centos7.5线上系统基本优化.docx

### CentOS 7.5 线上系统及内核优化详解 #### 一、概述 在实际运维工作中，为了确保服务器稳定高效运行，系统优化变得至关重要。本文将针对CentOS 7.5版本进行一系列系统级别与内核级别的优化操作，并结合实际应用场景详细解释各项配置的作用及其背后的原理。 #### 二、文件句柄优化 - **fs.file-max=12553500**: 此项用于设定系统所能打开的最大文件句柄数。较高的数值能够支持更多的并发连接和文件操作，适合高负载的服务环境。 - **fs.nr_open=12453500**: 单个进程所能打开的最大文件句柄数。同样地，增加此数值可以提升单个进程的并发处理能力。 #### 三、IPv6 关闭 - **net.ipv6.conf.all.disable_ipv6=1** 及 **net.ipv6.conf.default.disable_ipv6=1**: 这两条配置分别关闭了全局和默认网卡上的IPv6协议栈。对于不使用IPv6的服务环境，关闭它能够减少不必要的资源消耗和潜在的安全风险。 #### 四、ICMP 攻击防护 - **net.ipv4.icmp_echo_ignore_broadcasts=1**: 当设置为1时，系统会忽略广播地址的ICMP echo请求（ping命令），防止反射式放大攻击。 - **net.ipv4.icmp_ignore_bogus_error_responses=1**: 开启恶意ICMP错误消息保护，避免因无效或伪造的ICMP错误消息导致的系统资源浪费。 #### 五、路由转发控制 - **net.ipv4.ip_forward=0**: 关闭IP转发功能。除非服务器作为路由器或网关设备，否则关闭该功能可以避免不必要的安全风险。 - **net.ipv4.conf.all.send_redirects=0** 和 **net.ipv4.conf.default.send_redirects=0**: 禁止系统向其他主机发送重定向消息。这对于大多数服务器来说都是安全的做法，因为这可以减少中间人攻击的可能性。 #### 六、反向路径过滤 - **net.ipv4.conf.all.rp_filter=1** 和 **net.ipv4.conf.default.rp_filter=1**: 启用反向路径过滤功能，可以有效地过滤掉不符合正常路径规则的数据包，从而提高安全性。 - **net.ipv4.conf.all.accept_source_route=0** 和 **net.ipv4.conf.default.accept_source_route=0**: 禁止处理源路由包。这样可以防止攻击者通过指定路由来绕过防火墙或其他安全措施。 #### 七、TCP 连接优化 - **net.ipv4.tcp_no_metrics_save=1**: 默认情况下，系统会保存已关闭TCP连接的一些参数以便后续连接复用。关闭该功能可以节省内核内存，但可能会略微降低连接建立的速度。 - **net.ipv4.tcp_syncookies=1**: 在SYN等待队列溢出时启用SYN cookies机制，这可以有效防止SYN泛洪攻击。 - **net.ipv4.tcp_max_tw_buckets=6000**: 设置TIME_WAIT状态的最大桶数。减小该数值可以减少内存占用，但也可能增加重用端口的时间间隔。 - **net.ipv4.tcp_sack=1** 和 **net.ipv4.tcp_window_scaling=1**: 开启选择性确认(SACK)和窗口缩放功能，显著提高了TCP/IP协议的数据传输能力和效率。 - **net.ipv4.tcp_mem=94500000 91500000 92700000**: 该参数用于定义TCP连接缓存区的大小。合理的调整可以更好地匹配网络带宽和系统负载。 - **net.ipv4.tcp_rmem=4096 87380 16777216** 和 **net.ipv4.tcp_wmem=4096 65535 16777216**: 设置TCP接收和发送缓冲区的最小、初始和最大值。增大缓冲区可以提高数据传输效率，但也需考虑内存资源的限制。 - **net.core.netdev_max_backlog=30000**: 定义每个网络接口接收数据包的速率超过内核处理速度时，队列中允许的最大数据包数。增大此值可以有效应对高并发场景。 - **net.core.somaxconn=65535**: 设置listen状态下套接字的最大待处理连接数。增大此值可以提高服务器处理大量连接请求的能力。 #### 八、其他优化配置 - **kernel.sysrq=0**: 关闭sysrq功能，避免意外触发可能导致系统不稳定的操作。 - **kernel.core_uses_pid=1**: 在core文件名中添加PID作为扩展名，便于识别不同进程产生的core文件。 - **net.ipv4.tcp_timestamps=0**: 禁用TCP时间戳选项，可以提高某些老旧设备的兼容性，但可能降低数据传输性能。 - **net.ipv4.tcp_synack_retries=2** 和 **net.ipv4.tcp_syn_retries=2**: 分别设置内核放弃建立连接之前发送SYNACK和SYN包的数量。减少重试次数可以更快地释放资源，但可能增加连接失败的风险。 - **net.ipv4.tcp_tw_recycle=1**: 启用TCP TIME_WAIT快速回收机制，有助于减少TIME_WAIT状态连接的数量，尤其是在高并发场景下更为有效。 #### 结论 通过对CentOS 7.5的系统和内核进行上述优化配置，可以显著提升服务器的性能和安全性。需要注意的是，在实际应用中还需根据具体的业务场景和硬件条件灵活调整相关参数，以达到最佳的优化效果。