linux系统优化经验

　　作为一名Linux系统管理员，最主要的工作是负责给系统配置优化，性能的优化，使系统上的应用以最优的状态运行。但是由于硬件问题、软件问题、网络环境等的复杂性和多变性，往往会导致系统优化变得异常复杂。大多数Linux发布版都定义了适当的缓冲区和其他Transmission Control Protocol（TCP）参数。可以修改这些参数来分配更多的内存，从而改进网络性能。设置内核参数的方法是通过 proc 接口，也就是通过读写 /proc 中的值。幸运的是，sysctl可以读取 /etc/sysctl.conf 中的值并根据需要填充/proc，这样就能够更轻松地管理这些参数。本文就介绍一下linux系统优化的一些经验。

　一、如何对网络参数进行优化？

　　下面是展示在互联网服务器上应用于 Internet 服务器的一些比较激进的网络设置：

　　# Use TCP syncookies when needed 

　　net.ipv4.tcp_syncookies = 1　#打开syn的洪水防范 

　　# Enable TCP window scaling 

　　net.ipv4.tcp_window_scaling: = 1 

　　# Increase TCP max buffer size 

　　net.core.rmem_max = 16777216 

　　net.core.wmem_max = 16777216 

　　# Increase Linux autotuning TCP buffer limits 

　　net.ipv4.tcp_rmem = 4096 87380 16777216 

　　net.ipv4.tcp_wmem = 4096 65536 16777216 

　　# Increase number of ports available 

　　net.ipv4.ip_local_port_range = 1024 65000

　　将这些设置添加到 /etc/sysctl.conf 的现有内容中。第一个设置启用 TCP SYN cookie。当从客户机发来新的 TCP 连接时，数据包设置了 SYN 位，服务器就为这个半开的连接创建一个条目，并用一个 SYN-ACK 数据包进行响应。在正常操作中，远程客户机用一个 ACK 数据包进行响应，这会使半开的连接转换为全开的。

　　有一种称为 SYN 泛滥（SYN flood） 的网络攻击，它使 ACK 数据包无法返回，导致服务器用光内存空间，无法处理到来的连接。SYN cookie 特性可以识别出这种情况，并使用一种优雅的方法保留队列中的空间。大多数系统都默认启用这个特性，但是确保配置这个特性更可靠。

　　启用TCP窗口伸缩使客户机能够以更高的速度下载数据。TCP 允许在未从远程端收到确认的情况下发送多个数据包，默认设置是最多 64 KB，在与延迟比较大的远程客户机进行通信时这个设置可能不够。窗口伸缩会在头中启用更多的位，从而增加窗口大小。

　　后面四个配置项增加 TCP 发送和接收缓冲区。这使应用程序可以更快地丢掉它的数据，从而为另一个请求服务。还可以强化远程客户机在服务器繁忙时发送数据的能力。最后一个配置项增加可用的本地端口数量，这样就增加了可以同时服务的最大连接数量。在下一次引导系统时，或者下一次运行 sysctl -p /etc/sysctl.conf 时，这些设置就会生效。

　二、如何进行磁盘子系统的调优？

　　磁盘在LAMP架构中扮演着重要的角色。静态文件、模板和代码都来自磁盘，组成数据库的数据表和索引也来自磁盘。对磁盘的许多调优（尤其是对于数据库）集中于避免磁盘访问，因为磁盘访问的延迟相当高。因此，花一些时间对磁盘硬件进行优化是有意义的。

　　首先，要确保在文件系统上禁用atime日志记录特性。atime是最近访问文件的时间，每当访问文件时，底层文件系统必须记录这个时间戳。因为系统管理员很少使用atime，禁用它可以缩短磁盘访问时间。禁用这个特性的方法是，在 /etc/fstab 的第四列中添加 noatime 选项。

　　以下是启用noatime的fstab示例：

　　/dev/VolGroup00/LogVol00 / ext3 defaults,noatime 1 1

　　LABEL=/boot /boot ext3 defaults,noatime 1 2

　　devpts /dev/pts devpts gid=5,mode=620 0 0

　　tmpfs /dev/shm tmpfs defaults 0 0

　　proc /proc proc defaults 0 0 

　　sysfs /sys sysfs defaults 0 0

　　LABEL=SWAP-hdb2 swap swap defaults 0 0

　　LABEL=SWAP-hda3 swap swap defaults 0 0

　　有多种磁盘硬件组合，而且Linux不一定能够探测出访问磁盘的最佳方式。可以使用 hdparm 命令查明和设置用来访问 IDE 磁盘的方法。hdparm –t /path/to/device 执行速度测试，可以将这个测试结果作为性能基准。为了使结果尽可能准确，在运行这个命令时系统应该是空闲的。

　　在 /dev/hd 上执行速度测试：

　　# hdparm -t /dev/hda

　　/dev/hda:

　　Timing buffered disk reads: 182 MB in 3.02 seconds = 60.31 MB/sec

　　hdparm 的常用选项

　　选项描述：

　　-vi 向磁盘查询它支持的设置以及它正在使用的设置。

　　-c 查询/启用 （E）IDE 32 位 I/O 支持。hdparm -c 1 /dev/hda 启用这个设置。

　　-m 查询/设置每中断多扇区模式。如果设置大于零，设置值就是每个中断可以传输的最大扇区数量。

　　-d 1 -X 启用直接内存访问（DMA）传输并设置 IDE 传输模式。hdparm 手册页详细说明了在 -X 后面可以设置的数字。只有在 -vi 说明目前并未使用最快速的模式的情况下，才需要进行这个设置。

　　不幸的是，对于 Fiber Channel and Small Computer Systems Interface（SCSI）系统，调优依赖于具体的驱动器。必须将有帮助的设置添加到启动脚本中，比如 rc.local。

　三、如何进行TCP/IP子系统的调优？

　　所有的TCP/IP调优参数都位于/proc/sys/net/目录。 例如， 下面是最重要的一些调优参数及其含义：

　　1. /proc/sys/net/core/rmem_max — 最大的TCP数据接收缓冲；

　　2. /proc/sys/net/core/wmem_max — 最大的TCP数据发送缓冲；

　　3. /proc/sys/net/ipv4/tcp_timestamps — 时间戳在TCP的包头增加12个字节；

　　4. /proc/sys/net/ipv4/tcp_sack — 有选择的应答；

　　5. /proc/sys/net/ipv4/tcp_window_scaling — 支持更大的TCP窗口。 如果TCP窗口最大超过65535（64K）， 必须设置该数值为1；

　　6. rmem_default — 默认的接收窗口大小；

　　7. rmem_max — 接收窗口的最大大小；

　　8. wmem_default — 默认的发送窗口大小；

　　9. wmem_max — 发送窗口的最大大小。

　　/proc目录下的所有内容都是临时性的， 所以重启动系统后任何修改都会丢失。

　　建议在系统启动时自动修改TCP/IP参数：

　　把下面代码增加到/etc/rc.local文件， 然后保存文件， 系统重新引导时会自动修改下面的TCP/IP参数：

　　echo 256960 > /proc/sys/net/core/rmem_default

　　echo 256960 > /proc/sys/net/core/rmem_max

　　echo 256960 > /proc/sys/net/core/wmem_default

　　echo 256960 > /proc/sys/net/core/wmem_max

　　echo 0 > /proc/sys/net/ipv4/tcp_timestamps

　　echo 1 > /proc/sys/net/ipv4/tcp_sack

　　echo 1 > /proc/sys/net/ipv4/tcp_window_scaling

　　TCP/IP参数都是自解释的， TCP窗口大小设置为256960， 禁止TCP的时间戳（取消在每个数据包的头中增加12字节）， 支持更大的TCP窗口和TCP有选择的应答。

　　上面数值的设定是根据互连网连接和最大带宽/延迟率来决定。

　　注： 上面实例中的数值可以实际应用， 但它只包含了一部分参数。

　　另一个方法： 使用 /etc/sysctl.conf 在系统启动时将参数配置成你所设置的值：

　　net.core.rmem_default = 256960

　　net.core.rmem_max = 256960

　　net.core.wmem_default = 256960

　　net.core.wmem_max = 256960

　　net.ipv4.tcp_timestamps = 0

　　net.ipv4.tcp_sack =1

　　net.ipv4.tcp_window_scaling = 1

　四、如何进行文件子系统的调优？

　　ulimit -a 用来显示当前的各种用户进程限制。

　　Linux对于每个用户，系统限制其最大进程数。可以根据设备资源情况，设置各linux 用户的最大进程数，来提高性能。下面把某linux用户的最大进程数设为10000个：

　　ulimit -u 10000

　　对一个需要做许多socket连接并使它们处于打开状态的java应用程序来说，最好通过使用ulimit-nxx修改每个进程可打开的文件数，缺省值是1024。

　　ulimit-n4096将每个进程可以打开的文件数目加大到4096，缺省为1024。

　　其他建议设置成无限制（unlimited）的一些重要设置是：

　　数据段长度：ulimit -d unlimited

　　最大内存大小：ulimit -m unlimited

　　堆栈大小：ulimit -s unlimited

　　CPU 时间：ulimit -t unlimited

　　虚拟内存：ulimit -v unlimited

　　暂时地，适用于通过 ulimit 命令登录 shell 会话期间。

　　永久地，通过将一个相应的 ulimit 语句添加到由登录 shell 读取的文件中， 即特定于 shell 的用户资源文件，如：

　　（1）解除 Linux 系统的最大进程数和最大文件打开数限制：

　　#vi /etc/security/limits.conf

　　# 添加如下的行：

　　* 　soft 　noproc 　11000

　　* 　hard 　noproc 　11000

　　* 　soft 　nofile　 4100

　　* 　hard 　nofile 　4100

　　说明：* 代表针对所有用户；noproc 是代表最大进程数；nofile 是代表最大文件打开数。

　　（2）让 SSH 接受 Login 程式的登入，方便在 ssh 客户端查看 ulimit -a 资源限制：

　　a.#vi /etc/ssh/sshd_config

　　把 UserLogin 的值改为 yes，并把 # 注释去掉

　　b.重启 sshd 服务：

　　/etc/init.d/sshd restart

　　（3）修改所有 linux 用户的环境变量文件：

　　#vi /etc/profile

　　ulimit -u 10000

　　ulimit -n 4096

　　ulimit -d unlimited

　　ulimit -m unlimited

　　ulimit -s unlimited

　　ulimit -t unlimited

　　ulimit -v unlimited

　　有时在程序里要打开多个文件，进行分析，系统一般默认数量是1024，（用ulimit -a可以看到）对于正常使用足够了，但对于程序来说，就太少了。

　　修改2个文件：

　　1./etc/security/limits.conf

　　vi /etc/security/limits.conf

　　加上：

　　* soft nofile 8192

　　* hard nofile 20480

　　2./etc/pam.d/login

　　session required /lib/security/pam_limits.so

　　另外，确保/etc/pam.d/system-auth文件有下面内容：

　　session required /lib/security/$ISA/pam_limits.so

　　这一行确保系统会执行这个限制。

　　3.一般用户的。bash_profile 

　　#ulimit -n 1024

　　重新登陆即可。

　五、如何进行内存子系统的调优？

　　内存子系统的调优不是很容易，需要不停地监测以确保内存的改变不会对服务器的其他子系统造成负面影响。如果要改变虚拟内存参数（在/proc/sys/vm），建议你每次只改变一个参数，然后监测效果。对与虚拟内存的调整包括以下几个项目：

　　配置Linux内核如何更新dirty buffers到磁盘。磁盘缓冲区用于暂存磁盘的数据。相对于内存来说，磁盘缓冲区的速度很慢。因此，如果服务器使用这类内存，性能会成问题。当缓冲区内的数据完全dirty，使用：

　　sysctl -w vm.bdflush="30 500 0 0 500 3000 60 20 0"

　　vm.bdflush有9个参数，但是建议你只改变其中的3个：

　　1 nfract， 为排队写入磁盘前，bdflush daemon允许的缓冲区最大百分比。

　　2 ndirty， 为bdflush即刻写的最大缓冲区的值。如果这个值很大，bdflush需要更多的时间完成磁盘的数据更新。

　　7 nfract_sync， 发生同步前，缓冲区变dirty的最大百分比。

　　配置kswapd daemon，指定Linux的内存页数量：

　　sysctl -w vm.kswapd="1024 32 64"

　　三个参数的描述如下：

　　– tries_base 相当于内核每次所的“页”的数量的四倍。对于有很多交换信息的系统，增加这个值可以改进性能。

　　– tries_min 是每次kswapd swaps出去的pages的最小数量。

　　– swap_cluster 是kswapd 即刻写如的pages数量。数值小，会提高磁盘I/O的性能；数值大可能也会对请求队列产生负面影响。

　　如果要对这些参数进行改动，请使用工具vmstat检查对性能的影响。其它可以改进性能的虚拟内存参数为：

　　_ buffermem

　　_ freepages

　　_ overcommit_memory

　　_ page-cluster 

　　_ pagecache

　　_ pagetable_cache

　六、如何进行网络子系统的调优？

　　操作系统安装完毕，就要对网络子系统进行调优。对其它子系统的影响：影响CPU利用率，尤其在有大量TCP连接、块尺寸又非常小时，内存的使用会明显增加。

　　如何预防性能下降

　　如下的sysctl命令用于改变安全设置，但是它也可以防止网络性能的下降。这些命令被设置为缺省值。

　　关闭如下参数可以防止黑客对服务器IP地址的攻击：

　　sysctl -w net.ipv4.conf.eth0.accept_source_route=0

　　sysctl -w net.ipv4.conf.lo.accept_source_route=0

　　sysctl -w net.ipv4.conf.default.accept_source_route=0

　　sysctl -w net.ipv4.conf.all.accept_source_route=0

　　开启TCP SYN cookies，保护服务器避免受syn-flood攻击，包括服务取决denial-of-service （DoS） 或者分布式服务拒绝distributed denial-of-service （DDoS） （仅适用Red Hat Enterprise Linux AS）sysctl -w net.ipv4.tcp_syncookies=1

　　以下命令使服务器忽略来自被列入网关的服务器的重定向。因重定向可以被用来进行攻击，所以我们只接受有可靠来源的重定向。

　　sysctl -w net.ipv4.conf.eth0.secure_redirects=1

　　sysctl -w net.ipv4.conf.lo.secure_redirects=1

　　sysctl -w net.ipv4.conf.default.secure_redirects=1

　　sysctl -w net.ipv4.conf.all.secure_redirects=1

　　另外，你可以配置接受或拒绝任何ICMP重定向。ICMP重定向是器传输信息的机制。比如，当网关接收到来自所接网络主机的Internet数据报时，网关可以发送重定向信息到一台主机。网关检查路由表获得下一个网关的地址，第二个网关将数据报路由到目标网络。关闭这些重定向得命令如下：

　　sysctl -w net.ipv4.conf.eth0.accept_redirects=0

　　sysctl -w net.ipv4.conf.lo.accept_redirects=0

　　sysctl -w net.ipv4.conf.default.accept_redirects=0

　　sysctl -w net.ipv4.conf.all.accept_redirects=0

　　如果这个服务器不是一台路由器，那么它不会发送重定向，所以可以关闭该功能：

　　sysctl -w net.ipv4.conf.eth0.send_redirects=0

　　sysctl -w net.ipv4.conf.lo.send_redirects=0

　　sysctl -w net.ipv4.conf.default.send_redirects=0

　　sysctl -w net.ipv4.conf.all.send_redirects=0

　　配置服务器拒绝接受广播风暴或者smurf 攻击attacks：

　　sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1

　　忽略所有icmp包或者pings：

　　sysctl -w net.ipv4.icmp_echo_ignore_all=1

　　有些路由器针对广播祯发送无效的回应，每个都产生警告并在内核产生日志。这些回应可以被忽略：

　　sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1

　　针对TCP和UDP的调优下边的命令用来对连接数量非常大的服务器进行调优。

　　对于同时支持很多连接的服务器，新的连接可以重新使用TIME-WAIT套接字。 这对于Web服务器非常有效：

　　sysctl -w net.ipv4.tcp_tw_reuse=1

　　如果你使用该命令，还要启动TIME-WAIT 套接字状态的快速循环功能：

　　sysctl -w net.ipv4.tcp_tw_recycle=1

　　图Figure 10-7显示出将这些功能启用，连接数量明显降低。因为每个TCP传输都包含远程客户端的信息缓存，所以有利于提高性能。缓存中存放round-trip时间、最大segment大小、拥塞窗口的信息。

　　参数tcp_fin_timeout 是套接字关闭时，保持FIN-WAIT-2状态的时间。一个TCP连接以three-segment SYN序列开始， 以three-segment FIN序列结束。均不保留数据。通过改变tcp_fin_timeout的值， 从FIN序列到内存可以空闲出来处理新连接的时间缩短了，使性能得到改进。改变这个值的前要经过认真的监测，避免因为死套接字造成内存溢出。

　　sysctl -w net.ipv4.tcp_fin_timeout=30

　　服务器的一个问题是，同一时刻的大量TCP连接里有很多的连接被打开但是没有使用。 TCP的keepalive功能检测到这些连接，缺省情况下，在2小时之后丢掉. 2个小时的可能导致内存过度使用，降低性能。因此改成1800秒（30分钟）是个更好的选择：

　　sysctl -w net.ipv4.tcp_keepalive_time=1800

　　对于所有的队列，设置最大系统发送缓存（wmem） 和接收缓存（rmem）到8MB

　　sysctl -w net.ipv4.core.wmem_max=8388608

　　sysctl -w net.ipv4.core.rmem_max=8388608

　　这些设置指定了创建TCP套接字时为其分配的内存容量。 另外，使用如下命令发送和接收缓存。该命令设定了三个值：最小值、初始值和最大值：

　　sysctl -w net.ipv4.tcp_rmem="4096 87380 8388608"

　　sysclt -w net.ipv4.tcp.wmem="4096 87380 8388608"

　　第三个值必须小于或等于wmem_max和rmem_max。

　　（SUSE LINUX Enterprise Server适用） 通过保留路径验证来源数据包。缺省情况下，路由器转发所有的数据包，即便是明显的异常网络流量。通过启动和是的过滤功能，丢掉这些数据包：

　　sysctl -w net.ipv4.conf.eth0.rp_filter=1

　　sysctl -w net.ipv4.conf.lo.rp_filter=1

　　sysctl -w net.ipv4.conf.default.rp_filter=1

　　sysctl -w net.ipv4.conf.all.rp_filter=1

　　当服务器负载繁重或者是有很多客户端都是超长延时的连接故障，可能会导致half-open连接数量的增加。这对于Web服务器很来讲很平常，尤其有很多拨号客户时。这些half-open连接　　保存在 backlog connections 队列中。将这个值最少设置为4096 （缺省为1024）。 即便是服务器不接收这类连接，设置这个值还能防止受到denial-of-service （syn-flood）的攻击。

　　sysctl -w net.ipv4.tcp_max_syn_backlog=4096

　　设置ipfrag参数，尤其是NFS和Samba服务器。这里，我们可以设置用于重新组合IP碎片的最大、最小内存。当ipfrag_high_thresh值被指派，碎片会被丢弃直到达到ipfrag_low_thres值。当TCP数据包传输发生错误时，开始碎片整理。有效的数据包保留在内存，同时损坏的数据包被转发。例如，设置可用内存范围从256 MB到384 MB。

　　sysctl -w net.ipv4.ipfrag_low_thresh=262144

　　sysctl -w net.ipv4.ipfrag_high_thresh=393216

　七、如何对网络进行安全设置？

　　TCP SYN Flood 攻击

　　TCP SYN Flood是一种常见，而且有效的远端（远程）拒绝服务（Denial of Service）攻击方式，它透过一定的操作破坏TCP三次握手建立正常连接，占用并耗费系统资源，使得提供TCP服务的主机系统无法正常工作。由于TCP SYN Flood是透过网路底层对服务器Server进行攻击的，它可以在任意改变自己的网路IP地址，同时，不被网路上的其他设备所识别，这样就给防范网路犯罪部门追查犯罪来源造成很大的困难。系统检查一般情况下，可以一些简单步骤进行检查，来判断系统是否正在遭受TCP SYN Flood攻击。

　　1.服务端无法提供正常的TCP服务。连接请求被拒绝或超时。

　　2.透过 netstat -an 命令检查系统，发现有大量的SYN_RECV连接状态。

　　3. ip tables的设置，引用自CU

　　防止同步包洪水（Sync Flood）

　　# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

　　也有人写成：

　　#iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

　　--limit 1/s 限制syn并发数每秒1次，可以根据自己的需要修改

　　防止各种端口扫描

　　# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

　　Ping洪水攻击（Ping of Death）

　　# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

　　暂定步骤为：

　　修改/etc/profile文件，加入：

　　ulimit -u 10240

　　ulimit -n 4096

　　ulimit -d unlimited

　　ulimit -m unlimited

　　ulimit -s unlimited

　　ulimit -t unlimited

　　ulimit -v unlimited

　　修改/etc/rc.d/rc.local，加入：

　　echo ‘131072′ > /proc/sys/fs/file-max

　　echo ‘131072′ > /proc/sys/fs/inode-max

　　（1G内存值修改成：65535 2G内存值修改成：131072 4G内存值修改成：262144）

　　修改/etc/sysctl.conf文件，加入：

　　net.core.rmem_default = 8388608

　　net.core.rmem_max = 8388608

　　net.core.wmem_default = 8388608

　　net.core.wmem_max = 8388608

　　net.ipv4.tcp_timestamps = 0

　　net.ipv4.tcp_sack =1

　　net.ipv4.tcp_window_scaling = 1

　　net.core.netdev_max_backlog=3000

　　#Modify i-node

　　sys.fs.file-max= 65535

　　sys.fs.inode-max= 65535

　　#Set System Memory

　　vm.bdflush="30 500 0 0 500 3000 60 20 0"

　　vm.kswapd="1024 32 64"

　　#Disable HackAttack!

　　net.ipv4.conf.eth0.accept_source_route=0

　　net.ipv4.conf.lo.accept_source_route=0

　　net.ipv4.conf.default.accept_source_route=0

　　net.ipv4.conf.all.accept_source_route=0

　　net.ipv4.conf.lo.accept_redirects=0

　　net.ipv4.conf.all.accept_redirects=0

　　net.ipv4.conf.eth0.accept_redirects=0

　　net.ipv4.conf.default.accept_redirects=0

　　net.ipv4.conf.lo.secure_redirects=0

　　net.ipv4.conf.all.secure_redirects=0

　　net.ipv4.conf.eth0.secure_redirects=0

　　net.ipv4.conf.default.secure_redirects=0

　　net.ipv4.conf.eth0.send_redirects=0

　　net.ipv4.conf.lo.send_redirects=0

　　net.ipv4.conf.default.send_redirects=0

　　net.ipv4.conf.all.send_redirects=0

　　net.ipv4.tcp_syncookies=1

　　net.ipv4.icmp_echo_ignore_broadcasts=1

　　net.ipv4.icmp_ignore_bogus_error_responses=1

　　#Web Servers

　　net.ipv4.tcp_tw_reuse=1

　　net.ipv4.tcp_tw_recycle=1

　　net.ipv4.tcp_fin_timeout=30

　　net.ipv4.tcp_keepalive_time=1800

　　net.ipv4.core.wmem_max=16777216

　　net.ipv4.core.rmem_max=16777216

　　net.ipv4.tcp_rmem="4096 87380 8388608"

　　net.ipv4.tcp.wmem="4096 87380 8388608"

　　net.ipv4.tcp_max_syn_backlog=8192

　　防火墙安全：

　　iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

　　也有人写作：

　　iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

　　--limit 1/s 限制syn并发数每秒1次，可以根据个人需要自行进行修改。

　　防止各种端口扫描：

　　iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

　　Ping洪水攻击（Ping of Death）

　　iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

　　备注说明：（相对比较激进的网络参数调整）

　　# Use TCP syncookies when needed

　　net.ipv4.tcp_syncookies = 1

　　# Enable TCP window scaling

　　net.ipv4.tcp_window_scaling: = 1

　　# Increase TCP max buffer size

　　net.core.rmem_max = 16777216

　　net.core.wmem_max = 16777216

　　# Increase Linux autotuning TCP buffer limits 

　　net.ipv4.tcp_rmem = 4096 87380 8388608 

　　net.ipv4.tcp_wmem = 4096 65536 8388608 

　　# Increase number of ports available

　　net.ipv4.ip_local_port_range = 1024 65000

　　八、如何进行LINUX的安全设置？

　　删除所有那些不能在你系统上使用的默认用户和组账户： lp，sync，shutdown，halt， news， uucp， operator， games，gopher。

　　ROOT自动从shell注销

　　编辑你的配置文件”vi /etc/profile”，在某个地方加入如下行：

　　“HISTFILESIZE=”

　　TMOUT=3600

　　我们为变量”TMOUT=”输入的这个值使用秒表示的、代表一个小时（60*60=3600秒）。如果你将此行加入你的“/etc/profile” 文件，那么在一小时的非活动状态之后将要系统里的所有用户自动注销。你可以在用户私人的”。bashrc”文件里面设置这个变量，可以在一个确定的时间以后自动注销他们。

　　禁止并且卸载所有没有用的服务你必须禁止别切卸载所有你不用的的服务，那样的话，你就能少担心一些。看看你的”/etc/inetd.conf”文件， 用注释的方法禁用（在一行的开始加个#），然后给inetd进程发送一个SIGHUP命令去更新到当前的”inetd.conf”文件。

　　这样做：

　　第一步把”/etc/inetd.conf”更改许可权限成600，那样的话，就只有root可以读和写。

　　[Root@kapil /]# chmod 600 /etc/inetd.conf

　　第二步确保”/etc/inetd.conf”的所有者是root。

　　第三步编辑inetd.conf文件（vi /etc/inetd.conf），并且禁止一些服务，就像：ftp, telnet, shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger, auth等等，除非你打算用它。关闭这些服务就降低一些风险。

　　第四步给你的inetd进程发送一个HUP信号[root@kapil /]# killall -HUP inetd

　　第五步设置”/etc/inetd.conf”文件为不可更改，使用 chattr 命令，这样的话，没人能修改那个文件。*简单的设置文件为不可更改，执行如下命令：

　　[root@kapil /]# chattr +i /etc/inetd.conf

　　这将防止对”inetd.conf”文件的任何更改（意外的更改或者其他更改）。只有超级用户root能设置或者清除这个文件属性。修改inetd.conf *简单的取消不可更改的设置，执行如下命令：

　　[root@kapil /]# chattr -i /etc/inetd.conf

　　免疫”/etc/services”文件

　　你必须免疫 “/etc/services” 文件，防止未经授权的删除、增加服务。

　　免疫 “/etc/services” 文件，使用命令：

　　[root@kapil /]# chattr +i /etc/services

　　禁止Control-Alt-Deletc键盘关机命令

　　在你的”/etc/inittab”文件里面注释掉如下的行（用一个”#”）。

　　这样做，编辑inittab文件（vi /etc/inittab），更换：

　　ca::ctrlaltdel:/sbin/shutdown -t3 -r now

　　读入：

　　#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

　　现在，按照如下提示输入，让更改生效：

　　[root@kapil /]# /sbin/init q

　　为脚本文件整理”/etc/rc.d/init.d”下的权限

　　整理脚本文件的许可权限，可靠的开始和结束所有你需要在引导时运行的常态进程，这样做：

　　[root@kapil/]# chmod -R 700 /etc/rc.d/init.d/*

　　这意味着只有root可以被允许读，写，和执行目录里面的脚本文件。隐藏你的系统信息默认状态下，当你登录到linux机器时，他告诉你Linux分布商的名字，版本，核心版本和服务器名字。

　　这对一个骇客来说从你的服务器得到这些信息足够了以必须立刻用一个”Login:”提示符提示用户。

　　第一步

　　这样做，编辑“/etc/rc.d/rc.local”文件，放置“#”在如下行的前面。

　　# This will overwrite /etc/issue at every boot. So, make any changes you

　　# want to make to /etc/issue here or you will lose them when you reboot.

　　#echo “” >; /etc/issue 

　　#echo “$R” >;>; /etc/issue 

　　#echo “Kernel $（uname -r） on $a $（uname -m）” >;>; /etc/issue 

　　# 

　　#cp -f /etc/issue /etc/issue.net 

　　#echo >;>; /etc/issue

　　第二步

　　然后，删除如下文件：在”/etc/”目录下的”issue.net” 和 “issue”：

　　[root@kapil /]# rm -f /etc/issue 

　　[root@kapil /]# rm -f /etc/issue.net

　　禁止未用的 SUID/SGID 程序

　　一个常规用户如果设置为SUID root，将能够作为root运行程序。一个系统管理员必须最小化使用这些 SUID/GUID程序， 而且禁止那些不需要的程序。

　　第1步

　　从root拥有的程序里发现所有有`s’ 位的程序，用此命令：

　　[root@kapil]# find / -type f \\（ -perm -04000 -o -perm -02000 \\） \\-exec ls -lg {} \\;

　　* 在被选中的程序上禁止suid 位，键入如下命令：

　　[root@kapil /]# chmod a-s [program]

　　关闭ipv6

　　vi /etc/modprobe.conf,在文件中添加以下两行：

　　alias net-pf-10 off 

　　alias ipv6 off

　　linux是一款很不错的操作系统，现在很多人都选择这种系统，然而，即便是再好的系统，也总避免不了会出现一些故障和意外。因此，学会给linux系统优化，使系统上的应用运行更优是很有必要的。