淺談linux內(nèi)核參數(shù)設(shè)置和功能

linux內(nèi)核的參數(shù)設(shè)置怎么弄呢，Linux 操作系統(tǒng)修改內(nèi)核參數(shù)有以下三種方式：

修改 /etc/sysctl.conf 文件;

在文件中加入配置項，格式為 key = value，保存修改后的文件，執(zhí)行命令 sysctl -p 加載新配置。

使用 sysctl 命令臨時修改;

如：sysctl -w net.ipv4.tcp_mem = “379008 505344 758016”直接修改 /proc/sys/ 目錄中的文件。

如：echo “379008 505344 758016” 》 /proc/sys/net/ipv4/tcp_mem注意：第一種方式在重啟操作系統(tǒng)后自動永久生效;第二種和第三種方式在重啟后失效。

內(nèi)核參數(shù)

kernel.core_uses_pid = 1

core_uses_pid 可以控制 core 文件的文件名中是否添加 pid 作為擴(kuò)展名。設(shè)置為1，表示添加 pid 作為擴(kuò)展名，生成的 core 文件格式為 core.xxx;設(shè)置為0(默認(rèn))，表示生成的 core 文件統(tǒng)一命名為 core。

kernel.core_pattern = core

core_pattern 可以控制 core 文件的保存位置和文件格式。

如：kernel.core_pattern = “/corefile/core-%e-%p-%t”，表示將 core 文件統(tǒng)一生成到 /corefile 目錄下，產(chǎn)生的文件名為 core-命令名-pid-時間戳。

以下是參數(shù)列表：

%p - insert pid into filename 添加 pid

%u - insert current uid into filename 添加當(dāng)前 uid

%g - insert current gid into filename 添加當(dāng)前 gid

%s - insert signal that caused the coredump into the filename 添加導(dǎo)致產(chǎn)生 core 的信號

%t - insert UNIX time that the coredump occurred into filename 添加 core 文件生成時的 unix 時間

%h - insert hostname where the coredump happened into filename 添加主機(jī)名

%e - insert coredumping executable name into filename 添加命令名

kernel.msgmax = 8192

進(jìn)程間的消息傳遞是在內(nèi)核的內(nèi)存中進(jìn)行的。msgmax 指定了消息隊列中消息的最大值。(65536B=64KB)

kernel.msgmnb = 16384

msgmnb 規(guī)定了一個消息隊列的最大值，即一個消息隊列的容量。msgmnb 控制可以使用的共享內(nèi)存的總頁數(shù)。Linux共享內(nèi)存頁大小為4KB，共享內(nèi)存段的大小都是共享內(nèi)存頁大小的整數(shù)倍。一個共享內(nèi)存段的最大大小是 16G，那么需要共享內(nèi)存頁數(shù)是16GB / 4KB = 16777216KB / 4KB = 4194304(頁)，也就是64Bit系統(tǒng)下16GB物理內(nèi)存，設(shè)置kernel.shmall = 4194304才符合要求。

kernel.shmall = 1048576

表示在任何給定時刻，系統(tǒng)上可以使用的共享內(nèi)存的總量(bytes)。

kernel.shmmax = 4294967295

表示內(nèi)核所允許的最大共享內(nèi)存段的大小(bytes)。用于定義單個共享內(nèi)存段的最大值，64位 linux 系統(tǒng)，可取的最大值為物理內(nèi)存值 - 1byte，建議值為多于物理內(nèi)存的一半，一般取值大于SGA_MAX_SIZE即可，可以取物理內(nèi)存-1byte。例如，如果為64GB物理內(nèi)存，可取64 * 1024 * 1024 * 1024 - 1 = 68719476735。

實際可用最大共享內(nèi)存段大小=shmmax * 98%，其中大約2%用于共享內(nèi)存結(jié)構(gòu)?？梢酝ㄟ^設(shè)置 shmmax，然后執(zhí)行ipcs -l來驗證。

kernel.sysrq = 0

控制系統(tǒng)調(diào)試內(nèi)核的功能，不同的值對應(yīng)不同的功能：

0 完全禁用 sysrq 組合鍵

1 啟用 sysrq 組合鍵的全部功能

2 啟用控制臺日志級別控制

4 啟用鍵盤控制(SAK、unraw)

8 啟用進(jìn)程的調(diào)試信息輸出等

16 啟用同步命令

32 啟用重新掛載為只讀

64 啟用進(jìn)程信號(終止、殺死、溢出殺死)

128 允許重啟/關(guān)機(jī)

256 控制實時任務(wù)的優(yōu)先級控制(nicing)

net.core.netdev_max_backlog = 262144

表示當(dāng)每個網(wǎng)絡(luò)接口接收數(shù)據(jù)包的速率比內(nèi)核處理這些包的速率快時，允許發(fā)送到隊列的數(shù)據(jù)包的最大數(shù)目。

net.core.rmem_default = 8388608

為 TCP socket 預(yù)留用于接收緩沖的內(nèi)存默認(rèn)值。

net.core.rmem_max = 16777216

為 TCP socket 預(yù)留用于接收緩沖的內(nèi)存最大值。

net.core.somaxconn = 128

listen(函數(shù))的默認(rèn)參數(shù)，掛起請求的最大數(shù)量限制。web 應(yīng)用中 listen 函數(shù)的 backlog 默認(rèn)會給我們內(nèi)核參數(shù)的 net.core.somaxconn 限制到128。nginx 服務(wù)器中定義的 NGX_LISTEN_BACKLOG 默認(rèn)為511。

net.core.wmem_default = 8388608

為 TCP socket 預(yù)留用于發(fā)送緩沖的內(nèi)存默認(rèn)值。

net.core.wmem_max= 16777216

為 TCP socket 預(yù)留用于發(fā)送緩沖的內(nèi)存最大值。

net.ipv4.conf.all.accept_source_route = 0、net.ipv4.conf.default.accept_source_route = 0

處理無源路由的包。

net.ipv4.conf.all.rp_filter = 1、net.ipv4.conf.default.rp_filter = 1

開啟反向路徑過濾。

net.ipv4.ip_forward = 0、net.ipv4.conf.all.send_redirects = 0、v4.conf.default.send_redirects = 0

不充當(dāng)路由器。

net.ipv4.icmp_echo_ignore_broadcasts = 1

避免放大攻擊。

net.ipv4.icmp_ignore_bogus_error_responses = 1

開啟惡意 ICMP 錯誤消息保護(hù)。

net.ipv4.ip_local_port_range = 1024 65535

增加系統(tǒng) IP 端口限制。表示用于向外連接的端口范圍。參考

net.ipv4.tcp_fin_TImeout = 30

如果套接字由本端要求關(guān)閉，這個參數(shù)決定了它保持在 FIN-WAIT-2 狀態(tài)的時間。對端可以出錯并永遠(yuǎn)不關(guān)閉連接，甚至意外宕機(jī)。缺省值是 60s，2.2 內(nèi)核通常是 180s，你可以按這個設(shè)置，但要記住的是，即使你的機(jī)器是一個輕載的 WEB 服務(wù)器，也有因為大量的死套接字而內(nèi)存溢出的風(fēng)險，F(xiàn)IN-WAIT-2 的危險性比 FIN-WAIT-1 要小，因為它最多只能吃掉 1.5k 內(nèi)存，但是它們的生存期長些。

net.ipv4.tcp_keepalive_TIme = 1200

表示當(dāng) keepalive 起作用的時候，TCP 發(fā)送 keepalive 消息的頻度。(單位：秒，缺省值：2小時)

net.ipv4.tcp_max_orphans = 3276800

表示系統(tǒng)中最多有多少個 TCP 套接字不被關(guān)聯(lián)到任何一個用戶文件句柄上。這個限制僅僅是為了防止簡單的 DoS 攻擊，不能郭飛依賴依靠它或者認(rèn)為地減小這個值，如果增加了內(nèi)存之后，更應(yīng)該增加這個值。

net.ipv4.tcp_max_syn_backlog = 262144

記錄的是那些尚未收到客戶端確認(rèn)信息的連接請求的最大值。對于有 128M 內(nèi)存的系統(tǒng)而言，缺省值是 1024，小內(nèi)存的系統(tǒng)則是 128。

net.ipv4.tcp_max_tw_buckets = 6000

表示系統(tǒng)同時保持 TIME_WAIT 套接字的最大數(shù)量，默認(rèn)是 180000。

net.ipv4.tcp_mem = 94500000 915000000 927000000

確定 TCP 棧應(yīng)該如何反映內(nèi)存使用;每個值的單位都是內(nèi)存頁(通常是 4KB)：

第一個值是內(nèi)存使用的下限。

第二個值是內(nèi)存壓力模式開始對緩沖區(qū)使用應(yīng)用壓力的上限。

第三個值是內(nèi)存上限。在這個層次上可以將報文丟棄，從而減少對內(nèi)存的使用。對于較大的 BDP 可以增大這些值(但是要記住，其單位是內(nèi)存頁，而不是字節(jié))。

net.ipv4.tcp_sack = 1

啟用有選擇的應(yīng)答(1表示啟用)，通過有選擇地應(yīng)答亂序接收到的報文來提高性能，讓發(fā)送者只發(fā)送丟失的報文段，(對于廣域網(wǎng)通信來說)這個選項應(yīng)該啟用，但是會增加對CPU的占用。

net.ipv4.tcp_synack_retries = 1

為了打開對端的連接，內(nèi)核需要發(fā)送一個 SYN 并附帶一個回應(yīng)前面一個 SYN 的 ACK。也就是所謂三次握手中的第二次握手。這個設(shè)置決定了內(nèi)核放棄連接之前發(fā)送 SYN+ACK 包的數(shù)量。

net.ipv4.tcp_syncookies = 1

開啟 SYN 洪水攻擊保護(hù)。

net.ipv4.tcp_syn_retries = 1

在內(nèi)核放棄建立連接之前發(fā)送 SYN 包的數(shù)量。

net.ipv4.tcp_TImestamps = 0

該參數(shù)用于設(shè)置時間戳，可以避免序列號的卷繞。一個1Gbps的鏈路肯定會遇到以前用過的序列號。時間戳能夠讓內(nèi)核接受這種“異常”的數(shù)據(jù)包。設(shè)置為 0 表示將其關(guān)掉。

net.ipv4.tcp_tw_recycle = 0

是否開啟 TCP 連接中 TIME-WAIT sockets 的快速回收，0 表示關(guān)閉，1 表示開啟。當(dāng) tcp_tw_recycle 與 tcp_timestamp 同時開啟時會降低連接成功率。

net.ipv4.tcp_tw_reuse = 1

是否開啟重用，允許將 TIME-WAIT sockets 重新用于新的 TCP 連接，0 表示關(guān)閉，1 表示開啟。

net.ipv4.tcp_window_scaling = 1

啟用 RFC 1323 定義的 window scaling，要支持超過 64KB 的 TCP 窗口，必須啟用該值(1表示啟用)，TCP窗口最大至 1GB，TCP 連接雙方都啟用時才生效。

net.ipv6.conf.all.disable_ipv6 = 1、net.ipv6.conf.default.disable_ipv6 = 1

禁用 IPv6

linux內(nèi)核的功能有哪些

內(nèi)核主要有以下4能：系統(tǒng)內(nèi)存管理;軟件程序管理;硬件管理;文件系統(tǒng)管理;

(1)系統(tǒng)內(nèi)存管理

內(nèi)存管理是操作系統(tǒng)內(nèi)核的主要功能之一。內(nèi)核不僅能管理可用的物理內(nèi)存，還可以創(chuàng)建并管理虛擬內(nèi)存。

內(nèi)存管理必須使用硬盤空間，該空間被稱為交換空間。內(nèi)核不斷的在該交換空間和實際物理內(nèi)存之間交換虛擬內(nèi)存位置的內(nèi)容。這樣系統(tǒng)的可用內(nèi)存比實際內(nèi)存多。

將內(nèi)存位置分組為多個數(shù)據(jù)塊，此操作被稱為分頁。內(nèi)核定位物理內(nèi)存或交換空間中的每個內(nèi)存分頁，然后維護(hù)一個內(nèi)存分頁頁表，此表說明位于物理內(nèi)存的分頁和交換到磁盤的分頁。內(nèi)存跟蹤使用的分頁，并且自動將一段時間沒有用到的內(nèi)存分頁復(fù)制到交換空間區(qū)域，稱為換出過程。即使內(nèi)存夠也執(zhí)行這個過程。當(dāng)程序需要訪問已經(jīng)換出的分頁時，內(nèi)存必須換出另一個分頁，以在物理內(nèi)存中為該內(nèi)存分頁騰出空間，然后從交換空間換入需要的分頁。

在Linux系統(tǒng)上運(yùn)行的每個進(jìn)程都有自己的內(nèi)存分頁，一個進(jìn)程不能訪問另一個進(jìn)程正在使用的分頁。內(nèi)核也有自己的內(nèi)存區(qū)域，出于安全考慮，任何進(jìn)程都不能訪問內(nèi)核進(jìn)程正在使用的內(nèi)存。

(2)軟件程序管理

正在運(yùn)行的程序被稱為進(jìn)程。進(jìn)程可以在前臺運(yùn)行，也可以在后臺運(yùn)行。

內(nèi)核創(chuàng)建的第一個進(jìn)程被稱為初始進(jìn)程，該進(jìn)程在系統(tǒng)上啟動所有其它進(jìn)程。內(nèi)核啟動的時候，初始進(jìn)程被加載到虛擬內(nèi)存中，內(nèi)存每啟動一個其它進(jìn)程，都將在虛擬內(nèi)存中為其分配一個唯一的空間，用于儲存該進(jìn)程的數(shù)據(jù)和代碼。

(3)硬件管理

Linux系統(tǒng)需要與之通信的設(shè)備都必須在內(nèi)核代碼中插入驅(qū)動程序代碼。驅(qū)動程序代碼使內(nèi)核能夠向設(shè)備傳輸數(shù)據(jù)。在Linux中插入設(shè)備驅(qū)動的程序有兩種方法：

1.在內(nèi)核中編譯驅(qū)動程序。

2.向內(nèi)核添加驅(qū)動程序模塊。

Linux將硬件設(shè)備標(biāo)識為特殊文件，稱為設(shè)備文件。設(shè)備文件分為3種：

1.字符

2.塊

3.網(wǎng)絡(luò)

字符設(shè)備文件用于那些一次僅處理一個字符的設(shè)備。塊文件用于那些一次可處理大量數(shù)據(jù)塊的設(shè)備。網(wǎng)絡(luò)文件用于那些使用數(shù)據(jù)包發(fā)送和接收數(shù)據(jù)的設(shè)備。

(4)文件系統(tǒng)管理

Linux系統(tǒng)可以使用不同類型的文件系統(tǒng)與硬盤傳輸數(shù)據(jù)。除了本身的文件系統(tǒng)外，還可以通過其他的操作系統(tǒng)使用的文件系統(tǒng)傳輸數(shù)據(jù)。Linux內(nèi)核使用虛擬文件系統(tǒng)與每個文件系統(tǒng)進(jìn)行連接。為內(nèi)核與其他文件系統(tǒng)類型的通信提供了一個標(biāo)準(zhǔn)接口，掛載和使用每個文件系統(tǒng)時。虛擬文件系統(tǒng)中緩存相關(guān)的信息。

以上的內(nèi)容你了解了嗎?