Linux部分参数的学习
简介
- 之前总结过很多Nginx或者是部署软件时的一些注意事项.
- 但是感觉对linux系统参数部分掌握的不是很好.
- 今天周末想着整理一下,作为备忘.
limits.conf
文件位置: /etc/security/limits.conf
limits.conf配置文件文件实际是Linux PAM(插入式认证模块,Pluggable Authentication Modules)
pam_limits.so 的配置文件,一般用于突破系统对单个用户的默认限制,对系统访问资源有一定保护作用。
默认格式:
username|@groupname type resource limit
注意一点的是:
username 可以用 * 代替.
type 有soft和hard的设置
resource 经常用到的是 nofile(文件打开数) nproc(单个进程能够打开的线程数)
limit 限制的具体数据值
注意: 有些环境下 nofile的文件数不能大于 100万(2的20次方),不然系统会出现异常.
如果系统有限制不允许修改 /etc/ 下面的配置文件可以使用另外一种方法来处理
1. 首先要学习一下 ulimit的命令.
ulimit -a 会查看所有的系统限制信息.
2. 可以执行命令单独处理文件打开数
ulimit -HSn 65536
注意 这个数字其实无所谓, 只要别大过一百万一般问题不大.
但是也别搞事,比如你一个系统bug,openfile不关, 你又设置了99万, 十个进程一起跑
会搞出来上千万的打开文件. 直接把系统搞崩了.
3. 为了简单可以修改如下文件,直接实现用户登录时处理
如果是只想修改当前用户
~/.bash_profile
~/.bashrc
如果是修改所有用户
/etc/profile
或者是
/etc/profile.d
下面增加一个 .sh 后缀的脚本
里面都添加一个命令
ulimit -HSn 65536
sysctl.conf
- 注意 limits.conf 是为了安全限制用户的行为.
- sysctl.conf 是整个系统的配置信息. 更加管家和重要.
- 限制最多是让你不好用,系统是让你能够用的起来
需要说明一下. sysctl.conf的默认配置内容
# sysctl settings are defined through files in
# /usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/.
#
# Vendors settings live in /usr/lib/sysctl.d/.
# To override a whole file, create a new file with the same in
# /etc/sysctl.d/ and put new settings there. To override
# only specific settings, add a file with a lexically later
# name in /etc/sysctl.d/ and put new settings there.
#
# For more information, see sysctl.conf(5) and sysctl.d(5).
sysctl.conf
/usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/
其实跟profile一样, 也可以进行多个目录的处理.
需要明确一点
除了修改 配置文件 还可以使用 sysctl 命令进行设置.
还可以修改 /proc 虚拟目录下面的配置节来实现:
例如:
禁ping处理
1. 修改文件
/proc/sys/net/ipv4
下面的文件:
echo 1 > icmp_echo_ignore_all
2. 命令修改
sysctl -w net.ipv4.icmp_echo_ignore_all=1
#注意 如上两个命令都是立即生效. 但是重启就会失效.
#注意 两个命令的目录其实是相仿 虚拟目录下面除去 /proc/sys 之外 就是参数的前置.
sysctl.conf
#注意 前面两种方式重启机器就丢失了. 如果想重启也生效需要修改配置文件
#注意 其实也可以跟修改ulimit一样设置到开机运行的脚本里面去.
3./etc/sysctl.conf
echo "net.ipv4.icmp_echo_ignore_all=1" >>/etc/sysctl.conf
注意执行完之后需要执行如下命令使之生效
sysctl -p
部分核心系统参数
- 简单学习整理一下
- 内核参数 安装Oracle数据库时需要设置较多的内容.
- 注意这一部分参照了:
https://www.jianshu.com/p/9a8e383b5b49中的内容.
#使用sysrq组合键是了解系统目前运行情况,为安全起见设为0关闭
kernel.sysrq = 0
#控制core文件的文件名是否添加pid作为扩展
kernel.core_uses_pid = 1
#每个消息队列的大小(单位:字节)限制
kernel.msgmnb = 65536
#整个系统最大消息队列数量限制
kernel.msgmax = 65536
#单个共享内存段的大小(单位:字节)限制,计算公式64G*1024*1024*1024(字节)
kernel.shmmax = 68719476736
#所有内存大小(单位:页,1页 = 4Kb),计算公式16G*1024*1024*1024/4KB(页)
kernel.shmall = 4294967296
#禁用包过滤功能
net.ipv4.ip_forward = 0
#启用源路由核查功能
net.ipv4.conf.default.rp_filter = 1
#禁用所有IP源路由
net.ipv4.conf.default.accept_source_route = 0
#开启SYN Cookies,当出现SYN等待队列溢出时,启用cookies来处理
net.ipv4.tcp_syncookies = 1
#timewait的数量,默认是180000
net.ipv4.tcp_max_tw_buckets = 6000
#开启有选择的应答
net.ipv4.tcp_sack = 1
#支持更大的TCP窗口. 如果TCP窗口最大超过65535(64K), 必须设置该数值为1
net.ipv4.tcp_window_scaling = 1
#TCP读buffer
net.ipv4.tcp_rmem = 4096 131072 1048576
#TCP写buffer
net.ipv4.tcp_wmem = 4096 131072 1048576
#系统中最多有多少个TCP套接字不被关联到任何一个用户文件句柄上。这个限制仅仅是为了防止简单的DoS攻击,不能过分依靠它或者人为地减小这个值,更应该增加这个值(如果增加了内存之后)
net.ipv4.tcp_max_orphans = 3276800
#记录的那些尚未收到客户端确认信息的连接请求的最大值。对于有128M内存的系统而言,缺省值是1024,小内存的系统则是128
net.ipv4.tcp_max_syn_backlog = 262144
#时间戳可以避免序列号的卷绕。一个1Gbps的链路肯定会遇到以前用过的序列号。时间戳能够让内核接受这种“异常”的数据包。这里需要将其关掉
net.ipv4.tcp_timestamps = 0
#为了打开对端的连接,内核需要发送一个SYN并附带一个回应前面一个SYN的ACK。也就是所谓三次握手中的第二次握手。这个设置决定了内核放弃连接之前发送SYN+ACK包的数量
net.ipv4.tcp_synack_retries = 1
#在内核放弃建立连接之前发送SYN包的数量
net.ipv4.tcp_syn_retries = 1
#开启TCP连接中time_wait sockets的快速回收
net.ipv4.tcp_tw_recycle = 1
#开启TCP连接复用功能,允许将time_wait sockets重新用于新的TCP连接(主要针对time_wait连接)
net.ipv4.tcp_tw_reuse = 1
#1st低于此值,TCP没有内存压力,2nd进入内存压力阶段,3rdTCP拒绝分配socket(单位:内存页)
net.ipv4.tcp_mem = 94500000 915000000 927000000
#如果套接字由本端要求关闭,这个参数决定了它保持在FIN-WAIT-2状态的时间。对端可以出错并永远不关闭连接,甚至意外当机。缺省值是60 秒。2.2 内核的通常值是180秒,你可以按这个设置,但要记住的是,即使你的机器是一个轻载的WEB服务器,也有因为大量的死套接字而内存溢出的风险,FIN- WAIT-2的危险性比FIN-WAIT-1要小,因为它最多只能吃掉1.5K内存,但是它们的生存期长些。
net.ipv4.tcp_fin_timeout = 15
#表示当keepalive起用的时候,TCP发送keepalive消息的频度(单位:秒)
net.ipv4.tcp_keepalive_time = 30
#对外连接端口范围
net.ipv4.ip_local_port_range = 2048 65000
#为TCP socket预留用于发送缓冲的内存默认值(单位:字节)
net.core.wmem_default = 8388608
#为TCP socket预留用于发送缓冲的内存最大值(单位:字节)
net.core.wmem_max = 16777216
#为TCP socket预留用于接收缓冲的内存默认值(单位:字节)
net.core.rmem_default = 8388608
#为TCP socket预留用于接收缓冲的内存最大值(单位:字节)
net.core.rmem_max = 16777216
#每个网络接口接收数据包的速率比内核处理这些包的速率快时,允许送到队列的数据包的最大数目
net.core.netdev_max_backlog = 262144
#web应用中listen函数的backlog默认会给我们内核参数的net.core.somaxconn限制到128,而nginx定义的NGX_LISTEN_BACKLOG默认为511,所以有必要调整这个值
net.core.somaxconn = 262144
- 几个参数解释
- Study From
https://blog.csdn.net/qq_40436854/article/details/111163821
socket接收的所有连接都是存放在队列类型的数据结构中,关键问题是这种队列有两个,而且其长度都是可以设置的。
/proc/sys/net/ipv4/tcp_max_syn_backlog
/proc/sys/net/core/somaxconn
tcp_max_syn_backlog: 是指定所能接受SYN同步包的最大客户端数量,即半连接上限;
somaxconn: 是指服务端所能accept即处理数据的最大客户端数量,即完成连接上限。
对于没有调优的新装的centOS6.5系统,这两个参数的值都是128。
以酒店的例子进行讲解:
tcp_max_syn_backlog用于指定酒席现场面积允许容纳多少人进来;
somaxconn用于指定有多少个座位。