limits.conf 和 sysctl.conf 是 Linux 系統中用於配置用戶資源限制和系統內核參數的兩個重要配置文件。針對這兩個文件進行優化,可以幫助提升系統的安全性和性能。 limits.conf 的優化 limits.conf 是 PAM(Pluggable Authenticatio ...
limits.conf 和 sysctl.conf 是 Linux 系統中用於配置用戶資源限制和系統內核參數的兩個重要配置文件。針對這兩個文件進行優化,可以幫助提升系統的安全性和性能。
limits.conf 的優化
limits.conf 是 PAM(Pluggable Authentication Modules,可插拔認證模塊)的配置文件,用於限制用戶的系統資源使用。以下是一些常見的優化建議:
- 設置合理的用戶資源限制:根據實際需求,為用戶設置合理的核心文件大小(core)、數據大小(data)、文件大小(fsize)、鎖定記憶體大小(memlock)等限制。這有助於防止用戶進程占用過多系統資源,導致系統性能下降或不穩定。
- 限制打開的文件描述符數量:通過設置
nofile參數,可以限制用戶進程打開的文件描述符數量。這有助於防止因打開過多文件而導致的資源耗盡問題。 - 針對特定用戶或組進行限制:可以根據需要,為特定用戶或用戶組設置不同的資源限制。這有助於實現更精細的資源管理。
vi /etc/security/limits.conf
添加如下行:
* soft noproc 65535
* hard noproc 65535
* soft nofile 65535
* hard nofile 65535
sysctl.conf 的優化
sysctl.conf 用於在 Linux 系統運行時動態修改內核參數。通過優化這些參數,可以提升系統的網路性能、記憶體管理、磁碟 I/O 性能等方面。以下是一些建議:
- 網路參數優化:調整 TCP/IP 堆棧參數,如 TCP 視窗大小、最大連接數等,以提高網路傳輸效率和吞吐量。
- 記憶體管理優化:通過調整頁緩存、臟頁寫回策略等參數,優化記憶體使用,減少記憶體浪費和交換空間的使用。
- 磁碟 I/O 優化:根據硬體特性和工作負載,選擇合適的磁碟調度策略和 I/O 調度器,以提高磁碟讀寫性能。
- 安全性優化:禁用不必要的內核功能、限制 ICMP 消息響應等,增強系統的安全性。
vim /etc/sysctl.conf
net.ipv4.tcp_syncookies= 1 #表示開啟SYNCookies。當出現SYN等待隊列溢出時,啟用cookies來處理,可防範少量SYN攻擊,預設為0,表示關閉;
net.ipv4.tcp_tw_reuse= 1 #表示開啟重用。允許將TIME-WAITsockets重新用於新的TCP連接,預設為0,表示關閉;
net.ipv4.tcp_tw_recycle= 1 #表示開啟TCP連接中TIME-WAITsockets的快速回收,預設為0,表示關閉;
net.ipv4.tcp_fin_timeout= 30 #修改系統預設的TIMEOUT 時間。
net.ipv4.tcp_keepalive_time= 1200 #表示當keepalive起用的時候,TCP發送keepalive消息的頻度。預設是2小時,改為20分鐘。
net.ipv4.ip_local_port_range= 1024 65535 #表示用於向外連接的埠範圍。預設情況下很小,改為1024到65535。
net.ipv4.tcp_max_syn_backlog= 8192 #表示SYN隊列的長度,預設為1024,加大隊列長度為8192,可以容納更多等待連接的網路連接數。
net.ipv4.tcp_max_tw_buckets= 5000 #表示系統同時保持TIME_WAIT的最大數量,如果超過這個數字,TIME_WAIT將立刻被清除並列印警告信息。預設為180000,改為5000。此項參數可以控制TIME_WAIT的最大數量,只要超出了。
#輸入下麵的命令,讓內核參數生效:
sysctl-p
在進行這些優化時,應該根據系統的實際需求和硬體配置進行調整。過度優化可能導致系統不穩定或性能下降。因此,建議在修改配置文件之前備份原始文件,併在修改後進行充分的測試,以確保系統的穩定性和性能。
此外,不同的 Linux 發行版可能具有不同的預設配置和工具集,因此具體的優化步驟和參數可能有所差異。在進行優化時,建議參考相關發行版的官方文檔和社區資源,以獲取更詳細的指導和建議。
本文來自博客園,作者:dashery,轉載請註明原文鏈接:https://www.cnblogs.com/ydswin/p/18161137
