網(wǎng)上關(guān)于sysctl.conf的優(yōu)化方案有各種版本,大多都是抄來抄去的,讓新人看了很迷茫。為解決此問題,經(jīng)過兩天的整理,查了N多資料,將大家常用的總結(jié)如下,很多默認(rèn)的不需要修改的暫未涉及,今后將逐步把所有的項目都有個翻譯、講解、修改建議,如有修改,將以此文為準(zhǔn),其他地方的內(nèi)容,本人不負(fù)責(zé)更新。因此轉(zhuǎn)載請注明鏈接地址:
http://www.bsdlover.cn/security/2007/1216/article_8.html如果您有補(bǔ)充或修訂意見,請于本文后評論或郵件聯(lián)系
cujxtm@gmail.com,萬分感謝!
###################
所有rfc相關(guān)的選項都是默認(rèn)啟用的,因此網(wǎng)上的那些還自己寫rfc支持的都可以扔掉了:)
###############################
net.inet.ip.sourceroute=0
net.inet.ip.accept_sourceroute=0
#############################
通過源路由,攻擊者可以嘗試到達(dá)內(nèi)部IP地址 --包括RFC1918中的地址,所以
不接受源路由信息包可以防止你的內(nèi)部網(wǎng)絡(luò)被探測。
#################################
net.inet.tcp.drop_synfin=1
###################################
安全參數(shù),編譯內(nèi)核的時候加了options TCP_DROP_SYNFIN才可以用,可以阻止某些OS探測。
##################################
kern.maxvnodes=8446
#################
http://www.bsdlover.cn#########
vnode 是對文件或目錄的一種內(nèi)部表達(dá)。 因此, 增加可以被操作系統(tǒng)利用的 vnode 數(shù)量將降低磁盤的 I/O。
一般而言, 這是由操作系統(tǒng)自行完成的,也不需要加以修改。但在某些時候磁盤 I/O 會成為瓶頸,
而系統(tǒng)的 vnode 不足, 則這一配置應(yīng)被增加。此時需要考慮是非活躍和空閑內(nèi)存的數(shù)量。
要查看當(dāng)前在用的 vnode 數(shù)量:
# sysctl vfs.numvnodes
vfs.numvnodes: 91349
要查看最大可用的 vnode 數(shù)量:
# sysctl kern.maxvnodes
kern.maxvnodes: 100000
如果當(dāng)前的 vnode 用量接近最大值,則將 kern.maxvnodes 值增大 1,000 可能是個好主意。
您應(yīng)繼續(xù)查看 vfs.numvnodes 的數(shù)值, 如果它再次攀升到接近最大值的程度,
仍需繼續(xù)提高 kern.maxvnodes。 在 top(1) 中顯示的內(nèi)存用量應(yīng)有顯著變化,
更多內(nèi)存會處于活躍 (active) 狀態(tài)。
####################################
kern.maxproc: 964
#################
http://www.bsdlover.cn#########
Maximum number of processes
####################################
kern.maxprocperuid: 867
#################
http://www.bsdlover.cn#########
Maximum processes allowed per userid
####################################
因為我的maxusers設(shè)置的是256,20+16*maxusers=4116。
maxprocperuid至少要比maxproc少1,因為init(8) 這個系統(tǒng)程序絕對要保持在運作狀態(tài)。
我給它設(shè)置的2068。
kern.maxfiles: 1928
#################
http://www.bsdlover.cn#########
系統(tǒng)中支持最多同時開啟的文件數(shù)量,如果你在運行數(shù)據(jù)庫或大的很吃描述符的進(jìn)程,那么應(yīng)該設(shè)置在20000以上,
比如kde這樣的桌面環(huán)境,它同時要用的文件非常多。
一般推薦設(shè)置為32768或者65536。
####################################
kern.argmax: 262144
#################
http://www.bsdlover.cn#########
maximum number of bytes (or characters) in an argument list.
命令行下最多支持的參數(shù),比如你在用find命令來批量刪除一些文件的時候
find . -name "*.old" -delete,如果文件數(shù)超過了這個數(shù)字,那么會提示你數(shù)字太多的。
可以利用find . -name "*.old" -ok rm {} \;來刪除。
默認(rèn)的參數(shù)已經(jīng)足夠多了,因此不建議再做修改。
####################################
kern.securelevel: -1
#################
http://www.bsdlover.cn#########
-1:這是系統(tǒng)默認(rèn)級別,沒有提供任何內(nèi)核的保護(hù)錯誤;
0:基本上作用不多,當(dāng)你的系統(tǒng)剛啟動就是0級別的,當(dāng)進(jìn)入多用戶模式的時候就自動變成1級了。
1:在這個級別上,有如下幾個限制:
a. 不能通過kldload或者kldunload加載或者卸載可加載內(nèi)核模塊;
b. 應(yīng)用程序不能通過/dev/mem或者/dev/kmem直接寫內(nèi)存;
c. 不能直接往已經(jīng)裝在(mounted)的磁盤寫東西,也就是不能格式化磁盤,但是可以通過標(biāo)準(zhǔn)的內(nèi)核接口執(zhí)行寫操作;
d. 不能啟動X-windows,同時不能使用chflags來修改文件屬性;
2:在 1 級別的基礎(chǔ)上還不能寫沒裝載的磁盤,而且不能在1秒之內(nèi)制造多次警告,這個是防止DoS控制臺的;
3:在 2 級別的級別上不允許修改IPFW防火墻的規(guī)則。
如果你已經(jīng)裝了防火墻,并且把規(guī)則設(shè)好了,不輕易改動,那么建議使用3級別,如果你沒有裝防火墻,而且還準(zhǔn)備裝防火墻的話,不建議使用。
我們這里推薦使用 2 級別,能夠避免比較多對內(nèi)核攻擊。
####################################
kern.maxfilesperproc: 1735
#################
http://www.bsdlover.cn#########
每個進(jìn)程能夠同時打開的最大文件數(shù)量,網(wǎng)上很多資料寫的是32768
除非用異步I/O或大量線程,打開這么多的文件恐怕是不太正常的。
我個人建議不做修改,保留默認(rèn)。
####################################
kern.ipc.maxsockbuf: 262144
#################
http://www.bsdlover.cn#########
最大的套接字緩沖區(qū),網(wǎng)上有建議設(shè)置為2097152(2M)、8388608(8M)的。
我個人倒是建議不做修改,保持默認(rèn)的256K即可,緩沖區(qū)大了可能造成碎片、阻塞或者丟包。
####################################
kern.ipc.somaxconn: 128
#################
http://www.bsdlover.cn#########
最大的等待連接完成的套接字隊列大小,即并發(fā)連接數(shù)。
高負(fù)載服務(wù)器和受到Dos攻擊的系統(tǒng)也許會因為這個隊列被塞滿而不能提供正常服務(wù)。
默認(rèn)為128,推薦在1024-4096之間,根據(jù)機(jī)器和實際情況需要改動,數(shù)字越大占用內(nèi)存也越大。
####################################
kern.ipc.nmbclusters: 4800
#################
http://www.bsdlover.cn#########
這個值用來調(diào)整系統(tǒng)在開機(jī)后所要分配給網(wǎng)絡(luò) mbufs 的 cluster 數(shù)量,
由于每個 cluster 大小為 2K,所以當(dāng)這個值為 1024 時,也是會用到 2MB 的核心內(nèi)存空間。
假設(shè)我們的網(wǎng)頁同時約有 1000 個聯(lián)機(jī),而 TCP 傳送及接收的暫存區(qū)大小都是 16K,
則最糟的情況下,我們會需要 (16K+16K) * 1024,也就是 32MB 的空間,
然而所需的 mbufs 大概是這個空間的二倍,也就是 64MB,所以所需的 cluster 數(shù)量為 64MB/2K,也就是 32768。
對于內(nèi)存有限的機(jī)器,建議值是 1024 到 4096 之間,而當(dāng)擁有海量存儲器空間時,我們可以將它設(shè)定為 4096 到 32768 之間。
我們可以使用 netstat 這個指令并加上參數(shù) -m 來查看目前所使用的 mbufs 數(shù)量。
要修改這個值必須在一開機(jī)就修改,所以只能在 /boot/loader.conf 中加入修改的設(shè)定
kern.ipc.nmbclusters=32768
####################################
kern.ipc.shmmax: 33554432
#################
http://www.bsdlover.cn#########
共享內(nèi)存和信號燈("System VIPC")如果這些過小的話,有些大型的軟件將無法啟動
安裝xine和mplayer提示的設(shè)置為67108864,即64M,
如果內(nèi)存多的話,可以設(shè)置為134217728,即128M
####################################
kern.ipc.shmall: 8192
#################
http://www.bsdlover.cn#########
共享內(nèi)存和信號燈("System VIPC")如果這些過小的話,有些大型的軟件將無法啟動
安裝xine和mplayer提示的設(shè)置為32768
####################################
kern.ipc.shm_use_phys: 0
#################
http://www.bsdlover.cn#########
如果我們將它設(shè)成 1,則所有 System V 共享內(nèi)存 (share memory,一種程序間溝通的方式)部份都會被留在實體的內(nèi)存 (physical memory) 中,
而不會被放到硬盤上的 swap 空間。我們知道物理內(nèi)存的存取速度比硬盤快許多,而當(dāng)物理內(nèi)存空間不足時,
部份數(shù)據(jù)會被放到虛擬的內(nèi)存上,從物理內(nèi)存和虛擬內(nèi)存之間移轉(zhuǎn)的動作就叫作 swap。如果時常做 swap 的動作,
則需要一直對硬盤作 I/O,速度會很慢。因此,如果我們有大量的程序 (數(shù)百個) 需要共同分享一個小的共享內(nèi)存空間,
或者是共享內(nèi)存空間很大時,我們可以將這個值打開。
這一項,我個人建議不做修改,除非你的內(nèi)存非常大。
####################################
kern.ipc.shm_allow_removed: 0
#################
http://www.bsdlover.cn#########
共享內(nèi)存是否允許移除?這項似乎是在fb下裝vmware需要設(shè)置為1的,否則會有加載SVGA出錯的提示
作為服務(wù)器,這項不動也罷。
####################################
kern.ipc.numopensockets: 12
#################
http://www.bsdlover.cn#########
已經(jīng)開啟的socket數(shù)目,可以在最繁忙的時候看看它是多少,然后就可以知道m(xù)axsockets應(yīng)該設(shè)置成多少了。
####################################
kern.ipc.maxsockets: 1928
#################
http://www.bsdlover.cn#########
這是用來設(shè)定系統(tǒng)最大可以開啟的 socket 數(shù)目。如果您的服務(wù)器會提供大量的 FTP 服務(wù),
而且常快速的傳輸一些小檔案,您也許會發(fā)現(xiàn)常傳輸?shù)揭话刖椭袛唷R驗?FTP 在傳輸檔案時,
每一個檔案都必須開啟一個 socket 來傳輸,但關(guān)閉 socket 需要一段時間,如果傳輸速度很快,
而檔案又多,則同一時間所開啟的 socket 會超過原本系統(tǒng)所許可的值,這時我們就必須把這個值調(diào)大一點。
除了 FTP 外,也許有其它網(wǎng)絡(luò)程序也會有這種問題。
然而,這個值必須在系統(tǒng)一開機(jī)就設(shè)定好,所以如果要修改這項設(shè)定,我們必須修改 /boot/loader.conf 才行
kern.ipc.maxsockets="16424"
####################################
kern.ipc.nsfbufs: 1456
#################
http://www.bsdlover.cn#########
經(jīng)常使用 sendfile(2) 系統(tǒng)調(diào)用的繁忙的服務(wù)器,
有必要通過 NSFBUFS 內(nèi)核選項或者在 /boot/loader.conf (查看 loader(8) 以獲得更多細(xì)節(jié)) 中設(shè)置它的值來調(diào)節(jié) sendfile(2) 緩存數(shù)量。
這個參數(shù)需要調(diào)節(jié)的普通原因是在進(jìn)程中看到 sfbufa 狀態(tài)。sysctl kern.ipc.nsfbufs 變量在內(nèi)核配置變量中是只讀的。
這個參數(shù)是由 kern.maxusers 決定的,然而它可能有必要因此而調(diào)整。
在/boot/loader.conf里加入
kern.ipc.nsfbufs="2496"
####################################
kern.maxusers: 59
#################
http://www.bsdlover.cn#########
maxusers 的值決定了處理程序所容許的最大值,20+16*maxusers 就是你將得到的所容許處理程序。
系統(tǒng)一開機(jī)就必須要有 18 個處理程序 (process),即便是簡單的執(zhí)行指令 man 又會產(chǎn)生 9 個 process,
所以將這個值設(shè)為 64 應(yīng)該是一個合理的數(shù)目。
如果你的系統(tǒng)會出現(xiàn) proc table full 的訊息的話,可以就把它設(shè)大一點,例如 128。
除非您的系統(tǒng)會需要同時開啟很多檔案,否則請不要設(shè)定超過 256。
可以在 /boot/loader.conf 中加入該選項的設(shè)定,
kern.maxusers=256
####################################
kern.coredump: 1
#################
http://www.bsdlover.cn#########
如果設(shè)置為0,則程序異常退出時不會生成core文件,作為服務(wù)器,不建議這樣。
####################################
kern.corefile: %N.core
#################
http://www.bsdlover.cn#########
可設(shè)置為kern.corefile="/data/coredump/%U-%P-%N.core"
其中 %U是UID,%P是進(jìn)程ID,%N是進(jìn)程名,當(dāng)然/data/coredump必須是一個實際存在的目錄
####################################
vm.swap_idle_enabled: 0
vm.swap_idle_threshold1: 2
vm.swap_idle_threshold2: 10
#########################
在有很多用戶進(jìn)入、離開系統(tǒng)和有很多空閑進(jìn)程的大的多用戶系統(tǒng)中很有用。
可以讓進(jìn)程更快地進(jìn)入內(nèi)存,但它會吃掉更多的交換和磁盤帶寬。
系統(tǒng)默認(rèn)的頁面調(diào)度算法已經(jīng)很好了,最好不要更改。
########################
vfs.ufs.dirhash_maxmem: 2097152
#########################
默認(rèn)的dirhash最大內(nèi)存,默認(rèn)2M
增加它有助于改善單目錄超過100K個文件時的反復(fù)讀目錄時的性能
建議修改為33554432(32M)
#############################
vfs.vmiodirenable: 1
#################
這個變量控制目錄是否被系統(tǒng)緩存。大多數(shù)目錄是小的,在系統(tǒng)中只使用單個片斷(典型的是1K)并且在緩存中使用的更小 (典型的是512字節(jié))。
當(dāng)這個變量設(shè)置為關(guān)閉 (0) 時,緩存器僅僅緩存固定數(shù)量的目錄,即使您有很大的內(nèi)存。
而將其開啟 (設(shè)置為1) 時,則允許緩存器用 VM 頁面緩存來緩存這些目錄,讓所有可用內(nèi)存來緩存目錄。
不利的是最小的用來緩存目錄的核心內(nèi)存是大于 512 字節(jié)的物理頁面大小(通常是 4k)。
我們建議如果您在運行任何操作大量文件的程序時保持這個選項打開的默認(rèn)值。
這些服務(wù)包括 web 緩存,大容量郵件系統(tǒng)和新聞系統(tǒng)。
盡管可能會浪費一些內(nèi)存,但打開這個選項通常不會降低性能。但還是應(yīng)該檢驗一下。
####################
vfs.hirunningspace: 1048576
############################
這個值決定了系統(tǒng)可以將多少數(shù)據(jù)放在寫入儲存設(shè)備的等候區(qū)。通常使用默認(rèn)值即可,
但當(dāng)我們有多顆硬盤時,我們可以將它調(diào)大為 4MB 或 5MB。
注意這個設(shè)置成很高的值(超過緩存器的寫極限)會導(dǎo)致壞的性能。
不要盲目的把它設(shè)置太高!高的數(shù)值會導(dǎo)致同時發(fā)生的讀操作的遲延。
#############################
vfs.write_behind: 1
#########################
這個選項預(yù)設(shè)為 1,也就是打開的狀態(tài)。在打開時,在系統(tǒng)需要寫入數(shù)據(jù)在硬盤或其它儲存設(shè)備上時,
它會等到收集了一個 cluster 單位的數(shù)據(jù)后再一次寫入,否則會在一個暫存區(qū)空間有寫入需求時就立即寫到硬盤上。
這個選項打開時,對于一個大的連續(xù)的文件寫入速度非常有幫助。但如果您遇到有很多行程延滯在等待寫入動作時,您可能必須關(guān)閉這個功能。
############################
net.local.stream.sendspace: 8192
##################################
本地套接字連接的數(shù)據(jù)發(fā)送空間
建議設(shè)置為65536
###################################
net.local.stream.recvspace: 8192
##################################
本地套接字連接的數(shù)據(jù)接收空間
建議設(shè)置為65536
###################################
net.inet.ip.portrange.lowfirst: 1023
net.inet.ip.portrange.lowlast: 600
net.inet.ip.portrange.first: 49152
net.inet.ip.portrange.last: 65535
net.inet.ip.portrange.hifirst: 49152
net.inet.ip.portrange.hilast: 65535
###################
以上六項是用來控制TCP及UDP所使用的port范圍,這個范圍被分成三個部份,低范圍、預(yù)設(shè)范圍、及高范圍。
這些是你的服務(wù)器主動發(fā)起連接時的臨時端口的范圍,預(yù)設(shè)的已經(jīng)1萬多了,一般的應(yīng)用就足夠了。
如果是比較忙碌的FTP server,一般也不會同時提供給1萬多人訪問的,
當(dāng)然如果很不幸,你的服務(wù)器就要提供很多,那么可以修改first的值,比如直接用1024開始
#########################
net.inet.ip.redirect: 1
#########################
設(shè)置為0,屏蔽ip重定向功能
###########################
net.inet.ip.rtexpire: 3600
net.inet.ip.rtminexpire: 10
########################
很多apache產(chǎn)生的CLOSE_WAIT狀態(tài),這種狀態(tài)是等待客戶端關(guān)閉,但是客戶端那邊并沒有正常的關(guān)閉,于是留下很多這樣的東東。
建議都修改為2
#########################
net.inet.ip.intr_queue_maxlen: 50
########################
Maximum size of the IP input queue,如果下面的net.inet.ip.intr_queue_drops一直在增加,
那就說明你的隊列空間不足了,那么可以考慮增加該值。
##########################
net.inet.ip.intr_queue_drops: 0
####################
Number of packets dropped from the IP input queue,如果你sysctl它一直在增加,
那么增加net.inet.ip.intr_queue_maxlen的值。
#######################
net.inet.ip.fastforwarding: 0
#############################
如果打開的話每個目標(biāo)地址一次轉(zhuǎn)發(fā)成功以后它的數(shù)據(jù)都將被記錄進(jìn)路由表和arp數(shù)據(jù)表,節(jié)約路由的計算時間
但會需要大量的內(nèi)核內(nèi)存空間來保存路由表。
如果內(nèi)存夠大,打開吧,呵呵
#############################
net.inet.ip.random_id: 0
#####################
默認(rèn)情況下,ip包的id號是連續(xù)的,而這些可能會被攻擊者利用,比如可以知道你nat后面帶了多少主機(jī)。
如果設(shè)置成1,則這個id號是隨機(jī)的,嘿嘿。
#####################
net.inet.icmp.maskrepl: 0
############################
防止廣播風(fēng)暴,關(guān)閉其他廣播探測的響應(yīng)。默認(rèn)即是,無須修改。
###############################
net.inet.icmp.icmplim: 200
##############################
限制系統(tǒng)發(fā)送ICMP速率,改為100吧,或者保留也可,并不會給系統(tǒng)帶來太大的壓力。
###########################
net.inet.icmp.icmplim_output: 1
###################################
如果設(shè)置成0,就不會看到提示說Limiting icmp unreach response from 214 to 200 packets per second 等等了
不過禁止輸出容易讓我們忽視攻擊的存在。這個自己看著辦吧。
######################################
net.inet.icmp.drop_redirect: 0
net.inet.icmp.log_redirect: 0
###################################
設(shè)置為1,屏蔽ICMP重定向功能
###################################
net.inet.icmp.bmcastecho: 0
############################
防止廣播風(fēng)暴,關(guān)閉廣播ECHO響應(yīng),默認(rèn)即是,無須修改。
###############################
net.inet.tcp.mssdflt: 512
net.inet.tcp.minmss: 216
###############################
數(shù)據(jù)包數(shù)據(jù)段最小值,以上兩個選項最好不動!或者只修改mssdflt為1460,minmss不動。
原因詳見
http://www.bsdlover.cn/security/2007/1211/article_4.html
#############################
net.inet.tcp.keepidle: 7200000
######################
TCP的套接字的空閑時間,默認(rèn)時間太長,可以改為600000(10分鐘)。
##########################
net.inet.tcp.sendspace: 32768
#################
http://www.bsdlover.cn#########
最大的待發(fā)送TCP數(shù)據(jù)緩沖區(qū)空間,應(yīng)用程序?qū)?shù)據(jù)放到這里就認(rèn)為發(fā)送成功了,系統(tǒng)TCP堆棧保證數(shù)據(jù)的正常發(fā)送。
####################################
net.inet.tcp.recvspace: 65536
###################################
最大的接受TCP緩沖區(qū)空間,系統(tǒng)從這里將數(shù)據(jù)分發(fā)給不同的套接字,增大該空間可提高系統(tǒng)瞬間接受數(shù)據(jù)的能力以提高性能。
###################################
這二個選項分別控制了網(wǎng)絡(luò) TCP 聯(lián)機(jī)所使用的傳送及接收暫存區(qū)的大小。預(yù)設(shè)的傳送暫存區(qū)為 32K,而接收暫存區(qū)為 64K。
如果需要加速 TCP 的傳輸,可以將這二個值調(diào)大一點,但缺點是太大的值會造成系統(tǒng)核心占用太多的內(nèi)存。
如果我們的機(jī)器會同時服務(wù)數(shù)百或數(shù)千個網(wǎng)絡(luò)聯(lián)機(jī),那么這二個選項最好維持默認(rèn)值,否則會造成系統(tǒng)核心內(nèi)存不足。
但如果我們使用的是 gigabite 的網(wǎng)絡(luò),將這二個值調(diào)大會有明顯效能的提升。
傳送及接收的暫存區(qū)大小可以分開調(diào)整,
例如,假設(shè)我們的系統(tǒng)主要做為網(wǎng)頁服務(wù)器,我們可以將接收的暫存區(qū)調(diào)小一點,并將傳送的暫存區(qū)調(diào)大,如此一來,我們就可以避免占去太多的核心內(nèi)存空間。
net.inet.udp.maxdgram: 9216
#########################
最大的發(fā)送UDP數(shù)據(jù)緩沖區(qū)大小,網(wǎng)上的資料大多都是65536,我個人認(rèn)為沒多大必要,
如果要調(diào)整,可以試試24576。
##############################
net.inet.udp.recvspace: 42080
##################
最大的接受UDP緩沖區(qū)大小,網(wǎng)上的資料大多都是65536,我個人認(rèn)為沒多大必要,
如果要調(diào)整,可以試試49152。
#######################
以上四項配置通常不會導(dǎo)致問題,一般說來網(wǎng)絡(luò)流量是不對稱的,因此應(yīng)該根據(jù)實際情況調(diào)整,并觀察其效果。
如果我們將傳送或接收的暫存區(qū)設(shè)為大于 65535,除非服務(wù)器本身及客戶端所使用的操作系統(tǒng)都支持 TCP 協(xié)議的 windows scaling extension (請參考 RFC 1323 文件)。
FreeBSD默認(rèn)已支持 rfs1323 (即 sysctl 的 net.inet.tcp.rfc1323 選項)。
###################################################
net.inet.tcp.log_in_vain: 0
##################
記錄下任何TCP連接,這個一般情況下不應(yīng)該更改。
####################
net.inet.tcp.blackhole: 0
##################################
建議設(shè)置為2,接收到一個已經(jīng)關(guān)閉的端口發(fā)來的所有包,直接drop,如果設(shè)置為1則是只針對TCP包
#####################################
net.inet.tcp.delayed_ack: 1
###########################
當(dāng)一臺計算機(jī)發(fā)起TCP連接請求時,系統(tǒng)會回應(yīng)ACK應(yīng)答數(shù)據(jù)包。
該選項設(shè)置是否延遲ACK應(yīng)答數(shù)據(jù)包,把它和包含數(shù)據(jù)的數(shù)據(jù)包一起發(fā)送。
在高速網(wǎng)絡(luò)和低負(fù)載的情況下會略微提高性能,但在網(wǎng)絡(luò)連接較差的時候,
對方計算機(jī)得不到應(yīng)答會持續(xù)發(fā)起連接請求,反而會讓網(wǎng)絡(luò)更加擁堵,降低性能。
因此這個值我建議您看情況而定,如果您的網(wǎng)速不是問題,可以將封包數(shù)量減少一半
如果網(wǎng)絡(luò)不是特別好,那么就設(shè)置為0,有請求就先回應(yīng),這樣其實浪費的網(wǎng)通、電信的帶寬速率而不是你的處理時間:)
############################
net.inet.tcp.inflight.enable: 1
net.inet.tcp.inflight.debug: 0
net.inet.tcp.inflight.rttthresh: 10
net.inet.tcp.inflight.min: 6144
net.inet.tcp.inflight.max: 1073725440
net.inet.tcp.inflight.stab: 20
###########################
限制 TCP 帶寬延遲積和 NetBSD 的 TCP/Vegas 類似。
它可以通過將 sysctl 變量 net.inet.tcp.inflight.enable 設(shè)置成 1 來啟用。
系統(tǒng)將嘗試計算每一個連接的帶寬延遲積,并將排隊的數(shù)據(jù)量限制在恰好能保持最優(yōu)吞吐量的水平上。
這一特性在您的服務(wù)器同時向使用普通調(diào)制解調(diào)器,千兆以太網(wǎng),乃至更高速度的光與網(wǎng)絡(luò)連接 (或其他帶寬延遲積很大的連接) 的時候尤為重要,
特別是當(dāng)您同時使用滑動窗縮放,或使用了大的發(fā)送窗口的時候。
如果啟用了這個選項,您還應(yīng)該把 net.inet.tcp.inflight.debug 設(shè)置為 0 (禁用調(diào)試),
對于生產(chǎn)環(huán)境而言, 將 net.inet.tcp.inflight.min 設(shè)置成至少 6144 會很有好處。
然而, 需要注意的是,這個值設(shè)置過大事實上相當(dāng)于禁用了連接帶寬延遲積限制功能。
這個限制特性減少了在路由和交換包隊列的堵塞數(shù)據(jù)數(shù)量,也減少了在本地主機(jī)接口隊列阻塞的數(shù)據(jù)的數(shù)量。
在少數(shù)的等候隊列中、交互式連接,尤其是通過慢速的調(diào)制解調(diào)器,也能用低的 往返時間操作。
但是,注意這只影響到數(shù)據(jù)發(fā)送 (上載/服務(wù)端)。對數(shù)據(jù)接收(下載)沒有效果。
調(diào)整 net.inet.tcp.inflight.stab 是 不 推薦的。
這個參數(shù)的默認(rèn)值是 20,表示把 2 個最大包加入到帶寬延遲積窗口的計算中。
額外的窗口似的算法更為穩(wěn)定,并改善對于多變網(wǎng)絡(luò)環(huán)境的相應(yīng)能力,
但也會導(dǎo)致慢速連接下的 ping 時間增長 (盡管還是會比沒有使用 inflight 算法低許多)。
對于這些情形, 您可能會希望把這個參數(shù)減少到 15, 10, 或 5;
并可能因此而不得不減少 net.inet.tcp.inflight.min (比如說, 3500) 來得到希望的效果。
減少這些參數(shù)的值, 只應(yīng)作為最后不得已時的手段來使用。
############################
net.inet.tcp.syncookies: 1
#########################
SYN cookies是一種用于通過選擇加密的初始化TCP序列號,可以對回應(yīng)的包做驗證來降低SYN'洪水'攻擊的影響的技術(shù)。
默認(rèn)即是,不需修改
########################
net.inet.tcp.msl: 30000
#######################
這個值網(wǎng)上很多文章都推薦的7500,
還可以改的更小一些(如2000或2500),這樣可以加快不正常連接的釋放過程(三次握手2秒、FIN_WAIT4秒)。
#########################
net.inet.tcp.always_keepalive: 1
###########################
幫助系統(tǒng)清除沒有正常斷開的TCP連接,這增加了一些網(wǎng)絡(luò)帶寬的使用,但是一些死掉的連接最終能被識別并清除。
死的TCP連接是被撥號用戶存取的系統(tǒng)的一個特別的問題,因為用戶經(jīng)常斷開modem而不正確的關(guān)閉活動的連接。
#############################
net.inet.udp.checksum: 1
#########################
防止不正確的udp包的攻擊,默認(rèn)即是,不需修改
##############################
net.inet.udp.log_in_vain: 0
#######################
記錄下任何UDP連接,這個一般情況下不應(yīng)該修改。
#######################
net.inet.udp.blackhole: 0
####################
建議設(shè)置為1,接收到一個已經(jīng)關(guān)閉的端口發(fā)來的所有UDP包直接drop
#######################
net.inet.raw.maxdgram: 8192
#########################
Maximum outgoing raw IP datagram size
很多文章建議設(shè)置為65536,好像沒多大必要。
######################################
net.inet.raw.recvspace: 8192
######################
Maximum incoming raw IP datagram size
很多文章建議設(shè)置為65536,好像沒多大必要。
#######################
net.link.ether.inet.max_age: 1200
####################
調(diào)整ARP清理的時間,通過向IP路由緩沖填充偽造的ARP條目可以讓惡意用戶產(chǎn)生資源耗竭和性能減低攻擊。
這項似乎大家都未做改動,我建議不動或者稍微減少,比如300(HP-UX默認(rèn)的5分鐘)
#######################
net.inet6.ip6.redirect: 1
###############################
設(shè)置為0,屏蔽ipv6重定向功能
###########################
net.isr.direct: 0
#################
http://www.bsdlover.cn#########
所有MPSAFE的網(wǎng)絡(luò)ISR對包做立即響應(yīng),提高網(wǎng)卡性能,設(shè)置為1。
####################################
hw.ata.wc: 1
#####################
這個選項用來打開 IDE 硬盤快取。當(dāng)打開時,如果有數(shù)據(jù)要寫入硬盤時,硬盤會假裝已完成寫入,并將數(shù)據(jù)快取起來。
這種作法會加速硬盤的存取速度,但當(dāng)系統(tǒng)異常關(guān)機(jī)時,比較容易造成數(shù)據(jù)遺失。
不過由于關(guān)閉這個功能所帶來的速度差異實在太大,建議還是保留原本打開的狀態(tài)吧,不做修改。
###################
security.bsd.see_other_uids: 1
security.bsd.see_other_gids: 1
#####################
不允許用戶看到其他用戶的進(jìn)程,因此應(yīng)該改成0,
#######################