1. # Kernel sysctl configuration file for Red Hat Linux
    2. #
    3. # For binary values, 0 is disabled, 1 is enabled.  See sysctl(8) and
    4. # sysctl.conf(5) for more details.
    6. #file location: /etc/sysctl.conf
    7. #after file updated, use sysctl -p to update kernel settings
    9. # 内核调试工具 - 禁用
    10. kernel.sysrq = 0
    11. # core文件名 后缀是否带PID
    12. kernel.core_uses_pid = 1
    13. # core文件名 格式
    14. kernel.core_pattern = core-%e-%s-%u-%g-%p-%t
    16. # Disable netfilter on bridges.
    17. net.bridge.bridge-nf-call-ip6tables = 0
    18. net.bridge.bridge-nf-call-iptables = 0
    19. net.bridge.bridge-nf-call-arptables = 0
    21. #每个消息队列的大小(单位:字节)限制
    22. kernel.msgmnb = 65536
    23. #整个系统最大消息队列数量限制
    24. kernel.msgmax = 65536
    26. #单个共享内存段的大小(单位:字节)限制,计算公式64G*1024*1024*1024(字节)
    27. kernel.shmmax = 68719476736
    28. #所有内存大小(单位:页,1页 = 4Kb),计算公式16G*1024*1024*1024/4KB(页)
    29. kernel.shmall = 4294967296
    31. # 数据包多个网卡间转发(路由器功能)
    32. # 禁用
    33. net.ipv4.ip_forward = 0
    35. # 是否允许用户发送源路由数据  (用户可以重定向网络流量以达到恶意目的)
    36. # 禁用
    37. net.ipv4.conf.default.accept_source_route = 0
    39. # 当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击
    40. # 启用
    41. net.ipv4.tcp_syncookies = 1
    43. # TIME_WAIT套接字的最大数量,默认是180000,减少TIME_WAIT套接字的最大数量,避免Squid服务器(基于Unix的代理服务器)被大量的TIME_WAIT套接字拖死
    44. # 6000
    45. net.ipv4.tcp_max_tw_buckets = 6000
    47. # 有选择的应答,ACK的升级版,通过有选择地应答乱序接收到的报文,这样可以让发送者只发送丢失的报文段,来提高性能
    48. # 启用
    49. net.ipv4.tcp_sack = 1
    51. # 默认值为1,打开FACK拥塞避免和快速重传功能(当tcp_sack设置为0的时候,这个值即使设置为1也无效)
    52. # 启用
    53. # net.ipv4.tcp_fack = 1 
    55. # 支持更大的TCP窗口. 如果TCP窗口最大超过65535(64K), 必须设置该数值为1
    56. # 启用
    57. net.ipv4.tcp_window_scaling = 1
    59. # 为TCP socket预留用于发送缓冲的内存默认值(单位:字节)
    60. net.core.wmem_default = 8388608
    61. # 为TCP socket预留用于发送缓冲的内存最大值(单位:字节)
    62. net.core.wmem_max = 16777216
    63. # 为TCP socket预留用于接收缓冲的内存默认值(单位:字节)
    64. net.core.rmem_default = 8388608
    65. # 为TCP socket预留用于接收缓冲的内存最大值(单位:字节)
    66. net.core.rmem_max = 16777216
    67. # TCP读buffer 第一个值是为socket接收缓冲区分配的最少字节数,第二个值是默认值(会被rmem_default覆盖),第三个值是接收缓冲区空间的最大字节数(会被rmem_max覆盖)
    68. # 默认 4096  16384  4011232
    69. net.ipv4.tcp_rmem = 4096 131072 1048576
    70. #TCP写buffer 第一个值是为socket发送缓冲区分配的最少字节数,第二个值是默认值(会被wmem_default覆盖),第三个值是发送缓冲区空间的最大字节数(会被wmem_max覆盖)
    71. # 默认 4096  16384  4011232
    72. net.ipv4.tcp_wmem = 4096 131072 1048576
    74. # 系统中最多有多少个TCP套接字不被关联到任何一个用户文件句柄上。这个限制仅仅是为了防止简单的DoS攻击,不能过分依靠它或者人为地减小这个值,更应该增加这个值(如果增加了内存之后)
    75. net.ipv4.tcp_max_orphans = 3276800
    77. # 记录的那些尚未收到客户端确认信息的连接请求的最大值。对于有128M内存的系统而言,缺省值是1024,小内存的系统则是128
    78. net.ipv4.tcp_max_syn_backlog = 262144
    80. # 时间戳可以避免序列号的卷绕。一个1Gbps的链路肯定会遇到以前用过的序列号。时间戳能够让内核接受这种“异常”的数据包。这里需要将其关掉
    81. # 禁用
    82. net.ipv4.tcp_timestamps = 0
    84. # 为了打开对端的连接,内核需要发送一个SYN并附带一个回应前面一个SYN的ACK。也就是所谓三次握手中的第二次握手。这个设置决定了内核放弃连接之前发送SYN+ACK包的数量
    85. # 启用
    86. net.ipv4.tcp_synack_retries = 1
    88. # 在内核放弃建立连接之前发送SYN包的数量
    89. net.ipv4.tcp_syn_retries = 1
    91. # 开启TCP连接中time_wait sockets的快速回收
    92. # 启用
    93. net.ipv4.tcp_tw_recycle = 1
    95. # 开启TCP连接复用功能,允许将time_wait sockets重新用于新的TCP连接(主要针对time_wait连接)
    96. # 启用
    97. net.ipv4.tcp_tw_reuse = 1
    99. # 第一个值当page数低于该值时,TCP不认为内存压力,第二个值是进入内存的压力区域时所达到的页数,第三个值是所有TCP sockets所允许使用的最大page数,超过该值后,会丢弃后续报文
    100. # page是以页面为单位的(4KB),为系统中socket全局分配的内存容量 下面配置的为TCP连接最多使用4GB内存,启用的为16GB内存
    101. # 默认值 185265    247022    370530
    102. net.ipv4.tcp_mem = 2097152 2796200 4194304
    104. # 每个socket buffer的最大补助缓存大小,默认10K(10240),也可调整到20k(20480),但建议保留
    105. net.core.optmem_max = 10240
    107. # 如果套接字由本端要求关闭,这个参数决定了它保持在FIN-WAIT-2状态的时间.对端可以出错并永远不关闭连接,甚至意外当机
    108. # 默认值: 60 180(2.2内核)
    109. net.ipv4.tcp_fin_timeout = 30
    111. # 表示当keepalive起用的时候,TCP发送keepalive消息的时间间隔(秒)
    112. # 默认值 7200
    113. net.ipv4.tcp_keepalive_time = 30
    115. # 系统所有进程一共可以打开的文件数量 limits限制用户打开文件数
    116. fs.file-max = 1024000
    118. # 如果主机所在的网段中有两个路由器,你将其中一个设置成了缺省网关,但该网关在收到你的ip包时发现该ip包必须经过另外一个路由器,这是这个路由器就会给你发出一个所谓“重定向”的icmp包,告诉将ip包转发到另外一个路由器,参数值为布尔值。
    119. # 1表示接受这类重定向icmp信息。0表示忽略。在充当路由器的linux主机上缺省值为0.在一般的linux主机缺省值为1.建议将其改为0以消除安全隐患
    120. # net.ipv4.conf.default.accept_redirects = 0 
    122. # 默认设置为1 忽略子网广播消息。可以拒绝服务攻击
    123. net.ipv4.icmp_echo_ignore_broadcasts = 1 
    125. # 设置他之后,能忽略由网络中的那些声称回应地址是广播地址的主机生产的ICMP错误
    126. # 默认 0
    127. net.ipv4.icmp_ignore_bogus_error_responses = 1 
    129. # TCP流中重排序的数据报最大数量(一般推荐要比3大一些,比如说5)
    130. # 默认值 3
    131. net.ipv4.tcp_reordering = 5 
    133. # no icmp reply
    134. net.ipv4.icmp_echo_ignore_all = 0
    136. # 决定检查一次相邻记录的有效性的周期(单位秒) 当相邻层记录失效时,将在给它发送数据前,再解析一次
    137. # 默认值 60
    138. net.ipv4.neigh.default.gc_stale_time = 120
    140. #关闭源路由核查功能,因需要使用负载均衡
    141. net.ipv4.conf.all.rp_filter = 0
    142. net.ipv4.conf.default.rp_filter = 0
    143. net.ipv4.conf.default.arp_announce = 2
    144. net.ipv4.conf.lo.arp_announce = 2
    145. net.ipv4.conf.all.arp_announce = 2
    147. # 内核对内存分配的一种策略
    148. # 0 表示内核将检查是否有足够的可用内存供应用进程使用;如果有足够的可用内存,内存申请允许;否则,内存申请失败,并把错误返回给应用进程。
    149. # 1 表示内核允许分配所有的物理内存,而不管当前的内存状态如何。
    150. # 2 表示内核允许分配超过所有物理内存和交换空间总和的内存
    151. # 默认值 0
    152. vm.overcommit_memory = 1
    154. # 关闭ipv6
    155. net.ipv6.conf.all.disable_ipv6 = 1
    156. net.ipv6.conf.default.disable_ipv6 = 1
    158. # 每个网络接口接收数据包的速率比内核处理这些包的速率快时,允许送到队列的数据包的最大数目
    159. # 默认值 1000
    160. net.core.netdev_max_backlog = 262144
    162. # 定义了系统中每一个端口最大的监听队列的长度,这是个全局的参数 listen系统调用可以指定的最大accept队列backlog,当排队的请求连接大于该值时,后续进来的请求连接会被丢弃
    163. # web应用中listen函数的backlog默认会给我们内核参数的net.core.somaxconn限制到128,而nginx定义的NGX_LISTEN_BACKLOG默认为511,所以有必要调整这个值,有些机器调整太大没有生效,调整为32768就没有问题了
    164. # 默认值 128
    165. net.core.somaxconn = 32768