linux内核参数注释与优化

『壹』 linux安全优化和内核参数优化方案有那些

入口安全优化

• ssh配置优化

  修改之前，需要将/etc/ssh/sshd_config备份一个，比如/etc/ssh/sshd_config.old， 主要优化如下参数：

  Port 12011
  PermitRootLogin no
  UseDNS no
  #防止ssh客户端超时#
  ClientAliveInterval 30
  ClientAliveCountMax 99
  GSSAuthentication no
  

  主要目的更改ssh远程端口、禁用root远程登录（本地还是可以root登录的）、禁用dns、防止ssh超时、解决ssh慢，当然也可以启用密钥登录，这个根据公司需求。

  注意：修改以后需重启ssh生效，另外需要iptables放行最新ssh端口。

• iptables优化

  原则：用到哪些放行哪些，不用的一律禁止。

  举下简单的例子：敏感服务比如mysql这种3306控制，默认禁止远程，确实有必要可以放行自己指定IP连接或者通过vpn拨号做跳板连接，不可直接放置于公网； 如单位有自己的公网IP或固定IP，那只允许自己的公网IP进行连接ssh或者指定服务端口就更好了。

用户权限以及系统安全优化

非root用户添加以及sudo权限控制

用户配置文件锁定

服务控制

默认无关服务都禁止运行并chkconfig xxx off，只保留有用服务。这种如果是云计算厂商提供的，一般都是优化过。如果是自己安装的虚拟机或者托管的机器，那就需要优化下，默认只保留network、sshd、iptables、crond、以及rsyslog等必要服务，一些无关紧要的服务就可以off掉了，

内核参数优化

• 进程级文件以及系统级文件句柄数量参数优化

默认ulinit -n看到的是1024，这种如果系统文件开销量非常大，那么就会遇到各种报错比如：

localhost kernel: VFS: file-max limit 65535 reached 或者too many open files 等等，那就是文件句柄打开数量已经超过系统限制，就需要优化了。

这个参数我们进程级优化文件如下：

vim /etc/security/limits.conf

# End of file
* soft nofile 65535
* hard nofile 65535
* soft nproc 65535
* hard nproc 65535

好了，退出当前终端以后重新登录可以看到ulimit -n已经改成了65535。另外需要注意，进程级参数优化还需要修改文件：

/etc/security/limits.d/90-nproc.conf 这个会影响到参数。查看某一个进程的limits可以通过cat /proc/pid/limits查看。默认这个文件参数推荐设置：

[root@21yunwei 9001]# cat /etc/security/limits.d/90-nproc.conf
* soft nproc 65535
root soft nproc unlimited

• 系统级文件句柄优化

修改/etc/sysctl.conf添加如下参数：

fs.file-max=65535

内核参数优化（这个是非常重要的）。具体优化的文件为/etc/sysctl.conf，后尾追加优化参数：

net.ipv4.neigh.default.gc_stale_time=120
net.ipv4.conf.all.rp_filter=0
net.ipv4.conf.default.rp_filter=0
net.ipv4.conf.default.arp_announce = 2
net.ipv4.conf.all.arp_announce=2
net.core.netdev_max_backlog = 32768
net.core.somaxconn = 32768
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.ipv4.conf.lo.arp_announce=2

net.ipv4.tcp_synack_retries = 2

#参数的值决定了内核放弃连接之前发送SYN+ACK包的数量。

net.ipv4.tcp_syn_retries = 1

#表示在内核放弃建立连接之前发送SYN包的数量。

net.ipv4.tcp_max_syn_backlog = 262144

#这个参数表示TCP三次握手建立阶段接受SYN请求列队的最大长度，默认1024，将其设置的大一些可以使出现Nginx繁忙来不及accept新连接的情况时，Linux不至于丢失客户端发起的链接请求。

设置完以后执行命令sysctl -p使得配置新配置的内核参数生效。系统优化这个内核对系统本身安全以及高并发都非常的有效（可以解决大量TIME_WAIT带来的无法访问使用、系统文件句柄数量超出等等）。

net.ipv4.tcp_timestamps = 1 #开启时间戳，配合tcp复用。如遇到局域网内的其他机器由于时间戳不同导致无法连接服务器，有可能是这个参数导致。注：阿里的slb会清理掉tcp_timestampsnet.ipv4.tcp_tw_recycle = 1 #这个参数用于设置启用timewait快速回收net.ipv4.tcp_max_tw_buckets = 6000 #参数设置为 1 ，表示允许将TIME_WAIT状态的socket重新用于新的TCP链接，该参数默认为180000，过多的TIME_WAIT套接字会使Web服务器变慢。net.ipv4.tcp_mem = 94500000 915000000 927000000 net.ipv4.tcp_fin_timeout = 1 #当服务器主动关闭链接时，选项决定了套接字保持在FIN-WAIT-2状态的时间。默认值是60秒。net.ipv4.tcp_keepalive_time = 600 #当keepalive启动时，TCP发送keepalive消息的频度；默认是2小时，将其设置为10分钟，可以更快的清理无效链接。net.ipv4.ip_local_port_range = 1024 65000#定义UDP和TCP链接的本地端口的取值范围。fs.file-max=65535 #表示最大可以打开的句柄数；

设置完以后执行命令sysctl -p使得配置新配置的内核参数生效。这个内核对系统本身安全以及高并发都非常的有效（可以解决大量TIME_WAIT带来的无法访问使用、系统文件句柄数量超出等等）。

『贰』 linux内核完全注释

AT T汇编、C语言、微机原理、操作系统原理 大概的基础知识就是这些。不知道你现在是读书还是已经出来工作了。因为研读这些东西很费时间和脑力的，如果不是很高水平，很难靠这门技术拿来改善生活质量。不过见你那么积极，着实应该鼓励一下，你要是对Linux感兴趣的话可以看下的《Linux就该这么学》作为入门的书籍。

『叁』 一般优化linux的内核，需要优化什么参数

首先要知道一点所有的TCP/IP的参数修改是临时的，因为它们都位于/PROC/SYS/NET目录下，如果想使参数长期保存，可以通过编辑/ETC/SYSCTL.CONF文件来实现，这里不做详细说明，只针对Linux的TCPIP内核参数优化列举相关参数：

1、为自动调优定义socket使用的内存

2、默认的TCP数据接收窗口大小（字节）

3、最大的TCP数据接收窗口

4、默认的TCP发送窗口大小

5、最大的TCP数据发送窗口

6、在每个网络接口接收数据包的速率比内核处理这些包速率快时，允许送到队列的数据包最大数目

7、定义了系统中每一个端口最大的监听队列长度

8、探测消息未获得相应时，重发该消息的间隔时间

9、在认定tcp连接失效之前，最多发送多少个keepalive探测消息等。

『肆』 想问一下LINUX系统内核参数怎么调整

您指的是那个参数？

『伍』 一般优化linux的内核，需要优化什么参数

首先要知道一点所有的/IP的参数修改是临时的，因为它们都位于/PROC/SYS/NET目录下，如果想使参数长期保存，可以通过编辑/ETC/SYSCTL.CONF文件来实现，这里不做详细说明，只针对Linux的TCPIP内核参数优化列举相关参数：

1、为自动调优定义socket使用的内存

2、默认的TCP数据接收窗口大小（字节）

3、最大的TCP数据接收窗口

4、默认的TCP发送窗口大小

5、最大的TCP数据发送窗口

6、在每个网络接口接收数据包的速率比内核处理这些包速率快时，允许送到队列的数据包最大数目

7、定义了系统中每一个端口最大的监听队列长度

8、探测消息未获得相应时，重发该消息的间隔时间

9、在认定tcp连接失效之前，最多发送多少个keepalive探测消息等。

『陆』 linux内核优化参数

cat >> /etc/sysctl.conf << EOF
# kernel optimization
net.ipv4.tcp_fin_timeout = 2
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_keepalive_time = 600
net.ipv4.ip_local_port_range = 4000 65000
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.tcp_max_tw_buckets = 36000
net.ipv4.route.gc_timeout = 100
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_synack_retries = 1
net.core.somaxconn = 16384
net.core.netdev_max_backlog = 16384
net.ipv4.tcp_max_orphans = 16384
EOF # 《Linux就该这么学》
将上面的内核参数加入/etc/sysctl.conf文件中，执行如下命令使之生效:
sysctl -p

『柒』 linux内存为128的内核参数怎么调整最优

处理器通过地址访问内存单元，程序中用到的基址加偏移地址是线性地址，需要通过MMU将虚拟地址映射成物理地址。这给分配和释放内存带来方便:1)物理地址不连续的空间可以映射为逻辑上连续的虚拟地址。2)进程可以获得比实际内存大的"空间"，虚拟内存使得进程在这种情况下仍可正常运行。
linux内核为驱动程序提供了一致的内存管理接口，因此不用考虑不同体系结构如何管理内存的。
在linux内核中分配内存用kmalloc和kfree。
kmalloc分配时可以被阻塞，且不对所获得的区域清零。它分配的区域在物理内存中也是连续的。
原型:
#include<linux/slab.h>
void *kmalloc(size_t size,int flags); //参数为分配大小及分配标志
flags参数:
GFP_KERNEL:内核内存通用分配方法，表示内存分配是由运行在内核空间的进程执行的。可休眠，所以使用GFP_KERNEL分配内存的函数必须是可重入的。
GFP_ATOMIC:用于在中断处理例程或者运行在进程上下文之外的代码中分配内存，不可休眠。内核通常会为原子性的分配预留一些空闲页面。
所有标志定义在 <linux/gfp.h>中。
size参数:
内核是基于页技术分配内存，以最佳的利用系统的RAM。
linux处理内存分配的方法是:创建一系列的内存对象池，每个池的内存大小事固定的，处理分配请求时，就直接在包含足够大的内存块中传递一个整款给请求者。内核只能分配一些预定义的固定大小的字节数组。kmalloc能处理的的最小内存块是32或者64，不大于128KB。
内存区段:
linux内核把内存分为3个区段:可用于DMA的内存，常规内存以及高端内存。kmalloc不能分配高端内存。内存区段在mm/page_alloc.c中实现。区段的初始化在对应的arch树下的mm/init.c中。

后备高速缓存 (lookaside cache)
内核中普通对象进行初始化所需的时间超过了对其进行分配和释放所需的时间，因此不应该将内存释放回一个全局的内存池，而是将内存保持为针对特定目而初始化的状态。例如，如果内存被分配给了一个互斥锁，那么只需在为互斥锁首次分配内存时执行一次互斥锁初始化函数（mutex_init）即可。后续的内存分配不需要执行这个初始化函数，因为从上次释放和调用析构之后，它已经处于所需的状态中了。
linux2.6中USB和SCSI驱动程序使用了这种高速缓存，是为一些反复使用的块增加某些特殊的内存池。后背高速缓存管理也叫slab分配器，相关函数和类型在<linux/slab.h>中申明。
slab分配器实现高速缓存具有kmem_cache_t类型。
kmem_cache_t * kmem_cache_create( const char *name, size_t size, size_t align,
unsigned long flags;
void (*constructor)(void*,kmem_cache_t *, unsigned long),
void (*destructor)(void*, kmem_cache_t *, unsigned long));
用于创建一个新的高速缓存对象。
constructor用于初始化新分配的对象，destructor用于清除对象。
一旦某个对象的高速缓存被创建以后，就可以调用kmem_cache_alloc从中分配内存对象。
void * kmem_cache_alloc(kmem_cache_t *cache,int flags);
释放内存对象使用kmem_cache_free
void kmem_cache_free(kmem_cache_t *cache,const void *obj);
在内存空间都被释放后，模块被卸载前，驱动程序应当释放他的高速缓存。
int kmem_cache_destory(kmem_cache_t *cache);
要检查其返回状态，如果失败，表明莫块中发生了内存泄露。
基于slab的高速缓存scullc
kmem_cache_t *scullc_cache;
scullc_cache=kmem_cache_creat("scullc",scullc_quantum,0,SLAB_HWCACHE_ALIGN,NULL,NULL);
if(!scullc_cache)
{
scullc_cleanup();
return -ENOMEM;
}
if(!dpte->data[s_pos])
{
dptr->data[s_pos]=kmem_cache_alloc(scullc_cache,GFP_KERNEL);
if(!dptr->data[s_pos])
goto nomem;
memset(dptr->data[s_pos],0,scullc_quantum);
}
for(i=0;i<qset;i++)
{
if(dptr->data[i])
kmem_cache_free(scullc_cache,dptr->data[i]);
}
if(scullc_cache)
kmem_cache_destory(scullc_cache);
内存池:
内核中有些地方的内存分配是不允许失败的，为确保能分配成功，内核建立一种称为内存池的抽象，他试图始终保持空闲状态，以便紧急情况使用。
mempool_t * mempool_creat(int min_nr,
mempool_alloc_t *alloc_fn, //对象分分配 mempool_alloc_slab
mempool_free_t *free_fn, //释放 mempool_free_slab
void *pool_data);
可以用如下代码来构造内存池
cache=kmem_cache_creat(...); //创建一个高速缓存
pool=mempool_creat(MY_POOL_MINIMUM,mempool_alloc_slab,mempool_free_slab,cache);//建立内存池对象
void *mempool_alloc(mempool_t *poll,int gfp_mask);//分配对象
void *mempool_free(void *element,mempool_t *poll);//释放对象
void mempool_destroy(mempool_t *poll);//销毁内存池
注意:mempool会分配一些内存块，空闲且不会被用到，造成内存的大量浪费。所以一般情况不要用内存池。

『捌』 Linux内核完全注释的介绍

本书对Linux早期操作系统内核(v0.11)全部代码文件进行了详细全面的注释和说明，旨在使读者能够在尽量短的时间内对Linux的工作机理获得全面而深刻的理解，为进一步学习和研究Linux系统打下坚实的基础。书中首先以Linux源代码版本的变迁历史为主线，详细介绍了Linux系统的发展历史，着重说明了各个内核版本之间的重要区别和改进方面，给出了选择0.11(0.95)版作为研究的对象的原因。然后本书依据内核源代码的组织结构对所有内核程序和文件进行了注释和详细说明。 在注释的同时，还介绍了读者应该了解的相关知识，并给出了相关的硬件信息。

『玖』 linux内核参数

＂The story of _OSI(Linux)＂注释.此参数用于修改内核中的操作系统接口字符串(_OSI string)列表默认值,这样当BIOS向内核询问:...