sysctl.conf 参数相关注解

都是平时用到的留下作为参考。

 

 

#/etc/sysctl.conf 修改内容

# 可以分配的文件句柄的最大数目为 65000

fs.file-max = 65000 

 

# 特别针对丢失的数据包使用选择性 ACK ，这样有助于快速恢复。

net.ipv4.tcp_sack = 1

 

# 时间戳可以避免序列号的卷绕，在高带宽下可以让内核接受重复的序列号

net.ipv4.tcp_timestamps = 1

 

# 减少处于 FIN-WAIT-2 连接状态的时间 （时间为 30 秒） ，使系统可以处理更多的连接

net.ipv4.tcp_fin_timeout = 30

 

# 加速 TIME-WAIT sockets 回收

net.ipv4.tcp_tw_recycle = 1

 

# 接收套接字缓冲区大小的缺省值 16777216 （默认值 110592 ）

net.core.rmem_default = 16777216

 

# 每个网络接口接收数据包的速率比内核处理这些包的速率快时，允许送到队列的数据包的最大数目 （默认 1000 ，建议不小于 3000 ）

net.core.netdev_max_backlog =3000

 

# 系统同时发起连接的 tcp 连接（默认 128 建议 1024 以上）

net.core.somaxconn =1024

 

# 打开 SYN Cookie 功能，该功能可以防止部分 SYN 攻击

net.ipv4.tcp_syncookies = 1

 

# 系统所能处理不属于所有进程的 TCP sockets 最大数量（默认值 8196 ）

net.ipv4.tcp_max_orphans = 262144

 

# 对于那些依然还未获得客户端确认的连接请求 ? 需要保存在队列中最大数目（默认 1024 ），增加此参数能够比较有效的缓解小规模的 SYN Flood 攻击

net.ipv4.tcp_max_syn_backlog = 262144

 

# tcp 第二次握手中，决定内核在放弃连接之前所送出的 SYN+ACK 数目（默认值是 5 ）减小此参数可以防御 DDOS 攻击

net.ipv4.tcp_synack_retries = 2

 

# 对于一个新建 tcp 连接，内核要发送多少个 SYN 连接请求才决定放弃 （默认值是 5 ）减小此参数可以防御 DDOS 攻击

net.ipv4.tcp_syn_retries = 2

 

# 对于本端断开的 socket 连接， TCP 保持在 FIN-WAIT-2 状态的时间（默认值是 60 ）

net.ipv4.tcp_fin_timeout = 30

 

# 当 keepalive 打开的情况下， TCP 发送 keepalive 消息的频率。认值是 7200(2 小时 )

net.ipv4.tcp_keepalive_time = 600

 

# 该文件表示是否允许重新应用处于 TIME-WAIT 状态的 socket 用于新的 TCP 连接（默认值 0 关闭）

net.ipv4.tcp_tw_reuse = 1

 

# 打开快速 TIME-WAIT sockets 回收（默认值是 0 ）

net.ipv4.tcp_tw_recycle = 0

 

# 本地发起请求使用的端口号范围

net.ipv4.ip_local_port_range = 5000 65000

 

# SYN 队列的长度（默认值 1024 ）增大此参数可防御 DDOS 攻击

net.ipv4.tcp_max_syn_backlog = 2048

 

# 为自动调优定义每个 socket 使用的内存。第一个值是为 socket 的发送缓冲区分配的最少字节数。第二个值是默认值（该值会被 rem_default 覆盖），缓冲区在系统负载不重的情况下可以增长到这个值。第三个值是发送缓冲区空间的最大字节数（该值会被 rem_max 覆盖）。默认（ 4096  87380  174760 ）

net.ipv4.tcp_rmem=4096 87380 16777216

 

# 为自动调优定义每个 socket 使用的内存。第一个值是为 socket 的发送缓冲区分配的最少字节数。第二个值是默认值（该值会被 wmem_default 覆盖），缓冲区在系统负载不重的情况下可以增长到这个值。第三个值是发送缓冲区空间的最大字节数（该值会被 wem_max 覆盖）。默认（ 4096  16384  131072 ）

net.ipv4.tcp_wmem=4096 65536 16777216

 

# 取消 ICMP 接受 Redirect

net.ipv4.conf.lo.accept_redirects=0

net.ipv4.conf.all.accept_redirects=0

net.ipv4.conf.eth0.accept_redirects=0

net.ipv4.conf.default.accept_redirects=0

net.ipv4.conf.lo.accept_source_route=0

net.ipv4.conf.all.accept_source_route=0

net.ipv4.conf.eth0.accept_source_route=0

net.ipv4.conf.default.accept_source_route=0

net.ipv4.conf.lo.accept_redirects=0

net.ipv4.conf.all.accept_redirects=0

net.ipv4.conf.eth0.accept_redirects=0

net.ipv4.conf.default.accept_redirects=0

net.ipv4.conf.lo.secure_redirects=0

net.ipv4.conf.all.secure_redirects=0

net.ipv4.conf.eth0.secure_redirects=0

net.ipv4.conf.default.secure_redirects=0

net.ipv4.conf.lo.send_redirects=0

net.ipv4.conf.all.send_redirects=0

net.ipv4.conf.eth0.send_redirects=0

net.ipv4.conf.default.send_redirects=0