Linux内核优化项

net.ipv4.ip_forward =
#该文件内容为0，表示禁止数据包转发，1表示允许

net.ipv4.conf.default.rp_filter =
#是否忽略arp请求

net.ipv4.conf.default.accept_source_route =
# 是否接受源路由(source route)

net.ipv4.conf.all.secure_redirects =
# 如果服务器不作为网关/路由器,该值建议设置为0

kernel.sysrq =
# 是否开启sysrq，0为disable sysrq, 1为enable sysrq completely

kernel.core_uses_pid =
# 如果这个文件的内容被配置成1，那么即使core_pattern中没有设置%p，最后生成的core dump文件名仍会加上进程ID

net.ipv4.tcp_syncookies =
# 开启SYN Cookies,当出现SYN等待队列溢出时,启用cookies来处理

kernel.msgmnb =
# 指定内核中每个消息队列的最大字节限制

kernel.msgmax =
# 指定内核中单个消息的最大长度(bytes).进程间的消息传递是在内核的内存中进行的，不会交换到磁盘上，所以如果增大该值，则将增大操作系统所使用的内存数量

kernel.shmmax =
# 指定共享内存片段的最大尺寸(bytes)

kernel.shmall =
# 指定可分配的共享内存数量

net.ipv4.tcp_max_tw_buckets =
# time_wait的数量,默认是180000

net.ipv4.tcp_sack =
# 是否开启有选择性的应答(Selective Acknowledgement,简称SACK)

net.ipv4.tcp_window_scaling =
# 是否开启tcp滑动窗口

net.ipv4.tcp_rmem =
# 指定tcp接收缓存(receive memory buffers)，有三个值。第一个是每一个TCP连接最小的接收buffer; 第二个值是每个TCP连接默认分配的接收buffer,该值将覆盖net.core.rmem_default值；第三个是一个TCP连接最大可以分配的接收buffer

net.ipv4.tcp_wmem =
# 指定tcp发送缓存(send memory buffers)，有三个值，和net.ipv4.tcp_rmem类似

net.core.wmem_default =
# 表示发送套接字缓冲区大小的缺省值(bytes)

net.core.rmem_default =
# 表示接收套接字缓冲区大小的缺省值(bytes)

net.core.rmem_max =
# 表示接收套接字缓冲区大小的最大值(bytes)

net.core.wmem_max =
# 表示发送套接字缓冲区大小的最大值(bytes)

net.core.netdev_max_backlog =
# 每个网络接口接收数据包的速率比内核处理这些包的速率快时，允许送到队列的数据包的最大数目

net.core.somaxconn =
# web应用中listen函数的backlog默认会给我们内核参数的net.core.somaxconn限制到128,而nginx定义的NGX_LISTEN_BACKLOG默认为511,所以有必要调整这个值

net.ipv4.tcp_max_orphans =
# 系统中最多有多少个TCP套接字不被关联到任何一个用户文件句柄上,如果超过这个数字,孤儿连接将即刻被复位并打印出警告信息,这个限制仅仅是为了防止简单的Dos攻击,不能过分依靠它或者人为地减小这个值,更应该增加这个值(如果增加了内存之后)

net.ipv4.tcp_max_syn_backlog =
# 记录的那些尚未收到客户端确认信息的连接请求的最大值,对于有128M内存的系统而言,缺省值是1024,小内存的系统这是128

net.ipv4.tcp_timestamps =
# 时间戳可以避免序列号的卷绕,一个1Gbs的链路肯定会遇到以前用过的序列号,时间戳能够让内核接受这种"异常"的数据包,这里需将其关掉(0表示禁用时间戳,1表示启用时间戳)

net.ipv4.tcp_synack_retries =
# 为了打开对端的连接,内核需要发送一个SYN并附带一个回应前面一个SYN的ACK,也就是所谓的三次握手中的第二次握手,这个设置决定了内核放弃连接之前发送SYN+ACK包的数量可以设置为1

net.ipv4.tcp_syn_retries =
# 在内核放弃建立连接之前发送SYN包的数量可以设置为1

net.ipv4.tcp_tw_recycle =
# time_wait快速回收 0为关闭，1为打开，默认为关闭，打开后提高服务器性能，但会出现问题，问题见下一篇文章，建议关闭

net.ipv4.tcp_tw_reuse =
# 开启重用,允许Time-WAIT sockets重新用于新的TCP连接

net.ipv4.tcp_mem =
# 确定 TCP 栈应该如何反映内存使用；每个值的单位都是内存页(通常是 4KB)

net.ipv4.tcp_fin_timeout =
# 如果套接字有本端要求关闭,这个参数决定了保持在FIN-WAIT-2状态的时间,对端可以出错并永远关闭连接,甚至以外宕机,缺省值是60秒,.2内核的通常值是180秒,你可以按这个设置，但要记住的是，即时你的机器是一个轻载的WEB服务器，也有因为大量的死套接字而内存溢出的风险，FIN-WAIT-2的危险性比FIN-WAIT-1要小，因为它最多只能吃掉1.5K内存，但是他们生存期长些

net.ipv4.tcp_keepalive_time =
# 当keepzlived起作用的时候，TCP发送keepzlived消息的频度，缺省是两小时，可以设置为30

net.ipv4.tcp_keepalive_probes=
# 如果对方不予应答，探测包的发送次数

net.ipv4.tcp_orphan_retries=
# 设置较小的数值，可以有效降低orphans的数量

net.ipv4.ip_local_port_range =
# 允许系统打开的端口范围

# 以下全部都是对iptables防火墙的优化，防火墙不开会有提示，可以忽略不理。：由于CentOS6.X系统中的模块名不是ip_conntrack，而是nf_conntrack，所以在/etc/sysctl.conf优化时，需要把net.ipv4.netfilter.ip_conntrack_max 这种老的参数，改成net.netfilter.nf_conntrack_max这样才可以

net.nf_conntrack_max =
# 最大跟踪连接数

net.netfilter.nf_conntrack_max =
# 内核模块实现连接跟踪功能，所有的进出数据包都会记录在连接跟踪表中，包括tcp，udp，icmp等，一旦连接跟踪表被填满以后，就会发生丢包，导致网络不稳定

net.netfilter.nf_conntrack_tcp_timeout_established =
# 上条决定ESTABLISHED状态连接的超时时间，默认值是5天，可以根据实际业务情况进行调整

net.netfilter.nf_conntrack_tcp_timeout_time_wait =
# 已主动关闭 闲置内存而且不回收内存

net.netfilter.nf_conntrack_tcp_timeout_close_wait =
# 被动关闭

net.netfilter.nf_conntrack_tcp_timeout_fin_wait =
vm.max_map_count =