淺談linux內核參數(shù)設置和功能

linux內核的參數(shù)設置怎么弄呢，Linux 操作系統(tǒng)修改內核參數(shù)有以下三種方式：

修改 /etc/sysctl.conf 文件;

在文件中加入配置項，格式為 key = value，保存修改后的文件，執(zhí)行命令 sysctl -p 加載新配置。

使用 sysctl 命令臨時修改;

如：sysctl -w net.ipv4.tcp_mem = “379008 505344 758016”直接修改 /proc/sys/ 目錄中的文件。

如：echo “379008 505344 758016” 》 /proc/sys/net/ipv4/tcp_mem注意：第一種方式在重啟操作系統(tǒng)后自動永久生效;第二種和第三種方式在重啟后失效。

內核參數(shù)

kernel.core_uses_pid = 1

core_uses_pid 可以控制 core 文件的文件名中是否添加 pid 作為擴展名。設置為1，表示添加 pid 作為擴展名，生成的 core 文件格式為 core.xxx;設置為0(默認)，表示生成的 core 文件統(tǒng)一命名為 core。

kernel.core_pattern = core

core_pattern 可以控制 core 文件的保存位置和文件格式。

如：kernel.core_pattern = “/corefile/core-%e-%p-%t”，表示將 core 文件統(tǒng)一生成到 /corefile 目錄下，產(chǎn)生的文件名為 core-命令名-pid-時間戳。

以下是參數(shù)列表：

%p - insert pid into filename 添加 pid

%u - insert current uid into filename 添加當前 uid

%g - insert current gid into filename 添加當前 gid

%s - insert signal that caused the coredump into the filename 添加導致產(chǎn)生 core 的信號

%t - insert UNIX time that the coredump occurred into filename 添加 core 文件生成時的 unix 時間

%h - insert hostname where the coredump happened into filename 添加主機名

%e - insert coredumping executable name into filename 添加命令名

kernel.msgmax = 8192

進程間的消息傳遞是在內核的內存中進行的。msgmax 指定了消息隊列中消息的最大值。(65536B=64KB)

kernel.msgmnb = 16384

msgmnb 規(guī)定了一個消息隊列的最大值，即一個消息隊列的容量。msgmnb 控制可以使用的共享內存的總頁數(shù)。Linux共享內存頁大小為4KB，共享內存段的大小都是共享內存頁大小的整數(shù)倍。一個共享內存段的最大大小是 16G，那么需要共享內存頁數(shù)是16GB / 4KB = 16777216KB / 4KB = 4194304(頁)，也就是64Bit系統(tǒng)下16GB物理內存，設置kernel.shmall = 4194304才符合要求。

kernel.shmall = 1048576

表示在任何給定時刻，系統(tǒng)上可以使用的共享內存的總量(bytes)。

kernel.shmmax = 4294967295

表示內核所允許的最大共享內存段的大小(bytes)。用于定義單個共享內存段的最大值，64位 linux 系統(tǒng)，可取的最大值為物理內存值 - 1byte，建議值為多于物理內存的一半，一般取值大于SGA_MAX_SIZE即可，可以取物理內存-1byte。例如，如果為64GB物理內存，可取64 * 1024 * 1024 * 1024 - 1 = 68719476735。

實際可用最大共享內存段大小=shmmax * 98%，其中大約2%用于共享內存結構?？梢酝ㄟ^設置 shmmax，然后執(zhí)行ipcs -l來驗證。

kernel.sysrq = 0

控制系統(tǒng)調試內核的功能，不同的值對應不同的功能：

0 完全禁用 sysrq 組合鍵

1 啟用 sysrq 組合鍵的全部功能

2 啟用控制臺日志級別控制

4 啟用鍵盤控制(SAK、unraw)

8 啟用進程的調試信息輸出等

16 啟用同步命令

32 啟用重新掛載為只讀

64 啟用進程信號(終止、殺死、溢出殺死)

128 允許重啟/關機

256 控制實時任務的優(yōu)先級控制(nicing)

net.core.netdev_max_backlog = 262144

表示當每個網(wǎng)絡接口接收數(shù)據(jù)包的速率比內核處理這些包的速率快時，允許發(fā)送到隊列的數(shù)據(jù)包的最大數(shù)目。

net.core.rmem_default = 8388608

為 TCP socket 預留用于接收緩沖的內存默認值。

net.core.rmem_max = 16777216

為 TCP socket 預留用于接收緩沖的內存最大值。

net.core.somaxconn = 128

listen(函數(shù))的默認參數(shù)，掛起請求的最大數(shù)量限制。web 應用中 listen 函數(shù)的 backlog 默認會給我們內核參數(shù)的 net.core.somaxconn 限制到128。nginx 服務器中定義的 NGX_LISTEN_BACKLOG 默認為511。

net.core.wmem_default = 8388608

為 TCP socket 預留用于發(fā)送緩沖的內存默認值。

net.core.wmem_max= 16777216

為 TCP socket 預留用于發(fā)送緩沖的內存最大值。

net.ipv4.conf.all.accept_source_route = 0、net.ipv4.conf.default.accept_source_route = 0

處理無源路由的包。

net.ipv4.conf.all.rp_filter = 1、net.ipv4.conf.default.rp_filter = 1

開啟反向路徑過濾。

net.ipv4.ip_forward = 0、net.ipv4.conf.all.send_redirects = 0、v4.conf.default.send_redirects = 0

不充當路由器。

net.ipv4.icmp_echo_ignore_broadcasts = 1

避免放大攻擊。

net.ipv4.icmp_ignore_bogus_error_responses = 1

開啟惡意 ICMP 錯誤消息保護。

net.ipv4.ip_local_port_range = 1024 65535

增加系統(tǒng) IP 端口限制。表示用于向外連接的端口范圍。參考

net.ipv4.tcp_fin_TImeout = 30

如果套接字由本端要求關閉，這個參數(shù)決定了它保持在 FIN-WAIT-2 狀態(tài)的時間。對端可以出錯并永遠不關閉連接，甚至意外宕機。缺省值是 60s，2.2 內核通常是 180s，你可以按這個設置，但要記住的是，即使你的機器是一個輕載的 WEB 服務器，也有因為大量的死套接字而內存溢出的風險，F(xiàn)IN-WAIT-2 的危險性比 FIN-WAIT-1 要小，因為它最多只能吃掉 1.5k 內存，但是它們的生存期長些。

net.ipv4.tcp_keepalive_TIme = 1200

表示當 keepalive 起作用的時候，TCP 發(fā)送 keepalive 消息的頻度。(單位：秒，缺省值：2小時)

net.ipv4.tcp_max_orphans = 3276800

表示系統(tǒng)中最多有多少個 TCP 套接字不被關聯(lián)到任何一個用戶文件句柄上。這個限制僅僅是為了防止簡單的 DoS 攻擊，不能郭飛依賴依靠它或者認為地減小這個值，如果增加了內存之后，更應該增加這個值。

net.ipv4.tcp_max_syn_backlog = 262144

記錄的是那些尚未收到客戶端確認信息的連接請求的最大值。對于有 128M 內存的系統(tǒng)而言，缺省值是 1024，小內存的系統(tǒng)則是 128。

net.ipv4.tcp_max_tw_buckets = 6000

表示系統(tǒng)同時保持 TIME_WAIT 套接字的最大數(shù)量，默認是 180000。

net.ipv4.tcp_mem = 94500000 915000000 927000000

確定 TCP 棧應該如何反映內存使用;每個值的單位都是內存頁(通常是 4KB)：

第一個值是內存使用的下限。

第二個值是內存壓力模式開始對緩沖區(qū)使用應用壓力的上限。

第三個值是內存上限。在這個層次上可以將報文丟棄，從而減少對內存的使用。對于較大的 BDP 可以增大這些值(但是要記住，其單位是內存頁，而不是字節(jié))。

net.ipv4.tcp_sack = 1

啟用有選擇的應答(1表示啟用)，通過有選擇地應答亂序接收到的報文來提高性能，讓發(fā)送者只發(fā)送丟失的報文段，(對于廣域網(wǎng)通信來說)這個選項應該啟用，但是會增加對CPU的占用。

net.ipv4.tcp_synack_retries = 1

為了打開對端的連接，內核需要發(fā)送一個 SYN 并附帶一個回應前面一個 SYN 的 ACK。也就是所謂三次握手中的第二次握手。這個設置決定了內核放棄連接之前發(fā)送 SYN+ACK 包的數(shù)量。

net.ipv4.tcp_syncookies = 1

開啟 SYN 洪水攻擊保護。

net.ipv4.tcp_syn_retries = 1

在內核放棄建立連接之前發(fā)送 SYN 包的數(shù)量。

net.ipv4.tcp_TImestamps = 0

該參數(shù)用于設置時間戳，可以避免序列號的卷繞。一個1Gbps的鏈路肯定會遇到以前用過的序列號。時間戳能夠讓內核接受這種“異?！钡臄?shù)據(jù)包。設置為 0 表示將其關掉。

net.ipv4.tcp_tw_recycle = 0

是否開啟 TCP 連接中 TIME-WAIT sockets 的快速回收，0 表示關閉，1 表示開啟。當 tcp_tw_recycle 與 tcp_timestamp 同時開啟時會降低連接成功率。

net.ipv4.tcp_tw_reuse = 1

是否開啟重用，允許將 TIME-WAIT sockets 重新用于新的 TCP 連接，0 表示關閉，1 表示開啟。

net.ipv4.tcp_window_scaling = 1

啟用 RFC 1323 定義的 window scaling，要支持超過 64KB 的 TCP 窗口，必須啟用該值(1表示啟用)，TCP窗口最大至 1GB，TCP 連接雙方都啟用時才生效。

net.ipv6.conf.all.disable_ipv6 = 1、net.ipv6.conf.default.disable_ipv6 = 1

禁用 IPv6

linux內核的功能有哪些

內核主要有以下4能：系統(tǒng)內存管理;軟件程序管理;硬件管理;文件系統(tǒng)管理;

(1)系統(tǒng)內存管理

內存管理是操作系統(tǒng)內核的主要功能之一。內核不僅能管理可用的物理內存，還可以創(chuàng)建并管理虛擬內存。

內存管理必須使用硬盤空間，該空間被稱為交換空間。內核不斷的在該交換空間和實際物理內存之間交換虛擬內存位置的內容。這樣系統(tǒng)的可用內存比實際內存多。

將內存位置分組為多個數(shù)據(jù)塊，此操作被稱為分頁。內核定位物理內存或交換空間中的每個內存分頁，然后維護一個內存分頁頁表，此表說明位于物理內存的分頁和交換到磁盤的分頁。內存跟蹤使用的分頁，并且自動將一段時間沒有用到的內存分頁復制到交換空間區(qū)域，稱為換出過程。即使內存夠也執(zhí)行這個過程。當程序需要訪問已經(jīng)換出的分頁時，內存必須換出另一個分頁，以在物理內存中為該內存分頁騰出空間，然后從交換空間換入需要的分頁。

在Linux系統(tǒng)上運行的每個進程都有自己的內存分頁，一個進程不能訪問另一個進程正在使用的分頁。內核也有自己的內存區(qū)域，出于安全考慮，任何進程都不能訪問內核進程正在使用的內存。

(2)軟件程序管理

正在運行的程序被稱為進程。進程可以在前臺運行，也可以在后臺運行。

內核創(chuàng)建的第一個進程被稱為初始進程，該進程在系統(tǒng)上啟動所有其它進程。內核啟動的時候，初始進程被加載到虛擬內存中，內存每啟動一個其它進程，都將在虛擬內存中為其分配一個唯一的空間，用于儲存該進程的數(shù)據(jù)和代碼。

(3)硬件管理

Linux系統(tǒng)需要與之通信的設備都必須在內核代碼中插入驅動程序代碼。驅動程序代碼使內核能夠向設備傳輸數(shù)據(jù)。在Linux中插入設備驅動的程序有兩種方法：

1.在內核中編譯驅動程序。

2.向內核添加驅動程序模塊。

Linux將硬件設備標識為特殊文件，稱為設備文件。設備文件分為3種：

1.字符

2.塊

3.網(wǎng)絡

字符設備文件用于那些一次僅處理一個字符的設備。塊文件用于那些一次可處理大量數(shù)據(jù)塊的設備。網(wǎng)絡文件用于那些使用數(shù)據(jù)包發(fā)送和接收數(shù)據(jù)的設備。

(4)文件系統(tǒng)管理

Linux系統(tǒng)可以使用不同類型的文件系統(tǒng)與硬盤傳輸數(shù)據(jù)。除了本身的文件系統(tǒng)外，還可以通過其他的操作系統(tǒng)使用的文件系統(tǒng)傳輸數(shù)據(jù)。Linux內核使用虛擬文件系統(tǒng)與每個文件系統(tǒng)進行連接。為內核與其他文件系統(tǒng)類型的通信提供了一個標準接口，掛載和使用每個文件系統(tǒng)時。虛擬文件系統(tǒng)中緩存相關的信息。

以上的內容你了解了嗎?