CentOS7 内核优化 修改参数

一：内核简介

内核是操作系统最基本的部分。它是为众多应用程序提供对计算机硬件的安全访问的一部分软件，这种访问是有限的，并且内核决定一个程序在什么时候对某部分硬件操作多长时间。

内核的分类可分为单内核和双内核以及微内核。严格地说，内核并不是计算机系统中必要的组成部分。

什么是内核？

内核，是一个操作系统的核心。是基于硬件的第一层软件扩充，提供操作系统的最基本的功能，是操作系统工作的基础，它负责管理系统的进程、内存、内核体系结构、设备驱动程序、文件和网络系统，决定着系统的性能和稳定性。

二：查看系统资源

1.查看当前系统的所有限制值

命令：ulimit -a

2.查看用户同时打开的文件数（linux系统默认的只要1024）

命令：ulimit -n

3.查看Linux系统级的最大打开文件数限制

命令：cat /proc/sys/fs/file-max

4.ulimit的选项用法

-a 　显示目前资源限制的设定

-c <core文件上限> 　设定core文件的最大值，单位为区块

-d <数据节区大小> 　程序数据节区的最大值，单位为KB

-f <文件大小> 　shell所能建立的最大文件，单位为区块

-H 　设定资源的硬性限制，也就是管理员所设下的限制

-m <内存大小> 　指定可使用内存的上限，单位为KB

-n <文件数目> 　指定同一时间最多可开启的文件数

-p <缓冲区大小> 　指定管道缓冲区的大小，单位512字节

-s <堆叠大小> 　指定堆叠的上限，单位为KB

-S 　设定资源的弹性限制

-t <CPU时间> 　指定CPU使用时间的上限，单位为秒

-u <程序数目> 　用户最多可开启的程序数目

-v <虚拟内存大小> 　指定可使用的虚拟内存上限，单位为KB

三：系统资源限制设置（使用root权限）

命令：vim /etc/security/limits.conf

在最后添加下面这几句：

* soft nofile 65535
* hard nofile 65535
* soft nproc 65535
* hard nproc 65535

知识扩展：

noproc   是代表最大进程数

nofile     是代最大文件打开数

*            是表示修改所有用户的限制

命令：vim /etc/security/limits.d/20-nproc.conf

修改一下参数：

#*          soft    nproc     65535

#root       soft    nproc     unlimited

*       soft    nproc   65535

*       hard    nproc   65535

注释原本的，添加新增的

然后执行reboot命令重启，root和普通用户的线程和最大打开文件数了都是65535

重启之后执行ulimit -a命令查看

命令：ulimit -a

如果是生产环境的话，就添加以下内容

命令：vim /etc/security/limits.conf

*           soft  core   unlimit
*           hard  core   unlimit
*           soft  fsize  unlimited
*           hard  fsize  unlimited
*           soft  data   unlimited
*           hard  data   unlimited
*           soft  nproc  65535
*           hard  nproc  63535
*           soft  stack  unlimited
*           hard  stack  unlimited
*           soft  nofile  409600
*           hard  nofile  409600

四：内核优化

命令：cat /etc/sysctl.conf

打开内核配置文件

命令：vim /etc/sysctl.d/99-sysctl.conf

将以下配置输入进去：

#关闭ipv6
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1

# 避免放大攻击
net.ipv4.icmp_echo_ignore_broadcasts = 1

# 开启恶意icmp错误消息保护
net.ipv4.icmp_ignore_bogus_error_responses = 1

# 关闭路由转发
net.ipv4.ip_forward = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0

#开启反向路径过滤
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

关闭sysrq功能
kernel.sysrq = 0

#core文件名中添加pid作为扩展名
kernel.core_uses_pid = 1
net.ipv4.tcp_syncookies = 1

#修改消息队列长度
kernel.msgmnb = 65536
kernel.msgmax = 65536

#设置最大内存共享段大小bytes
kernel.shmmax = 68719476736
kernel.shmall = 4294967296

#timewait的数量，默认180000
net.ipv4.tcp_max_tw_buckets = 6000
net.ipv4.tcp_sack = 1
net.ipv4.tcp_window_scaling = 1
net.ipv4.tcp_rmem = 4096        87380   4194304
net.ipv4.tcp_wmem = 4096        16384   4194304
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.core.netdev_max_backlog = 262144

#限制仅仅是为了防止简单的DoS 攻击
net.ipv4.tcp_max_orphans = 3276800

#未收到客户端确认信息的连接请求的最大值
net.ipv4.tcp_max_syn_backlog = 262144
net.ipv4.tcp_timestamps = 0

#内核放弃建立连接之前发送SYNACK 包的数量
net.ipv4.tcp_synack_retries = 1

#内核放弃建立连接之前发送SYN 包的数量
net.ipv4.tcp_syn_retries = 1

#启用timewait 快速回收
net.ipv4.tcp_tw_recycle = 1

#开启重用。允许将TIME-WAIT sockets 重新用于新的TCP连接
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_mem = 94500000 915000000 927000000
net.ipv4.tcp_fin_timeout = 1

#当keepalive 起用的时候，TCP 发送keepalive 消息的频度。缺省是2 小时
net.ipv4.tcp_keepalive_time = 30

#允许系统打开的端口范围
net.ipv4.ip_local_port_range = 1024    65000

#修改防火墙表大小，默认65536
net.netfilter.nf_conntrack_max=655350
net.netfilter.nf_conntrack_tcp_timeout_established=1200

# 确保无人能修改路由表
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.secure_redirects = 0

然后保存退出之后执行sysctl -p是参数生效，永久生效

命令：sysctl -p

总结：。。。。。。。。此处省略一万字