CentOS7的内核优化

  • 修改内核配置文件

vim /etc/sysctl.conf

  • 刷新配置文件

sysctl -p

  • 关ipv6

net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1

  • 避免放大攻击

net.ipv4.icmp_echo_ignore_broadcasts = 1

  • 开启恶意的icmp错误消息保护

net.ipv4.icmp_ignore_bogus_error_responses = 1

  • 关闭路由转发

net.ipv4.ip_forward = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0

  • 开启反向路径过滤

net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

  • 处理无源路由的包

net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0

  • 关sysrq功能

kernel.sysrq = 0

core文件名添加pid作为扩展名

kernel.core_uses_pid = 1

开SYN洪水攻击保护

net.ipv4.tcp_syncookies = 1

修改消息队列长度

kernel.msgmnb = 65536
kernel.msgmax = 65536

设置最大内存共享段大小bytes

kernel.shmmax = 68719476736
kernel.shmall = 4294967296

timewait的数量默认为180000

net.ipv4.tcp_max_tw_buckets = 6000
net.ipv4.tcp_sack = 1
net.ipv4.tcp_window_scaling = 1
net.ipv4.tcp_rmem = 4096 87380 4194304
net.ipv4.tcp_wmem = 4096 16384 4194304
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216

每个网络接口接收数据包速率比内核处理这些包的速率快时允许送到队列数据包的最大数目

net.core.netdev_max_backlog = 262144

限制仅仅是为防止简单的DoS攻击

net.ipv4.tcp_max_orphans = 3276800

未收到客户端确认信息的连接请求最大值

net.ipv4.tcp_max_syn_backlog = 262144
net.ipv4.tcp_timestamps = 0

内核放弃建立连接之前发送SYNACK包数量

net.ipv4.tcp_synack_retries = 1

内核放弃建立连接之前发送SYN包数量

net.ipv4.tcp_syn_retries = 1

开timewait快速回收

net.ipv4.tcp_tw_recycle = 1

允许将TIME-WAIT sockets重新用于新TCP连接

net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_mem = 94500000 915000000 927000000
net.ipv4.tcp_fin_timeout = 1

当keepalive起用的时候TCP发送keepalive消息的频度缺省是2小时

net.ipv4.tcp_keepalive_time = 30

允许系统打开端口范围

net.ipv4.ip_local_port_range = 1024 65000

修改防火墙的表大小默认65536

net.netfilter.nf_conntrack_max = 655350
net.netfilter.nf_conntrack_tcp_timeout_established = 1200

确保无人能修改路由表

net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.secure_redirects = 0

centos7内核参数优化配置详解

关闭ipv6
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1

避免放大攻击

net.ipv4.icmp_echo_ignore_broadcasts = 1

开启恶意icmp错误消息保护

net.ipv4.icmp_ignore_bogus_error_responses = 1 #关闭路由转发 net.ipv4.ip_forward = 0 开起路由转发将0改为1即可 net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0 #开启反向路径过滤 net.ipv4.conf.all.rp_filter = 1 net.ipv4.conf.default.rp_filter = 1 #处理无源路由的包 net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0 #关闭sysrq功能 kernel.sysrq = 0 #core文件名中添加pid作为扩展名 kernel.core_uses_pid = 1

开启SYN洪水攻击保护

net.ipv4.tcp_syncookies = 1 表示开启SYN Cookies。当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击,默认为1,表示开启的; 表示SYN队列的长度,默认为1024,加大队列长度为8192,可以容纳更多等待连接的网络连接数 net.ipv4.tcp_max_syn_backlog = 262144 #修改消息队列长度 kernel.msgmnb = 65536 kernel.msgmax = 65536 #设置最大内存共享段大小bytes kernel.shmmax = 68719476736 kernel.shmall = 4294967296 #timewait的数量,默认180000 net.ipv4.tcp_max_tw_buckets = 6000 net.ipv4.tcp_sack = 1 net.ipv4.tcp_window_scaling = 1 net.ipv4.tcp_rmem = 4096  87380   4194304 TCP读buffer,可参考的优化值: 32768 436600 873200 net.ipv4.tcp_wmem = 4096  16384   4194304 tcp写buffer,可参考的优化值: 8192 436600 873200 net.core.wmem_default = 8388608 TCP写buffer的默认值 net.core.rmem_default = 8388608 TCP读buffer的默认值 net.core.rmem_max = 16777216 TCP写buffer的最大值 net.core.wmem_max = 16777216 TCP写buffer的最大值 #每个网络接口接收数据包的速率比内核处理这些包的速率快时,允许送到队列的数据包的最大数目 net.core.netdev_max_backlog = 262144
#限制仅仅是为了防止简单的DoS 攻击 net.ipv4.tcp_max_orphans = 3276800 #未收到客户端确认信息的连接请求的最大值 net.ipv4.tcp_max_syn_backlog = 262144 net.ipv4.tcp_timestamps = 0 #内核放弃建立连接之前发送SYNACK 包的数量 net.ipv4.tcp_synack_retries = 1 #内核放弃建立连接之前发送SYN 包的数量 net.ipv4.tcp_syn_retries = 1 #启用timewait 快速回收 net.ipv4.tcp_tw_recycle = 1 #开启重用。允许将TIME-WAIT sockets 重新用于新的TCP 连接 net.ipv4.tcp_tw_reuse = 1 net.ipv4.tcp_mem = 94500000 915000000 927000000 net.ipv4.tcp_fin_timeout = 1 #当keepalive 起用的时候,TCP 发送keepalive 消息的频度。缺省是2 小时 net.ipv4.tcp_keepalive_time = 30 #允许系统打开的端口范围 net.ipv4.ip_local_port_range = 1024    65000 #修改防火墙表大小,默认65536 #net.netfilter.nf_conntrack_max=655350 #net.netfilter.nf_conntrack_tcp_timeout_established=1200

确保无人能修改路由表

net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.default.accept_redirects = 0 net.ipv4.conf.all.secure_redirects = 0 net.ipv4.conf.default.secure_redirects = 0

原文地址:https://www.cnblogs.com/ling-yu-amen/p/10656463.html

时间: 2024-10-15 18:40:25

CentOS7的内核优化的相关文章

Linux服务器企业集群架构部署搭建(二)----linux系统基础脚本优化、内核优化

第四章 linux系统内核优化相关 参考文章: linux内核TCP相关参数解释 http://os.chinaunix.net/a2008/0918/985/000000985483.shtml linux内核参数优化 http://blog.chinaunix.net/uid-29081804-id-3830203.html linux内核调整和内核参数详解 http://blog.csdn.net/cnbird2008/article/details/4419354 linux运维老男孩培

Nginx优化指南+LINUX内核优化+linux连接数优化+nginx连接数优化

Most setup guides for Nginx tell you the basics - apt-get a package, modify a few lines here and there, and you've got a web server! And, in most cases, a vanilla nginx install will work just fine for serving your website. However, if you're REALLY t

[转]linux内核优化sysctl.conf参数优化

################### 所有rfc相关的选项都是默认启用的,因此网上的那些还自己写rfc支持的都可以扔掉了:) ############################### net.inet.ip.sourceroute=0 net.inet.ip.accept_sourceroute=0 ############################# 通过源路由,攻击者可以尝试到达内部IP地址 --包括RFC1918中的地址,所以 不接受源路由信息包可以防止你的内部网络被探测.

nginx服务器介绍,负载均衡,文件配置,内核优化

一.nginx服务器的介绍 nginx服务器是一个web服务器,有高性能,内存消耗比较低,具有反向代理功能,可以代理web和mail,还有负载均衡的功能,将用户的请求进行转发的real server服务器中 二.nginx安装 1.关闭防火墙和SELINUX service iptables stop chkconfig iptables off chkconfig iptables --list getenforce 2.在官网下载相关安装包 wget http://nginx.org/dow

redis内核优化

服务器发送通知消息过大,导致redis故障 内核优化 [[email protected]] echo 1024 >/proc/sys/net/core/somaxconn [[email protected]] echo never > /sys/kernel/mm/transparent_hugepage/enabled [[email protected]] sysctl vm.overcommit_memory=1

centos7安装与优化

各位小伙伴,安装过程图片有点问题,我处理一下,马上更新 CentOS-7安装与优化 我这里用7.2的版本,为了后面云计算的兼容性做准备 centos的演变 sysvinit技术      系统第一个启动进程:init,pid=1 串行启动:一次一个,一个一个启动 使用的版本:centos5 init优点:运行非常良好,概念简单清晰.主要依赖于shell脚本 init缺点:1.按照一定顺序执行,启动慢2.容易hang住,fstab与nfs挂载问题 upstart 技术(过度的技术)       串

NFS服务优化 挂载优化 关于NFS内核优化

1.1.安装NFS 安装 NFS 服务端 # yum install -y nfs-utils rpcbind nfs-utils:NFS工具包 rpcbind:NFS客户端和服务端通讯工具,才CentOS5.X系统中,该软件名为 portmap 1.2.nfs mount挂载性能优化 1.禁止更新目录及文件时间戳 # mount -t nfs -o noatime,nodiratime 192.168.230.133:/nfs /nfs 2.安全加优化的挂载方法 # mount -t nfs

Tomcat调优总结(Tomcat自身优化、Linux内核优化、JVM优化)

Tomcat自身的调优是针对conf/server.xml中的几个参数的调优设置.首先是对这几个参数的含义要有深刻而清楚的理解.以tomcat8.5为例,讲解参数. 同时也得认识到一点,tomcat调优也受制于linux内核.linux内核对tcp连接也有几个参数可以调优. 因此我们可以将tomcat调优分为linux内核优化.java虚拟机调优和tomcat自身的优化. 一.Tomcat自身优化 1. maxThreads :tomcat创建的最大线程数,也就是同时处理的请求最大并发数.默认值

mysql在linux中内核优化

linux内核优化,直接修改/etc/sysctl.conf执行 sysctl -p立即生效 # 每个端口监听队列最大长度 net.core.somaxconn = 65535 # 增加系统文件描述符限制 fs.file-max = 65535 # 当网络接受速率大于内核处理速率时,允许发送到队列中的包数目 net.core.netdev_max_backlog = 65535 # # 保持未连接的包最大数量 net.ipv4.tcp_max_syn_backlog = 65535 # 控制tc