linux內核調優

Ⅰ linux做過哪些優化

⑴登錄系統:不使用root登錄，通過sudo授權管理，使用普通用戶登錄。
⑵禁止SSH遠程：更改默認的遠程連接SSH服務及禁止root遠程連接。
⑶時間同步：定時自動更新伺服器時間。
⑷配置yum更新源，從國內更新下載安裝rpm包。
⑸關閉selinux及iptables（iptables工作場景如有wan ip，一般要打開，高並發除外）
⑹調整文件描述符數量，進程及文件的打開都會消耗文件描述符。
⑺定時自動清理/var/spool/clientmquene/目錄垃圾文件，防止節點被占滿（c6.4默認沒有sendmail，因此可以不配。）
⑻精簡開機啟動服務（crond、sshd、network、rsyslog）
⑼Linux內核參數優化/etc/sysctl.conf，執行sysct -p生效。
更改字元集，支持中文，但是還是建議使用英文，防止亂碼問題出現。
⑾鎖定關鍵系統文件（chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab 處理以上內容後，把chatter改名，就更安全了。）
⑿清空/etc/issue，去除系統及內核版本登陸前的屏幕顯示。

Ⅱ 如何調整Linux內核啟動中的驅動初始化順序

【問題】 此處我要實現的是將晶元的ID用於網卡MAC地址，網卡驅動是enc28j60_init。 但是，讀取晶元ID的函數，在as352x_afe_init模塊中，所以要先初始化as352x_afe_init。 此處，內核編譯完之後，在生成的system.map中可以看到， enc28j60_init在as352x_afe_init之前，所以，無法去讀晶元ID。 所以我們的目標是，將as352x_afe_init驅動初始化放到enc28j60_init之前， 然後才能讀取晶元ID，才能用於網卡初始化的時候的，將晶元ID設置成網卡物悔MAC地址。

【解決過程】

【1】

最簡單想到的，罩褲正是內核裡面的

archarmmach-as352xcore.c

中，去改devices設備列表中的順序。

enc28j60_init對應的是ssp_device，因為網卡初始化用到的是SPI驅動去進行和通訊的。

as352x_afe_init對應的是afe_device。

原先是：

把afe改到最前面：

但是，實際結果是，沒有任何影響，連systemp.map生成的，那麼模塊初始化順序，都沒有任何變化。 也就說明，想要實現驅動載入順序的改變，改core.c裡面的設備列表順序是沒有用的。

更多linux內核視頻教程文檔資料免費領取後台私信 【內核】 自行獲取.

Linux內核源碼/內存調優/文件系統/進程管理/設備驅動/網路協議棧-學習視頻教程-騰訊課堂

【2】

在網上看到很多帖子，其說明的也很清楚了，就是：

Linux內核為不同驅動的載入順序對應不同的優先順序，定義了一些宏：

includelinuxinit.h

把自己的驅動的函數名用這些宏去定義之後， 就會對應不同的載入時候的優先順序。

其中，我們寫驅動中所用到的mole_init對應的是 #define mole_init(x) __initcall(x); 而 #define __initcall(fn) device_initcall(fn) 所以，驅動對應的載入的優先順序為6

在上面的不同的優先順序中， 數字越小，優先純穗級越高。 同一等級的優先順序的驅動，載入順序是鏈接過程決定的，結果是不確定的，我們無法去手動設置誰先誰後。 不同等級的驅動載入的順序是先優先順序高，後優先順序低，這是可以確定的。

所以，像我們之前在驅動中用：

所以，大家都是同一個優先順序去初始化，

最後這些驅動載入的順序，可以查看在根目錄下，

生成的system.map：

此處就是由於 c0019920 t __initcall_i2c_dev_init6 c0019924 t __initcall_as352x_afe_i2c_init6 c0019928 t __initcall_as352x_afe_init6 在c00198e4 t __initcall_enc28j60_init6之前，所以我這里才要去改。。。 知道原理，能想到的，就是要麼把as352x_afe_init改到enc28j60_init之前一級，即優先順序為5。即在驅動中，調用：fs_initcall(as352x_afe_init)；要麼把enc28j60_init改到as352x_afe_init之後，即優先順序為7即在驅動中，調用：late_initcall(enc28j60_init)；但是，此處麻煩就麻煩在，如果把as352x_afe_init改到enc28j60_init之前一級，發現後面網卡初始化enc28j60_init中，雖然讀取晶元ID對了，但是後面的IP-auto configure 有問題。所以放棄。 如果把enc28j60_init改到as352x_afe_init之後，但是，從system.map中看到的是，優先順序為7的驅動中，明顯有幾個驅動，也是和網卡初始化相關的，所以，這樣改，嘗試後，還是失敗了。 所以，沒法簡單的通過調整現有的驅動的順序，去實現順序的調整。最後，被逼無奈，想到了一個可以實現我們需求的辦法，那就是，單獨定義一個優先順序，把afe相關的初始化都放到那裡面去，這樣，就可以保證，其他沒什麼相關的沖突了。最後證實，這樣是可以實現目的的。

具體添加一個新的優先順序的步驟如下： 1.定義新的優先順序 includelinuxinit.h中：

2.用對應新的宏，定義我們的驅動：

做到這里，本以為可以了，但是編譯後，在system.map中，發現之前優先順序為7的那幾個函數，被放到system.map最後了，而不是預想的，在優先順序7之後，在

之前。最後，發現時沒有把對應的鏈接文件中的宏加進去：

3.includeasm-genericvmlinux.lds.h

最後，再重新編譯，就可以實現我們要的，和afe相關的驅動初始化，都在網卡enc28j60_init之前了。也就可以在網卡裡面讀晶元ID了。當然，對應編譯生成的system.map文件中，對應的通過mole_init定義的驅動，優先順序也都變成7了。而late_initcall對應優先順序8了。 註：當前開發板arm的板子，所以，對應的load 腳本在：

linux-2.6.28.4archarmkernelvmlinux.lds 看起來，應該是這個文件： linux-2.6.28.4archarmkernelvmlinux.lds.S 生成上面那個腳本的。vmlinux.lds中的這一行：

就是將之前那些對應的init類型的函數，展開，放到這對應的位置。

【3】 不過，最後的最後，竟然發現網卡還是工作不正常，結果第二天，無意間發現是網卡地址設置導致網卡工作不正常的。 也就是說，實際是直接將afe設置到原先的優先順序5就可以的，而不用這么麻煩去改系統的東西的...

不過，至少這也是一種辦法，雖然不是那麼的好...

Ⅲ linux 內核參數優化

一、Sysctl命令用來配置與顯示在/proc/sys目錄中的內核參數．如果想使參數長期保存，可以通過編輯/etc/sysctl.conf文件來實現。

命令格式：
sysctl [-n] [-e] -w variable=value
sysctl [-n] [-e] -p (default /etc/sysctl.conf)
sysctl [-n] [-e] –a

常用參數的意義：
-w 臨時改變某個指定參數的值，如
# sysctl -w net.ipv4.ip_forward=1
-a 顯示所有的系統參數
-p從指定的文件載入系統參數,默認從/etc/sysctl.conf 文件中載入，如：

以上兩種方法都可能立即開啟路由功能，但如果系統重啟，或執行了
# service network restart
命令，所設置的值即會丟失，如果想永久保留配置，可以修改/etc/sysctl.conf文件，將 net.ipv4.ip_forward=0改為net.ipv4.ip_forward=1

二、linux內核參數調整：linux 內核參數調整有兩種方式

方法一：修改/proc下內核參數文件內容，不能使用編輯器來修改內核參數文件，理由是由於內核隨時可能更改這些文件中的任意一個，另外，這些內核參數文件都是虛擬文件，實際中不存在，因此不能使用編輯器進行編輯，而是使用echo命令，然後從命令行將輸出重定向至 /proc 下所選定的文件中。如：將 timeout_timewait 參數設置為30秒：

參數修改後立即生效，但是重啟系統後，該參數又恢復成默認值。因此，想永久更改內核參數，需要修改/etc/sysctl.conf文件

方法二．修改/etc/sysctl.conf文件。檢查sysctl.conf文件，如果已經包含需要修改的參數，則修改該參數的值，如果沒有需要修改的參數，在sysctl.conf文件中添加參數。如：
net.ipv4.tcp_fin_timeout=30
保存退出後，可以重啟機器使參數生效，如果想使參數馬上生效，也可以執行如下命令：

三、sysctl.conf 文件中參數設置及說明
proc/sys/net/core/wmem_max
最大socket寫buffer,可參考的優化值:873200

/proc/sys/net/core/rmem_max
最大socket讀buffer,可參考的優化值:873200
/proc/sys/net/ipv4/tcp_wmem
TCP寫buffer,可參考的優化值: 8192 436600 873200

/proc/sys/net/ipv4/tcp_rmem
TCP讀buffer,可參考的優化值: 32768 436600 873200

/proc/sys/net/ipv4/tcp_mem
同樣有3個值,意思是:
net.ipv4.tcp_mem[0]:低於此值,TCP沒有內存壓力.
net.ipv4.tcp_mem[1]:在此值下,進入內存壓力階段.
net.ipv4.tcp_mem[2]:高於此值,TCP拒絕分配socket.
上述內存單位是頁,而不是位元組.可參考的優化值是:786432 1048576 1572864

/proc/sys/net/core/netdev_max_backlog
進入包的最大設備隊列.默認是300,對重負載伺服器而言,該值太低,可調整到1000

/proc/sys/net/core/somaxconn
listen()的默認參數,掛起請求的最大數量.默認是128.對繁忙的伺服器,增加該值有助於網路性能.可調整到256.

/proc/sys/net/core/optmem_max
socket buffer的最大初始化值,默認10K

/proc/sys/net/ipv4/tcp_max_syn_backlog
進入SYN包的最大請求隊列.默認1024.對重負載伺服器,可調整到2048

/proc/sys/net/ipv4/tcp_retries2
TCP失敗重傳次數,默認值15,意味著重傳15次才徹底放棄.可減少到5,盡早釋放內核資源.

/proc/sys/net/ipv4/tcp_keepalive_time
/proc/sys/net/ipv4/tcp_keepalive_intvl
/proc/sys/net/ipv4/tcp_keepalive_probes
這3個參數與TCP KeepAlive有關.默認值是:
tcp_keepalive_time = 7200 seconds (2 hours)
tcp_keepalive_probes = 9
tcp_keepalive_intvl = 75 seconds
意思是如果某個TCP連接在idle 2個小時後,內核才發起probe.如果probe 9次(每次75秒)不成功,內核才徹底放棄,認為該連接已失效.對伺服器而言,顯然上述值太大. 可調整到:
/proc/sys/net/ipv4/tcp_keepalive_time 1800
/proc/sys/net/ipv4/tcp_keepalive_intvl 30
/proc/sys/net/ipv4/tcp_keepalive_probes 3

/proc/sys/net/ipv4/ip_local_port_range
指定埠范圍的一個配置,默認是32768 61000,已夠大.
net.ipv4.tcp_syncookies = 1
表示開啟SYN Cookies。當出現SYN等待隊列溢出時，啟用cookies來處理，可防範少量SYN攻擊，默認為0，表示關閉；

net.ipv4.tcp_tw_reuse = 1
表示開啟重用。允許將TIME-WAIT sockets重新用於新的TCP連接，默認為0，表示關閉；

net.ipv4.tcp_tw_recycle = 1
表示開啟TCP連接中TIME-WAIT sockets的快速回收，默認為0，表示關閉。

net.ipv4.tcp_fin_timeout = 30
表示如果套接字由本端要求關閉，這個參數決定了它保持在FIN-WAIT-2狀態的時間。

net.ipv4.tcp_keepalive_time = 1200
表示當keepalive起用的時候，TCP發送keepalive消息的頻度。預設是2小時，改為20分鍾。

net.ipv4.ip_local_port_range = 1024 65000
表示用於向外連接的埠范圍。預設情況下很小：32768到61000，改為1024到65000。

net.ipv4.tcp_max_syn_backlog = 8192
表示SYN隊列的長度，默認為1024，加大隊列長度為8192，可以容納更多等待連接的網路連接數。

net.ipv4.tcp_max_tw_buckets = 5000
表示系統同時保持TIME_WAIT套接字的最大數量，如果超過這個數字，TIME_WAIT套接字將立刻被清除並列印警告信息。默認為 180000，改為 5000。對於Apache、Nginx等伺服器，上幾行的參數可以很好地減少TIME_WAIT套接字數量，但是對於Squid，效果卻不大。此項參數可以控制TIME_WAIT套接字的最大數量，避免Squid伺服器被大量的TIME_WAIT套接字拖死。

Linux上的NAT與iptables
談起Linux上的NAT，大多數人會跟你提到iptables。原因是因為iptables是目前在linux上實現NAT的一個非常好的介面。它通過和內核級直接操作網路包，效率和穩定性都非常高。這里簡單列舉一些NAT相關的iptables實例命令，可能對於大多數實現有多幫助。
這里說明一下，為了節省篇幅，這里把准備工作的命令略去了，僅僅列出核心步驟命令，所以如果你單單執行這些沒有實現功能的話，很可能由於准備工作沒有做好。如果你對整個命令細節感興趣的話，可以直接訪問我的《如何讓你的Linux網關更強大》系列文章，其中對於各個腳本有詳細的說明和描述。

EXTERNAL="eth0"
INTERNAL="eth1"

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $EXTERNAL -j MASQUERADE

LOCAL_EX_IP=11.22.33.44 #設定網關的外網卡ip，對於多ip情況，參考《如何讓你的Linux網關更強大》系列文章
LOCAL_IN_IP=192.168.1.1 #設定網關的內網卡ip
INTERNAL="eth1" #設定內網卡

echo 1 > /proc/sys/net/ipv4/ip_forward

modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

iptables -t nat -A PREROUTING -d $LOCAL_EX_IP -p tcp --dport 80 -j DNAT --to 192.168.1.10

iptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to $LOCAL_IN_IP

iptables -A FORWARD -o $INTERNAL -d 192.168.1.10 -p tcp --dport 80 -j ACCEPT

iptables -t nat -A OUTPUT -d $LOCAL_EX_IP -p tcp --dport 80 -j DNAT --to 192.168.1.10
獲取系統中的NAT信息和診斷錯誤
了解/proc目錄的意義
在Linux系統中，/proc是一個特殊的目錄，proc文件系統是一個偽文件系統，它只存在內存當中，而不佔用外存空間。它包含當前系統的一些參數（variables）和狀態（status）情況。它以文件系統的方式為訪問系統內核數據的操作提供介面
通過/proc可以了解到系統當前的一些重要信息，包括磁碟使用情況，內存使用狀況，硬體信息，網路使用情況等等，很多系統監控工具（如HotSaNIC）都通過/proc目錄獲取系統數據。
另一方面通過直接操作/proc中的參數可以實現系統內核參數的調節，比如是否允許ip轉發，syn-cookie是否打開，tcp超時時間等。
獲得參數的方式：
第一種：cat /proc/xxx/xxx，如 cat /proc/sys/net/ipv4/conf/all/rp_filter
第二種：sysctl xxx.xxx.xxx，如 sysctl net.ipv4.conf.all.rp_filter
改變參數的方式：
第一種：echo value > /proc/xxx/xxx，如 echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
第二種：sysctl [-w] variable=value，如 sysctl [-w] net.ipv4.conf.all.rp_filter=1
以上設定系統參數的方式只對當前系統有效，重起系統就沒了，想要保存下來，需要寫入/etc/sysctl.conf文件中
通過執行 man 5 proc可以獲得一些關於proc目錄的介紹
查看系統中的NAT情況
和NAT相關的系統變數
/proc/slabinfo：內核緩存使用情況統計信息（Kernel slab allocator statistics）
/proc/sys/net/ipv4/ip_conntrack_max：系統支持的最大ipv4連接數，默認65536（事實上這也是理論最大值）
/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established 已建立的tcp連接的超時時間，默認432000，也就是5天
和NAT相關的狀態值
/proc/net/ip_conntrack：當前的前被跟蹤的連接狀況，nat翻譯表就在這里體現（對於一個網關為主要功能的Linux主機，裡面大部分信息是NAT翻譯表）
/proc/sys/net/ipv4/ip_local_port_range：本地開放埠范圍，這個范圍同樣會間接限制NAT表規模

cat /proc/sys/net/ipv4/ip_conntrack_max

cat /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established

cat /proc/net/ip_conntrack

cat /proc/sys/net/ipv4/ip_local_port_range

wc -l /proc/net/ip_conntrack

grep ip_conntrack /proc/slabinfo | grep -v expect | awk '{print 2;}'

grep ip_conntrack /proc/slabinfo | grep -v expect | awk '{print 3;}'

cat /proc/net/ip_conntrack | cut -d ' ' -f 10 | cut -d '=' -f 2 | sort | uniq -c | sort -nr | head -n 10

cat /proc/net/ip_conntrack | perl -pe s/^(.*?)src/src/g | cut -d ' ' -f1 | cut -d '=' -f2 | sort | uniq -c | sort -nr | head -n 10

Ⅳ 一般優化linux的內核，需要優化什麼參數

首先要知道一點所有的TCP/IP的參數修改是臨時的，因為它們都位於/PROC/SYS/NET目錄下，如果想使參數長期保存，可以通過編輯/ETC/SYSCTL.CONF文件來實現，這里不做詳細說明，只針對Linux的TCPIP內核參數優化列舉相關參數：

1、為自動調優定義socket使用的內存

2、默認的TCP數據接收窗口大小（位元組）

3、最大的TCP數據接收窗口

4、默認的TCP發送窗口大小

5、最大的TCP數據發送窗口

6、在每個網路介面接收數據包的速率比內核處理這些包速率快時，允許送到隊列的數據包最大數目

7、定義了系統中每一個埠最大的監聽隊列長度

8、探測消息未獲得相應時，重發該消息的間隔時間

9、在認定tcp連接失效之前，最多發送多少個keepalive探測消息等。

Ⅳ Linux性能監控與調優工具

除了保證程序的正確性以外，在項目開發中往往還關心性能和穩定性。我們往往要對內核、應用程序或整個系統進行性能優化。在性能優化中常用的手段如下：

1. 使用top、vmstat、iostat、sysctl等常用工具

top命令用於顯示處理器的活動狀況。在預設情況下，顯示佔用CPU最多的任務，並且每隔5s做一次刷新;vmstat命令用於報告關於內核線程、虛擬內存、磁碟、陷阱和CPU活動的統計信息;iostat命令用於分析各個磁碟的傳輸閑忙狀況;netstat是用來檢測網路信息的工具; sar用於收集、報告或者保存系統活動信息，其中，sar用於顯示數據，sar1和sar2用於收集和保存數據

sysctl是一個可用於改變正在運行中的Linux系統的介面。用sysctl 可以讀取幾白個以上的系統變數,如用sysctl—a可讀取所有變數。

sysctl的實現原理是:所有的內核參數在/proc/sys中形成一個樹狀結構，sysctl系統調用的內核函數是sys_sysctl，匹配項目後，最後的讀寫在do_sysctl_strategy中完成。

2.使用高級分析手段，如OProfile、gprof

OProfile可以幫助用戶識別諸如模塊的佔用時間、循環的展開、高速緩存的使用率低、低效的類型轉換和冗餘操作、錯誤預測轉移等問題。它收集有關處理器事件的信息，其中包括TLB的故障、停機、存儲器訪問以及緩存命中和未命中的指令的攫取數量。OProfile支持兩種采樣方式:基於事件的采樣（Event Based)和基於時間的采樣(Time Based)。基於事件的采樣是OProfile只記錄特定事件（比如L2緩存未命中）的發生次數，當達到用戶設定的定值時Oprofile就記錄一下(采一個樣)。這種方式需要CPU內部有性能計數器(Performace Counter)）。基於時間的采樣是OProfile藉助OS時鍾中斷的機制，在每個時鍾中斷，OProfile都會記錄一次(采一次樣）。引入它的目的在於，提供對沒有性能計數器的CPU的支持，其精度相對於基於事件的采樣要低，因為要藉助OS時鍾中斷的支持，對於禁用中斷的代碼，OProfile不能對其進行分析。

Ⅵ linux ulimit -u是設置什麼參數的

ulimit 是linux操作系統常用的優化參數命令。

-u number:設猜謹腔置用戶最大進程數 （max user processes）

常用的ulimit 命令參數：

-a 顯示當前所有的資源限制.

-f size:設置創建文件的最大值.單位:blocks

-m size:設置可以使用的常駐內存的穗衫最大值.單位:kbytes

-n size:設置內核可以同時打開的文件描述符的最大值.單位:n

-u number:設置用戶最大進程晌亂數 （max user processes）

Ⅶ 安全開發運維必備的Nginx代理Web伺服器性能優化與安全加固配置

為了更好的指導部署與測試藝術升系統nginx網站伺服器高性能同時下安全穩定運行,需要對nginx服務進行調優與加固;

本次進行Nginx服務調優加固主要從以下幾個部分：

本文檔僅供內部使用，禁止外傳，幫助研發人員，運維人員對系統長期穩定的運行提供技術文檔參考。

Nginx是一個高性能的HTTP和反向代理伺服器，也是一個IMAP/POP3/SMTP伺服器。Nginx作為負載均衡伺服器, Nginx 既可以在內部直接支持 Rails 和 PHP 程序對外進行服務，也可以支持作為 HTTP代理伺服器對外進行服務。

Nginx版本選擇:

項目結構:

Nginx文檔幫助: http://nginx.org/en/docs/
Nginx首頁地址目錄: /usr/share/nginx/html
Nginx配置文件:

localtion 請求匹配的url實是一個正則表達式:

Nginx 匹配判斷表達式:

例如,匹配末尾為如下後綴的靜態並判斷是否存在該文件, 如不存在則404。

查看可用模塊編譯參數：http://nginx.org/en/docs/configure.html

http_gzip模塊
開啟gzip壓縮輸出(常常是大於1kb的靜態文件)，減少網路傳輸;

http_fastcgi_mole模塊
nginx可以用來請求路由到FastCGI伺服器運行應用程序由各種框架和PHP編程語言等。可以開啟FastCGI的緩存功能以及將靜態資源進行剝離，從而提高性能。

keepalive模塊
長連接對性能有很大的影響，通過減少CPU和網路開銷需要開啟或關閉連接;

http_ssl_mole模塊
Nginx開啟支持Https協議的SSL模塊

Linux內核參數部分默認值不適合高並發,Linux內核調優，主要涉及到網路和文件系統、內存等的優化，

下面是我常用的內核調優配置：

文件描述符
文件描述符是操作系統資源，用於表示連接、打開的文件，以及其他信息。NGINX 每個連接可以使用兩個文件描述符。
例如如果NGINX充當代理時，通常一個文件描述符表示客戶端連接，另一個連接到代理伺服器，如果開啟了HTTP 保持連接，這個比例會更低（譯註：為什麼更低呢）。

對於有大量連接服務的系統，下面的設置可能需要調整一下：

精簡模塊:Nginx由於不斷添加新的功能，附帶的模塊也越來越多,建議一般常用的伺服器軟體使用源碼編譯安裝管理;

(1) 減小Nginx編譯後的文件大小

(2) 指定GCC編譯參數
修改GCC編譯參數提高編譯優化級別穩妥起見採用 -O2 這也是大多數軟體編譯推薦的優化級別。

GCC編譯參數優化 [可選項] 總共提供了5級編譯優化級別：

常用編譯參數:

緩存和壓縮與限制可以提高性能
NGINX的一些額外功能可用於提高Web應用的性能，調優的時候web應用不需要關掉但值得一提，因為它們的影響可能很重要。

簡單示例:

1) 永久重定向

例如，配置 http 向 https 跳轉 (永久)

nginx配置文件指令優化一覽表

描述:Nginx因為安全配置不合適導致的安全問題,Nginx的默認配置中存在一些安全問題,例如版本號信息泄露、未配置使用SSL協議等。
對Nginx進行安全配置可以有效的防範一些常見安全問題，按照基線標准做好安全配置能夠減少安全事件的發生,保證採用Nginx伺服器系統應用安全運行;

Nginx安全配置項：

溫馨提示: 在修改相應的源代碼文件後需重新編譯。

設置成功後驗證:

應配置非root低許可權用戶來運行nginx服務,設置如下建立Nginx用戶組和用戶，採用user指令指運行用戶

加固方法:

我們應該為提供的站點配置Secure Sockets Layer Protocol (SSL協議)，配置其是為了數據傳輸的安全，SSL依靠證書來驗證伺服器的身份，並為瀏覽器和伺服器之間的通信加密。

不應使用不安全SSLv2、SSLv3協議即以下和存在脆弱性的加密套件(ciphers), 我們應該使用較新的TLS協議也應該優於舊的,並使用安全的加密套件。

HTTP Referrer Spam是垃圾信息發送者用來提高他們正在嘗試推廣的網站的互聯網搜索引擎排名一種技術，如果他們的垃圾信息鏈接顯示在訪問日誌中，並且這些日誌被搜索引擎掃描，則會對網站排名產生不利影響
加固方法:

當惡意攻擊者採用掃描器進行掃描時候利用use-agent判斷是否是常用的工具掃描以及特定的版本,是則返回錯誤或者重定向;

Nginx支持webdav，雖然默認情況下不會編譯。如果使用webdav，則應該在Nginx策略中禁用此規則。
加固方法: dav_methods 應設置為off

當訪問一個特製的URL時，如"../nginx.status"，stub_status模塊提供一個簡短的Nginx伺服器狀態摘要,大多數情況下不應啟用此模塊。
加固方法：nginx.conf文件中stub_status不應設置為：on

如果在瀏覽器中出現Nginx自動生成的錯誤消息，默認情況下會包含Nginx的版本號,這些信息可以被攻擊者用來幫助他們發現伺服器的潛在漏洞
加固方法: 關閉"Server"響應頭中輸出的Nginx版本號將server_tokens應設置為：off

client_body_timeout設置請求體（request body）的讀超時時間。僅當在一次readstep中，沒有得到請求體，就會設為超時。超時後Nginx返回HTTP狀態碼408(Request timed out)。
加固方法：nginx.conf文件中client_body_timeout應設置為：10

client_header_timeout設置等待client發送一個請求頭的超時時間（例如：GET / HTTP/1.1）。僅當在一次read中沒有收到請求頭，才會設為超時。超時後Nginx返回HTTP狀態碼408(Request timed out)。

加固方法：nginx.conf文件中client_header_timeout應設置為：10

keepalive_timeout設置與client的keep-alive連接超時時間。伺服器將會在這個時間後關閉連接。

加固方法：nginx.conf文件中keepalive_timeout應設置為：55

send_timeout設置客戶端的響應超時時間。這個設置不會用於整個轉發器，而是在兩次客戶端讀取操作之間。如果在這段時間內，客戶端沒有讀取任何數據，Nginx就會關閉連接。

加固方法：nginx.conf文件中send_timeout應設置為：10

GET和POST是Internet上最常用的方法。Web伺服器方法在RFC 2616中定義禁用不需要實現的可用方法。

加固方法:

limit_zone 配置項限制來自客戶端的同時連接數。通過此模塊可以從一個地址限制分配會話的同時連接數量或特殊情況。

加固方法：nginx.conf文件中limit_zone應設置為：slimits $binary_remote_addr 5m

該配置項控制一個會話同時連接的最大數量，即限制來自單個IP地址的連接數量。

加固方法：nginx.conf 文件中 limit_conn 應設置為: slimits 5

加固方法：

加固方法:

解決辦法:

描述後端獲取Proxy後的真實Client的IP獲取需要安裝--with-http_realip_mole，然後後端程序採用JAVA(request.getAttribute("X-Real-IP"))進行獲取;

描述: 如果要使用geoip地區選擇,我們需要再nginx編譯時加入 --with-http_geoip_mole 編譯參數。

描述: 為了防止外部站點引用我們的靜態資源，我們需要設置那些域名可以訪問我們的靜態資源。

描述: 下面收集了Web服務中常規的安全響應頭, 它可以保證不受到某些攻擊,建議在指定的 server{} 代碼塊進行配置。

描述: 為了防止某些未備案的域名或者惡意鏡像站域名綁定到我們伺服器上, 導致伺服器被警告關停，將會對業務或者SEO排名以及企業形象造成影響，我們可以通過如下方式進行防範。

執行結果:

描述: 有時你的網站可能只需要被某一IP或者IP段的地址請求訪問，那麼非白名單中的地址訪問將被阻止訪問, 我們可以如下配置;

常用nginx配置文件解釋：

(1) 阿里巴巴提供的Concat或者Google的PageSpeed模塊實現這個合並文件的功能。

(2) PHP-FPM的優化
如果您高負載網站使用PHP-FPM管理FastCGI對於PHP-FPM的優化非常重要

(3) 配置Resin on Linux或者Windows為我們可以打開 resin-3.1.9/bin/httpd.sh 在不影響其他代碼的地方加入:-Dhttps.protocols=TLSv1.2, 例如

原文地址: https://blog.weiyigeek.top/2019/9-2-122.html

Ⅷ 動1萬個線程 linux會不會懵逼 怎麼配置

這個應該是和linux的調優有關了。性能調優，大家都是知道木桶效應，要綜合的來進行，要考慮linux的系統配置，磁返蠢盤讀寫，網路帶寬等。性能調優分為系統內核的調優，如：ulimit 的大小，如sysctl的 參數等。應李衡用調優，系統應用的優先順序哪世做的調優，模式的調優，最大線程的調優等。優化是一個大的方面，去www.linuxprobe.com看看吧，多了解下打的方向自己實踐的實時就有感覺了，加油吧

Ⅸ Linux中為什麼要配置內核，怎樣重新配置內核

新的內核修訂了舊內核的bug，並增加了許多新的特性。如果用戶想要使用這些新特性，或想根據自己的系統度身定製一個更高效，更穩定的內核，就需要重新編譯Linux內核。
為了正確的合理地設置內核編譯配置選項，從而只編譯系統需要的功能的代碼，一般主要有下面四個考慮：
（1）自己定製編譯的內核運行更快（具有更少的代碼）
（2）系統將擁有更多的內存（內核部晌困伍分將不會被交換到虛擬內存中）
（3）不需要的功能編譯進宴或入內核可能會增加被系統攻擊者利用的漏洞
（4） 將某種功能編譯為模塊尺蔽方式會比編譯到內核內的方式速度要慢一些

Ⅹ linux系統性能怎麼優化

linux系統性能怎麼優化
一、前提
我們可以在文章的開始就列出一個列表，列出可能影響Linux操作系統性能的一些調優參數，但這樣做其實並沒有什麼價值。因為性能調優是一個非常困難的任務，它要求對硬體、操作系統、和應用都有著相當深入的了解。如果性能調優非常簡單的話，那些我們要列出的調優參數早就寫入硬體的微碼或者操作系統中了，我們就沒有必要再繼續讀這篇文章了。正如下圖所示，伺服器的性能受到很多因素的影響。
當面對一個使用單獨IDE硬碟的，有20000用戶的資料庫伺服器時，即使我們使用數周時間去調整I/O子系統也是徒勞無功的，通常一個新的驅動或者應用程序的一個更新(如SQL優化)卻可以使這個伺服器的性能得到明顯的提升。正如我們前面提到的，不要忘記系統的性能是受多方面因素影響的。理解操作系統管理系統資源的方法將幫助我們在面對問題時更好的判斷應該對哪個子系統進行調整。
二、Linux的CPU調度
任何計算機的基本功能都十分簡單，那就是計算。為了實現計算的功能就必須有一個方法去管理計算資源、處理器和計算任務(也被叫做線程或者進程)。非常感謝Ingo Molnar，他為Linux內核帶來了O(1)CPU調度器，區別於舊有的O(n)調度器，新的調度器是動態的，可以支持負載均衡，並以恆定的速度進行操作。
新調度器的可擴展性非常好，無論進程數量或者處理器數量，並且調度器本身的系統開銷更少。新調取器的演算法使用兩個優先順序隊列。
引用
・活動運行隊列
・過期運行隊列
調度器的一個重要目標是根據優先順序許可權有效地為進程分配CPU 時間片，當分配完成後它被列在CPU的運行隊列中，除了 CPU 的運行隊列之外，還有一個過期運行隊列。當活動運行隊列中的一個任務用光自己的時間片之後，它就被移動到過期運行隊列中。在移動過程中，會對其時間片重新進行計算。如果活動運行隊列中已經沒有某個給定優先順序的任務了，那麼指向活動運行隊列和過期運行隊列的指針就會交換，這樣就可以讓過期優先順序列表變成活動優先順序的列表。通常互動式進程(相對與實時進程而言)都有一個較高的優先順序，它佔有更長的時間片，比低優先順序的進程獲得更多的計算時間，但通過調度器自身的調整並不會使低優先順序的進程完全被餓死。新調度器的優勢是顯著的改變Linux內核的可擴展性，使新內核可以更好的處理一些有大量進程、大量處理器組成的企業級應用。新的O(1)調度器包含仔2.6內核中，但是也向下兼容2.4內核。
新調度器另外一個重要的優勢是體現在對NUMA(non-uniform memory architecture)和SMP(symmetric multithreading processors)的支持上，例如INTEL@的超線程技術。
改進的NUMA支持保證了負載均衡不會發生在CECs或者NUMA節點之間，除非發生一個節點的超出負載限度。
三、Linux的內存架構
今天我們面對選擇32位操作系統還是64位操作系統的情況。對企業級用戶它們之間最大的區別是64位操作系統可以支持大於4GB的內存定址。從性能角度來講，我們需要了解32位和64位操作系統都是如何進行物理內存和虛擬內存的映射的。
在上面圖示中我們可以看到64位和32位Linux內核在定址上有著顯著的不同。
在32位架構中，比如IA-32，Linux內核可以直接定址的范圍只有物理內存的第一個GB(如果去掉保留部分還剩下896MB)，訪問內存必須被映射到這小於1GB的所謂ZONE_NORMAL空間中，這個操作是由應用程序完成的。但是分配在ZONE_HIGHMEM中的內存頁將導致性能的降低。
在另一方面，64位架構比如x86-64(也稱作EM64T或者AMD64)。ZONE_NORMAL空間將擴展到64GB或者128GB(實際上可以更多，但是這個數值受到操作系統本身支持內存容量的限制)。正如我們看到的，使用64位操作系統我們排除了因ZONE_HIGHMEM部分內存對性能的影響的情況。
實際中，在32位架構下，由於上面所描述的內存定址問題，對於大內存，高負載應用，會導致死機或嚴重緩慢等問題。雖然使用hugemen核心可緩解，但採取x86_64架構是最佳的解決辦法。
四、虛擬內存管理
因為操作系統將內存都映射為虛擬內存，所以操作系統的物理內存結構對用戶和應用來說通常都是不可見的。如果想要理解Linux系統內存的調優，我們必須了解Linux的虛擬內存機制。應用程序並不分配物理內存，而是向Linux內核請求一部分映射為虛擬內存的內存空間。如下圖所示虛擬內存並不一定是映射物理內存中的空間，如果應用程序有一個大容量的請求，也可能會被映射到在磁碟子系統中的swap空間中。
另外要提到的是，通常應用程序不直接將數據寫到磁碟子系統中，而是寫入緩存和緩沖區中。Bdflush守護進程將定時將緩存或者緩沖區中的數據寫到硬碟上。
Linux內核處理數據寫入磁碟子系統和管理磁碟緩存是緊密聯系在一起的。相對於其他的操作系統都是在內存中分配指定的一部分作為磁碟緩存，Linux處理內存更加有效，默認情況下虛擬內存管理器分配所有可用內存空間作為磁碟緩存，這就是為什麼有時我們觀察一個配置有數G內存的Linux系統可用內存只有20MB的原因。
同時Linux使用swap空間的機制也是相當高效率的，如上圖所示虛擬內存空間是由物理內存和磁碟子系統中的swap空間共同組成的。如果虛擬內存管理器發現一個已經分配完成的內存分頁已經長時間沒有被調用，它將把這部分內存分頁移到swap空間中。經常我們會發現一些守護進程，比如getty，會隨系統啟動但是卻很少會被應用到。這時為了釋放昂貴的主內存資源，系統會將這部分內存分頁移動到swap空間中。上述就是Linux使用swap空間的機制，當swap分區使用超過50%時，並不意味著物理內存的使用已經達到瓶頸了，swap空間只是Linux內核更好的使用系統資源的一種方法。
簡單理解：Swap usage只表示了Linux管理內存的有效性。對識別內存瓶頸來說，Swap In/Out才是一個比較又意義的依據，如果Swap In/Out的值長期保持在每秒200到300個頁面通常就表示系統可能存在內存的瓶頸。下面的事例是好的狀態：
引用
# vmstat
procs ———–memory————- —swap– —–io—- –system– —-cpu—-
r b swpd free buff cache si so bi bo in cs us sy id wa
1 0 5696 6904 28192 50496 0 0 88 117 61 29 11 8 80 1
五、模塊化的I/O調度器
就象我們知道的Linux2.6內核為我們帶來了很多新的特性，這其中就包括了新的I/O調度機制。舊的2.4內核使用一個單一的I/O調度器，2.6 內核為我們提供了四個可選擇的I/O調度器。因為Linux系統應用在很廣闊的范圍里，不同的應用對I/O設備和負載的要求都不相同，例如一個筆記本電腦和一個10000用戶的資料庫伺服器對I/O的要求肯定有著很大的區別。
引用
(1).Anticipatory
anticipatory I/O調度器創建假設一個塊設備只有一個物理的查找磁頭(例如一個單獨的SATA硬碟)，正如anticipatory調度器名字一樣，anticipatory調度器使用「anticipatory」的演算法寫入硬碟一個比較大的數據流代替寫入多個隨機的小的數據流，這樣有可能導致寫 I/O操作的一些延時。這個調度器適用於通常的一些應用，比如大部分的個人電腦。
(2).Complete Fair Queuing (CFQ)
Complete Fair Queuing(CFQ)調度器是Red Flag DC Server 5使用的標准演算法。CFQ調度器使用QoS策略為系統內的所有任務分配相同的帶寬。CFQ調度器適用於有大量計算進程的多用戶系統。它試圖避免進程被餓死和實現了比較低的延遲。
(3).Deadline
deadline調度器是使用deadline演算法的輪詢的調度器，提供對I/O子系統接近實時的操作，deadline調度器提供了很小的延遲和維持一個很好的磁碟吞吐量。如果使用deadline演算法請確保進程資源分配不會出現問題。
(4).NOOP
NOOP調度器是一個簡化的調度程序它只作最基本的合並與排序。與桌面系統的關系不是很大，主要用在一些特殊的軟體與硬體環境下，這些軟體與硬體一般都擁有自己的調度機制對內核支持的要求很小，這很適合一些嵌入式系統環境。作為桌面用戶我們一般不會選擇它。
六、網路子系統
新的網路中斷緩和(NAPI)對網路子系統帶來了改變，提高了大流量網路的性能。Linux內核在處理網路堆棧時，相比降低系統佔用率和高吞吐量更關注可靠性和低延遲。所以在某些情況下，Linux建立一個防火牆或者文件、列印、資料庫等企業級應用的性能可能會低於相同配置的Windows伺服器。
在傳統的處理網路封包的方式中，如下圖藍色箭頭所描述的，一個乙太網封包到達網卡介面後，如果MAC地址相符合會被送到網卡的緩沖區中。網卡然後將封包移到操作系統內核的網路緩沖區中並且對CPU發出一個硬中斷，CPU會處理這個封包到相應的網路堆棧中，可能是一個TCP埠或者Apache應用中。
這是一個處理網路封包的簡單的流程，但從中我們可以看到這個處理方式的缺點。正如我們看到的，每次適合網路封包到達網路介面都將對CPU發出一個硬中斷信號，中斷CPU正在處理的其他任務，導致切換動作和對CPU緩存的操作。你可能認為當只有少量的網路封包到達網卡的情況下這並不是個問題，但是千兆網路和現代的應用將帶來每秒鍾成千上萬的網路數據，這就有可能對性能造成不良的影響。
正是因為這個情況，NAPI在處理網路通訊的時候引入了計數機制。對第一個封包，NAPI以傳統的方式進行處理，但是對後面的封包，網卡引入了POLL 的輪詢機制：如果一個封包在網卡DMA環的緩存中，就不再為這個封包申請新的中斷，直到最後一個封包被處理或者緩沖區被耗盡。這樣就有效的減少了因為過多的中斷CPU對系統性能的影響。同時，NAPI通過創建可以被多處理器執行的軟中斷改善了系統的可擴展性。NAPI將為大量的企業級多處理器平台帶來幫助，它要求一個啟用NAPI的驅動程序。在今天很多驅動程序默認沒有啟用NAPI，這就為我們調優網路子系統的性能提供了更廣闊的空間。
七、理解Linux調優參數
因為Linux是一個開源操作系統，所以又大量可用的性能監測工具。對這些工具的選擇取決於你的個人喜好和對數據細節的要求。所有的性能監測工具都是按照同樣的規則來工作的，所以無論你使用哪種監測工具都需要理解這些參數。下面列出了一些重要的參數，有效的理解它們是很有用處的。
(1)處理器參數
引用
・CPU utilization
這是一個很簡單的參數，它直觀的描述了每個CPU的利用率。在xSeries架構中，如果CPU的利用率長時間的超過80%，就可能是出現了處理器的瓶頸。
・Runable processes
這個值描述了正在准備被執行的進程，在一個持續時間里這個值不應該超過物理CPU數量的10倍，否則CPU方面就可能存在瓶頸。
・Blocked
描述了那些因為等待I/O操作結束而不能被執行的進程，Blocked可能指出你正面臨I/O瓶頸。
・User time
描述了處理用戶進程的百分比，包括nice time。如果User time的值很高，說明系統性能用在處理實際的工作。
・System time
描述了CPU花費在處理內核操作包括IRQ和軟體中斷上面的百分比。如果system time很高說明系統可能存在網路或者驅動堆棧方面的瓶頸。一個系統通常只花費很少的時間去處理內核的操作。
・Idle time
描述了CPU空閑的百分比。
・Nice time
描述了CPU花費在處理re-nicing進程的百分比。
・Context switch
系統中線程之間進行交換的數量。
・Waiting
CPU花費在等待I/O操作上的總時間，與blocked相似，一個系統不應該花費太多的時間在等待I/O操作上，否則你應該進一步檢測I/O子系統是否存在瓶頸。
・Interrupts
Interrupts 值包括硬Interrupts和軟Interrupts，硬Interrupts會對系統性能帶來更多的不利影響。高的Interrupts值指出系統可能存在一個軟體的瓶頸，可能是內核或者驅動程序。注意Interrupts值中包括CPU時鍾導致的中斷(現代的xServer系統每秒1000個 Interrupts值)。
(2)內存參數
引用
・Free memory
相比其他操作系統，Linux空閑內存的值不應該做為一個性能參考的重要指標，因為就像我們之前提到過的，Linux內核會分配大量沒有被使用的內存作為文件系統的緩存，所以這個值通常都比較小。
・Swap usage
這 個值描述了已經被使用的swap空間。Swap usage只表示了Linux管理內存的有效性。對識別內存瓶頸來說，Swap In/Out才是一個比較又意義的依據，如果Swap In/Out的值長期保持在每秒200到300個頁面通常就表示系統可能存在內存的瓶頸。
・Buffer and cache
這個值描述了為文件系統和塊設備分配的緩存。在Red Flag DC Server 5版本中,你可以通過修改/proc/sys/vm中的page_cache_tuning來調整空閑內存中作為緩存的數量。
・Slabs
描述了內核使用的內存空間，注意內核的頁面是不能被交換到磁碟上的。
・Active versus inactive memory
提供了關於系統內存的active內存信息，Inactive內存是被kswapd守護進程交換到磁碟上的空間。
(3)網路參數
引用
・Packets received and sent
這個參數表示了一個指定網卡接收和發送的數據包的數量。
・Bytes received and sent
這個參數表示了一個指定網卡接收和發送的數據包的位元組數。
・Collisions per second
這個值提供了發生在指定網卡上的網路沖突的數量。持續的出現這個值代表在網路架構上出現了瓶頸，而不是在伺服器端出現的問題。在正常配置的網路中沖突是非常少見的，除非用戶的網路環境都是由hub組成。
・Packets dropped
這個值表示了被內核丟掉的數據包數量，可能是因為防火牆或者是網路緩存的缺乏。
・Overruns
Overruns表達了超出網路介面緩存的次數，這個參數應該和packets dropped值聯繫到一起來判斷是否存在在網路緩存或者網路隊列過長方面的瓶頸。
・Errors 這個值記錄了標志為失敗的幀的數量。這個可能由錯誤的網路配置或者部分網線損壞導致，在銅口千兆乙太網環境中部分網線的損害是影響性能的一個重要因素。
(4)塊設備參數
引用
・Iowait
CPU等待I/O操作所花費的時間。這個值持續很高通常可能是I/O瓶頸所導致的。
・Average queue length
I/O請求的數量，通常一個磁碟隊列值為2到3為最佳情況，更高的值說明系統可能存在I/O瓶頸。
・Average wait
響應一個I/O操作的平均時間。Average wait包括實際I/O操作的時間和在I/O隊列里等待的時間。
・Transfers per second
描述每秒執行多少次I/O操作(包括讀和寫)。Transfers per second的值與kBytes per second結合起來可以幫助你估計系統的平均傳輸塊大小，這個傳輸塊大小通常和磁碟子系統的條帶化大小相符合可以獲得最好的性能。
・Blocks read/write per second
這個值表達了每秒讀寫的blocks數量，在2.6內核中blocks是1024bytes，在早些的內核版本中blocks可以是不同的大小，從512bytes到4kb。
・Kilobytes per second read/write
按照kb為單位表示讀寫塊設備的實際數據的數量。