /proc/net/ip_conntrack

grep ip_conntrack /proc/slabinfo | grep -v expect | awk '{print 2;}'

grep ip_conntrack /proc/slabinfo | grep -v expect | awk '{print 3;}'

cat /proc/net/ip_conntrack | cut -d ' ' -f 10 | cut -d '=' -f 2 | sort | uniq -c | sort -nr | head -n 10

cat /proc/net/ip_conntrack | perl -pe s/^(.*?)src/src/g | cut -d ' ' -f1 | cut -d '=' -f2 | sort | uniq -c | sort -nr | head -n 10

『貳』 Linux系統有沒有關於rm -rf /* 的保護機制

當然有了。

默認文件都有其許可權控制（DAC），只要做好許可權控制，做好備份，非必要不使用root（超級管理員），就不會發生誤刪。

另外更安全的功能叫SELinux（安全Linux模塊），絕大多數發行版都默認安裝了，甚至有些默認開啟了。開啟後會從DAC切換成MAC。簡而言之就是更加嚴格，可以理解從黑名單切換成白名單了。只給最小許可權，默認不設置就什麼都不能幹。當然也包括rm這些刪除命令。

可以給rm起個別名，強制確認

有，不用root用戶操作就行，普通用戶沒這許可權

overlayfs

CPU設了一個安全保護環，零環，一環，二環，三環。操作系統的內核，一般工作在零環內，驅動工作在一環和二環，應用程序一般工作在三環。格式化硬碟屬於應用程序，他只是正常的調用了一下硬碟讀寫，系統自身並不能區別這種動作，對系統是否有害？為了對這一類動作進行保護，系統就設置了許可權，不論哪一種操作系統，都應該設立類似許可權，當系統執行類似操作時，給正常的登錄用戶一個確認機會，以人為判斷，是否是當前操作者有意為之，還是其他進程奪取了權偽裝做了一個同樣動作？總之，乖乖的使用受限許可權進行日常工作，是個很好的習慣。

『叄』 linux 內核是什麼， 本人有linux基礎

Linux內核：Linux是一種開源電腦操作系統內核。它是一個用C語言寫成，符合POSIX標準的類Unix操作系統。Linux最早是由芬蘭Linus Torvalds為嘗試在英特爾x86架構上提供自由的類Unix操作系統而開發的。該計劃開始於1991年，在計劃的早期有一些Minix 黑客提供了協助，而今天全球無數程序員正在為該計劃無償提供幫助。

Linux最早是由芬蘭人Linus Torvalds設計的。當時由於UNⅨ的商業化，Andrew Tannebaum教授開發了Minix操作系統以便於不受AT&T許可協議的約束，為教學科研提供一個操作系統。

(3)linux內核的overlayfs擴展閱讀：

Linux將標準的GNU許可協議改稱Copyleft，以便與Copyright相對照。通用的公共許可（GPL）允許用戶銷售、拷貝和改變具有Copyleft的應用程序。當然這些程序也可以是Copyright的，但是你必須允許進一步的銷售、拷貝和對其代碼進行改變，同時也必須使他人可以免費得到修改後的源代碼。事實證明，GPL對於Linux的成功起到了極大的作用。它啟動了一個十分繁榮的商用Linux階段，還為編程人員提供了一種凝聚力，誘使大家加入這個充滿了慈善精神的Linux運動。

『肆』 batocera.linux體系結構

batocera.linux基於buildroot。您可以將buildroot視為Linux發行版，同時維護基本軟體包。但是，它是構建根文件系統（如固件）的工具。batocera.linux主要包括buildroot（模擬器慧搜）和配置上不可用的額外軟體包。

關於buildroot的更多信息可以在這里找到： https  :  //buildroot.org

系統安裝點/固件/覆蓋

從技術上講，batocera.linux具有2個分區。1用於系統，1用於用戶數據。在Windows，MacOS或Linux下在任何計算機上可見的名為BATOCERA的分區是系統數據。

它主要包含3個文件：

linux，技術系統（大約10 MB）

batocera，包含所有程序的軟體系統（壓縮後約為1.1GB）

initrd.gz或uInitrd，加雀消載程序（約600 kB）

升級系統主要意味著這3個文件正在升級。根據體系結構，還有一些其他文件。

batocera可以將系統看作是固件，無法對其進行修改。但是，該體系結構稍微復雜一些，但是它允許您修改固件而無需重新編譯所有內容。batocera.linux默認情況下支持並使用 overlayfs 。實際的系統是固件（文件batocera）+內存中的文件系統，該文件系統已通過文件覆蓋初始化（如果存在）。覆蓋是內存中的文件系統，而不是直接覆蓋的文件，因為在Linux下，您無法正確卸載根文件系統，主要是它是來自多個文件系統的復雜根目錄。

通常，該文件overlay不存在，除非執行batocera-save-overlay命令，用戶或開發人員定製系統時由腳本創建該文件。

有關overlayfs的更多詳細信息，請參見： https://www.embedded-computing.com/embedded-computing-design/understand-what-an-overlayfs-is-and-how-it-works

SD卡/ EMMC / USB密鑰/硬碟

創建運行batocera.linux的存儲器時，該存儲器比基本存儲器復雜，並前歲歷且取決於體系結構。這就是為什麼您需要特殊的工具來刻錄它的原因。

BOOT之前：這些是技術文件，可以訪問BOOT分區並運行Linux內核。

引導：此分區在Windows上可見。這是batocera.linux系統所在的位置。

FREE：第一次啟動時，此可用空間將充滿SHARE分區，以保存所有用戶數據（ROM和輔助文件，如屏幕截圖，視頻快照等）。

SHARE：此分區在首次啟動時將替換FREE。它被分區為EXT4。

RPI SD CARD

X86/X86_64 USB KEY / HARD DRIVE

XU4 SD/EMMC CARD

C2 SD CARD

『伍』 fuse+disk+kernel+dependency是什麼意思

這幾個詞的意思是：保險絲+磁碟+內核+依賴性。