无忧启动论坛

标题: 20251228-Linux系统参数优化-家庭用 [打印本页]

---

作者: fulibo    时间: 前天 18:36
标题: 20251228-Linux系统参数优化-家庭用
东拼西凑的不知道哪里需要整改!
放上来让老大们看看!

1. #参数需通过sysctl -w临时修改或写入/etc/sysctl.conf永久生效，修改后需执行sysctl -p加载
   
2. # 网络优化
   
3. #网络性能优化, 开启MTU
   
4. net.ipv4.tcp_mtu_probing = 1
   
5. 
   
6. #开启SYN Cookies，当出现SYN等待队列溢出时，启用cookies来处理
   
7. net.ipv4.tcp_syncookies = 1  
   
8. 
   
9. #开启TCP连接复用功能，允许将time_wait sockets重新用于新的TCP连接（主要针对time_wait连接）
   
10. net.ipv4.tcp_tw_reuse = 1  
    
11. 
    
12. #缩短主动关闭连接时的 FIN-WAIT-2 状态持续时间，加速资源回收
    
13. net.ipv4.tcp_fin_timeout = 15  
    
14. 
    
15. #记录的那些尚未收到客户端确认信息的连接请求的最大值。对于有128M内存的系统而言，缺省值是1024，小内存的系统则是128
    
16. net.ipv4.tcp_max_syn_backlog = 2048
    
17. 
    
18. #web应用中listen函数的backlog默认会给我们内核参数的net.core.somaxconn限制到128，而nginx定义的NGX_LISTEN_BACKLOG默认为511，所以有必要调整这个值
    
19. net.core.somaxconn = 65535
    
20. net.netfilter.nf_conntrack_max=1048576
    
21. 
    
22. #调整连接跟踪哈希桶大小（需为2的幂）
    
23. net.netfilter.nf_conntrack_buckets=65536
    
24. 
    
25. #每个套接字所允许的最大辅助缓冲区（ancillary buffer）的大小，单位为字节
    
26. net.core.optmem_max = 81920
    
27. 
    
28. #每个网络接口接收数据包的速率比内核处理这些包的速率快时，允许送到队列的数据包的最大数目
    
29. net.core.netdev_max_backlog = 2000
    
30. 
    
31. #对外连接端口范围
    
32. net.ipv4.ip_local_port_range = 1024 65535
    
33. 
    
34. # 安全性增强
    
35. #启用反向路径过滤，防止 IP 欺骗攻击。
    
36. net.ipv4.conf.all.rp_filter = 1
    
37. 
    
38. #启用源路由核查功能
    
39. net.ipv4.conf.default.rp_filter = 1  
    
40. 
    
41. # 处理无源路由的包
    
42. net.ipv4.conf.all.accept_source_route = 0
    
43. 
    
44. #禁用所有IP源路由;禁止接受源路由包，避免中间人攻击。
    
45. net.ipv4.conf.default.accept_source_route = 0  
    
46. 
    
47. # 避免放大攻击, 忽略广播地址的 ICMP 请求，防止广播风暴
    
48. net.ipv4.icmp_echo_ignore_broadcasts = 1
    
49. 
    
50. # 内存管理
    
51. #降低系统使用交换分区的倾向（默认值 60），优先使用物理内存，减少磁盘 I/O 延迟
    
52. vm.swappiness= 10
    
53. 
    
54. #当脏页（未写入磁盘的数据）占内存比例达到 10% 时，触发主动回写
    
55. vm.dirty_ratio = 10
    
56. 
    
57. #后台进程开始回写脏页的阈值(内存比例的 5%)
    
58. vm.dirty_background_ratio = 5
    
59. 
    
60. #允许内存超分配（默认 0 为启发式策略），避免因内存不足导致 OOM Killer 终止进程
    
61. vm.overcommit_memory = 1
    
62. 
    
63. #当 overcommit_memory=2 时，设置内存超分配的百分比上限
    
64. vm.overcommit_ratio = 80
    
65. 
    
66. #减少内存碎片
    
67. vm.nr_hugepages= 256
    
68. 
    
69. #调整文件系统缓存回收, 降低回收频率
    
70. vm.vfs_cache_pressure= 50
    
71. 
    
72. # IPv6设置
    
73. #禁用IPv6路由器广告
    
74. net.ipv6.conf.default.router_solicitations = 0
    
75. net.ipv6.conf.default.accept_ra_rtr_pref = 0
    
76. net.ipv6.conf.default.accept_ra_pinfo = 0
    
77. net.ipv6.conf.default.accept_ra_defrtr = 0
    
78. net.ipv6.conf.default.autoconf = 0
    
79. net.ipv6.conf.default.dad_transmits = 0
    
80. net.ipv6.conf.default.max_addresses = 1
    
81. 
    
82. #系统中最多有多少个TCP套接字不被关联到任何一个用户文件句柄上
    
83. net.ipv4.tcp_max_orphans = 2048
    
84. 
    
85. #timewait的数量，默认是180000
    
86. net.ipv4.tcp_max_tw_buckets = 2000000  
    
87. 
    
88. #为TCP socket预留用于发送缓冲的内存默认值（单位：字节）
    
89. net.core.wmem_default = 262144
    
90. 
    
91. #为TCP socket预留用于接收缓冲的内存默认值（单位：字节）  
    
92. net.core.rmem_default = 262144
    
93. 
    
94. # 增加TCP最大缓冲区大小
    
95. #定义 TCP 接收缓冲区的最小、默认和最大值，适应不同网络环境。
    
96. net.ipv4.tcp_rmem = 4096 87380 16777216
    
97. 
    
98. #定义 TCP 发送缓冲区的最小、默认和最大值。
    
99. net.ipv4.tcp_wmem = 4096 16384 16777216
    
100. 
     
101. #禁用包过滤功能 (1=服务器场景, 路由器或容器网络场景)
     
102. net.ipv4.ip_forward = 0  
     
103. 
     
104. #加快网络性能的协议
     
105. net.inet.tcp.rfc1323=1
     
106. 
     
107. net.inet.tcp.rfc1644=1
     
108. 
     
109. net.inet.tcp.rfc3042=1
     
110. 
     
111. net.inet.tcp.rfc3390=1
     
112. 
     
113. #启用或禁用TCP FACK（Forward Acknowledgment，前向确认）功能。FACK是一种拥塞控制机制
     
114. #使用FACK算法优化快速重传和拥塞窗口调整，以提高在高丢包或高延迟网络中的传输效率
     
115. net.ipv4.tcp_fack = 1
     
116. 
     
117. #文件系统与并发限制
     
118. #增大异步 I/O 操作的最大请求数，优化数据库等 I/O 密集型应用
     
119. fs.aio-max-nr = 65535
     
120. 
     
121. #系统中允许的最多文件数量
     
122. kern.maxfiles=65536
     
123. 
     
124. #每个进程能够同时打开的最大文件数量
     
125. kern.maxfilesperproc=32768
     
126. 
     
127. #防止DOS攻击
     
128. net.inet.tcp.syncookies=1
     
129. 
     
130. # 确保无人能修改路由表, 禁止接受 ICMP 重定向消息，避免路由表被篡改
     
131. net.ipv4.conf.all.accept_redirects = 0
     
132. 
     
133. #使用sysrq组合键是了解系统目前运行情况，为安全起见设为0关闭
     
134. kernel.sysrq = 0  
     
135. 
     
136. #控制core文件的文件名是否添加pid作为扩展
     
137. kernel.core_uses_pid = 1  
     
138. 
     
139. #每个消息队列的大小（单位：字节）限制
     
140. kernel.msgmnb = 65536  
     
141. 
     
142. #整个系统最大消息队列数量限制
     
143. kernel.msgmax = 65536  
     
144. 
     
145. #开启有选择的应答
     
146. net.ipv4.tcp_sack = 1  
     
147. 
     
148. #时间戳可以避免序列号的卷绕。一个1Gbps的链路肯定会遇到以前用过的序列号。时间戳能够让内核接受这种“异常”的数据包。这里需要将其关掉
     
149. net.ipv4.tcp_timestamps = 1
     
150. 
     
151. #为了打开对端的连接，内核需要发送一个SYN并附带一个回应前面一个SYN的ACK。也就是所谓三次握手中的第二次握手。这个设置决定了内核放弃连接之前发送SYN+ACK包的数量
     
152. net.ipv4.tcp_synack_retries = 1  
     
153. 
     
154. #在内核放弃建立连接之前发送SYN包的数量
     
155. net.ipv4.tcp_syn_retries = 1  
     
156. 
     
157. #开启TCP连接中time_wait sockets的快速回收
     
158. net.ipv4.tcp_tw_recycle = 1  
     
159. 
     
160. #1st低于此值,TCP没有内存压力,2nd进入内存压力阶段,3rdTCP拒绝分配socket(单位：内存页)
     
161. #TCP内存压力阈值
     
162. net.ipv4.tcp_mem = 131072  262144  524288
     
163. 
     
164. #表示当keepalive起用的时候，TCP发送keepalive消息的频度（单位：秒）
     
165. net.ipv4.tcp_keepalive_time = 30  
     
166. 
     
167. #设置TCP保活探测包（Keep-Alive Probes）之间的发送间隔时间，单位为秒
     
168. net.ipv4.tcp_keepalive_intvl = 30
     
169. 
     
170. #设置TCP保活探测包的最大发送次数
     
171. net.ipv4.tcp_keepalive_probes = 3
     
172. 
     
173. # 开启恶意icmp错误消息保护
     
174. net.ipv4.icmp_ignore_bogus_error_responses = 1
     
175. 
     
176. # 开启并记录欺骗，源路由和重定向包
     
177. net.ipv4.conf.all.log_martians = 1
     
178. net.ipv4.conf.default.log_martians = 1
     
179. 
     
180. net.ipv4.conf.default.accept_redirects = 0
     
181. net.ipv4.conf.all.secure_redirects = 0
     
182. net.ipv4.conf.default.secure_redirects = 0
     
183. 
     
184. # 不充当路由器
     
185. net.ipv4.ip_forward = 0
     
186. net.ipv4.conf.all.send_redirects = 0
     
187. net.ipv4.conf.default.send_redirects = 0
     
188. 
     
189. # 开启execshild
     
190. kernel.exec-shield = 1
     
191. kernel.randomize_va_space = 1
     
192. 
     
193. # 允许更多的PIDs (减少滚动翻转问题); may break some programs 32768
     
194. kernel.pid_max = 65536
     
195. 
     
196. # 增加Linux自动调整TCP缓冲区限制
     
197. # 最小，默认和最大可使用的字节数
     
198. # 最大值不低于4MB，如果你使用非常高的BDP路径可以设置得更高
     
199. 
     
200. # Tcp窗口等
     
201. #为TCP socket预留用于接收缓冲的内存最大值（单位：字节）
     
202. net.core.rmem_max = 513920
     
203. 
     
204. #为TCP socket预留用于发送缓冲的内存最大值（单位：字节）
     
205. net.core.wmem_max = 513920
     
206. 
     
207. #支持更大的TCP窗口. 如果TCP窗口最大超过65535(64K), 必须设置该数值为1
     
208. net.ipv4.tcp_window_scaling = 1

复制代码

---

作者: a66    时间: 前天 18:50
不错的方法！

---

作者: hhcha    时间: 前天 18:53
感谢分享！

---

作者: slc1234    时间: 前天 19:08
谢谢分享！！！

---

作者: 361318817    时间: 前天 19:27
00000000000

---

作者: jnight    时间: 前天 19:33
感谢分享

---

作者: it323    时间: 前天 19:54
感谢分享！

---

作者: wwoldok    时间: 前天 20:25

感谢分享

---

作者: wn168cn@163.com    时间: 前天 20:31
感谢分享

---

作者: kimleee    时间: 前天 20:36
很好的教程，学习了

---

作者: handsome_xiang    时间: 前天 21:07
感谢分享！

---

作者: simonlong    时间: 前天 21:17
感谢分享

这是不是不区分发行版啊？（正在入坑ing……）

---

作者: smile_z    时间: 前天 22:48
感谢分享

---

作者: win82    时间: 前天 23:12
感谢分享

---

作者: anyscai    时间: 昨天 08:08
这系统还没用过

---

作者: dksoft    时间: 昨天 08:18
感谢分享

---

作者: 好好学些    时间: 昨天 08:21
支持楼主

---

作者: wang1126    时间: 昨天 08:27
谢谢楼主分享

---

作者: lanmeizhuangyua    时间: 昨天 09:15
多谢分享

---

作者: ebaqiang    时间: 昨天 11:00
这个有点意思  谢谢分享

---

作者: dshit    时间: 昨天 11:31
这个很强啊。很少看到Linux的优化，这是头见

---

作者: jinghuanqd    时间: 昨天 12:29
谢谢分享

---

作者: guong    时间: 昨天 13:46
来学习学习

---

作者: ouanyu    时间: 昨天 14:08

谢谢大佬分享！

---

作者: fegr    时间: 昨天 16:20
感谢分享

---

欢迎光临 无忧启动论坛 (http://bbs.wuyou.net/)

Powered by Discuz! X3.3