0.内部设置跳板机,服务器只能通过跳板机登录
1.禁止ROOT用户远程登录和登录端口

禁止ROOT用户远程登录 。打开  /etc/ssh/sshd_config

PermitRootLogin no

.对用户密码强度的设定

12个字符以上,大小写,特殊字符

.对重要的文件进行锁定,即使ROOT用户也无法删除

chattr    改变文件或目录的扩展属性

lsattr    查看文件目录的扩展属性

chattr  +i  /etc/passwd /etc/shadow                 //增加属性

chattr  -i  /etc/passwd /etc/shadow                 //移除属性  

lsattr  /etc/passwd /etc/shadow

---------------------

https://blog.csdn.net/qq_36119192/article/details/82906799 
内核参数调优:

.redis服务器内核调优

就一条

vm.overcommit_memory =

为了避免当系统内存不足时,系统杀掉内存占用最大的程序(往往都是redis QAQ)。

不要忘了执行命令生效一下

.#增大文件描述符

ulimit -n

echo -ne "

* soft nofile

* hard nofile

" >>/etc/security/limits.conf

.#修改系统线程限制

echo -ne "

* soft nproc

* hard nproc

" >>/etc/security/limits.conf
.链接追踪表问题

nginx服务器在开启防火墙时最容易遇到如下情况

执行dmesg命令,查看系统打印信息

nf_conntrack: table full, dropping packet

(链接追踪表已满)

这是相当常见的问题,而且十分严重,导致服务器随机丢弃请求,你的并发突破不了几千。

调优方式:

增加或者修改内核参数

vim /etc/sysctl.conf

net.nf_conntrack_max =  (状态跟踪表的最大行数,16G的服务器)

net.netfilter.nf_conntrack_tcp_timeout_established = (设置超时时间)

修改完毕后执行sysctl-p生效命令。

参考:https://www.cnblogs.com/kerwinC/p/6835208.html

4.TIME_WAIT(时间等待计时器)状态是什么?

简单来说,TIME_WAIT状态是四次挥手中服务器向客户端发送FIN终止连接后进入的状态。  (四次断开两次FIN两次ack)

要解决问题,需要在/etc/sysctl.conf中加配置开启net.ipv4.tcp_tw_recicle=1,sysctl  -p  (nat网络模式则要设置关闭,=0,否则有很多报错)

linux 服务器安全加固和内核参数调优 nf_conntrack的更多相关文章

  1. Linux Linux内核参数调优

    Linux内核参数调优 by:授客 QQ:1033553122 关于调优的建议: 1.出错时,可以查看操作系统日志,可能会找到一些有用的信息 2.尽量不要“批量”修改内核参数,笔者就曾这么干过,结果“ ...

  2. (转)linux IO 内核参数调优 之 参数调节和场景分析

    1. pdflush刷新脏数据条件 (linux IO 内核参数调优 之 原理和参数介绍)上一章节讲述了IO内核调优介个重要参数参数. 总结可知cached中的脏数据满足如下几个条件中一个或者多个的时 ...

  3. Linux上TCP的几个内核参数调优

    Linux作为一个强大的操作系统,提供了一系列内核参数供我们进行调优.光TCP的调优参数就有50多个.在和线上问题斗智斗勇的过程中,笔者积累了一些在内网环境应该进行调优的参数.在此分享出来,希望对大家 ...

  4. inux IO 内核参数调优 之 参数调节和场景分析

    http://backend.blog.163.com/blog/static/2022941262013112081215609/ http://blog.csdn.net/icycode/arti ...

  5. LINUX内核参数调优集锦

    1.linux内核参数注释 2.两种修改内核参数方法 3.内核优化参数生产配置 1.linux内核参数注释 以下表格中红色字体为常用优化参数 根据参数文件所处目录不同而进行分表整理 下列文件所在目录: ...

  6. linux 服务器网络有关的内核参数

    几乎所有的内核模块,包括内核核心模块和驱动程序,都在/proc/sys 文件系统下提供了某些配置文件以提供用户调整模块的属性和行为.通常一个配置文件对应一个内核参数,文件名就是参数的名字,文件的内容是 ...

  7. Linux内核参数调优

    用法: vim /etc/sysctl.conf #修改内容 sysctl -p #生效 相关参数仅供参考,具体数值还需要根据机器性能,应用场景等实际情况来做更细微调整.   net.core.net ...

  8. linux IO 内核参数调优 之 原理和参数介绍

    1.  page cache linux操作系统默认情况下写都是有写缓存的,可以使用direct IO方式绕过操作系统的写缓存.当你写一串数据时,系统会开辟一块内存区域缓存这些数据,这块区域就是我们常 ...

  9. linux内核参数调优,缓冲区调整,tcp/udp连接管理,保持,释放优化,gossary,terms

    changing a readonly file (linu single user mode)

随机推荐

  1. 请输入经过encode编码的URL

    美团门店映射: <?php $url = "http://manage.test.kdb.kudianbao.com/Branch/mt_mdysh1d"; $res = u ...

  2. OneMap Client API

    MapSystem.Map.SmMap类 方法 mergerGeo:function(geoList) 将多个几何图形合并(支持面.线),组合成一个复合对象 例子: var geo=this.myMa ...

  3. 【读书笔记】iOS-深入解剖对等网络

    协议本身是一个运行在UDP之上的定制协议.我所以决定使用一个定制协议很简单.首先,当前这个任务看起来足够简单,因此与尝试改进一个现在协议相比,直接构建一个定制协议更为容易.其次,定制协议可以将开销减少 ...

  4. 可视化接口管理工具RAP,模拟数据,校验接口

    最近看到一个不错的接口管理的工具,分享一下 RAP ppt介绍:http://www.imooc.com/video/11060 RAP是一个可视化接口管理工具 通过分析接口结构,动态生成模拟数据,校 ...

  5. Android Studio:Support Library依赖包的版本号

    当我们用RecyclerView时,如果想用某一个特定的版本,怎样才能知道版本号呢?如果自己的笔记本中用过这个库,那么会保存在本地硬盘中. Android自身依赖包的版本号本地存放路径:  没有用过该 ...

  6. CSS3伪类和伪元素

    作为一个CSS3初学不久者来说,很容易混淆单冒号(:)和双冒号(::)的用法,以为两者可以互换着来使用.我自己之前也混淆过他们,因为两者看起来太相像了,就像孪生兄弟.但实际上,他们的区别还是挺大的,最 ...

  7. recovery 升级'@/cache/recovery/block.map' failed错误问题

    随着android版本升级,升级包越来越大,当升级包无法存储在cache分区的时候,会把升级包下载到data分区,然后从data分区升级,最近从data分区加载升级包升级的时候,遇到了如下错误: [ ...

  8. JMeter—监听器(十二)

    参考<全栈性能测试修炼宝典JMeter实战>第六章 JMeter 元件详解中第七节监听器用来显示JMeter取样器的测试结果,能够以树.表.图形形式显示,也可以以文件方式保存. 一.设置默 ...

  9. python第十二天 生成器,迭代器,内置函数

    第二模块学习:  生成器,迭代器,内置函数 生成器特点:只有在调用时才会生成相应的数据,运行的速度快! 示例: def fil(max):#斐波那契数 n,a,b=0,0,1 #定义初始数据 whil ...

  10. 高通非adsp 架构下的sensor的bug调试

    高通 sensor 从native到HAL 高通HAL层之Sensor HAL 高通HAL层之bmp18x.cpp 问题现象: 当休眠后,再次打开preesure sensor的时候,会出现隔一段时候 ...