最佳 sysctl.conf 配置示例:提高性能和安全性
由于每个系统的配置需求都不同,因此没有一种通用的最优 sysctl.conf 配置。以下是几个常见的 sysctl.conf 配置示例:
- 用于高负载Web服务器的配置:
# 开启 TCP/IP 栈加速
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.ipv4.tcp_rmem = 4096 87380 16777216
net.ipv4.tcp_wmem = 4096 16384 16777216
# 增加系统 TCP/IP 连接数
net.ipv4.tcp_max_syn_backlog = 65536
net.core.somaxconn = 65536
# 减少 TCP/IP 延迟
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_sack = 1
net.ipv4.tcp_window_scaling = 1
net.ipv4.tcp_fin_timeout = 15
# 避免 TCP/IP 拥塞
net.ipv4.tcp_congestion_control = cubic
# 增加系统的文件描述符上限
fs.file-max = 100000
- 用于保护服务器免受DDoS攻击的配置:
# 开启 SYN Cookie 保护
net.ipv4.tcp_syncookies = 1
# 避免 ICMP 洪水攻击
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1
# 增加系统的 TCP/IP 连接数
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2
# 减少 TCP/IP 延迟
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_sack = 1
net.ipv4.tcp_window_scaling = 1
net.ipv4.tcp_fin_timeout = 15
# 避免 TCP/IP 拥塞
net.ipv4.tcp_congestion_control = cubic
# 增加系统的文件描述符上限
fs.file-max = 100000
- 用于保护服务器免受恶意攻击的配置:
# 禁用IP源路由
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
# 避免 ICMP 洪水攻击
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1
# 增加系统的 TCP/IP 连接数
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2
# 减少 TCP/IP 延迟
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_sack = 1
net.ipv4.tcp_window_scaling = 1
net.ipv4.tcp_fin_timeout = 15
# 避免 TCP/IP 拥塞
net.ipv4.tcp_congestion_control = cubic
# 增加系统的文件描述符上限
fs.file-max = 100000
请注意,这些配置只是参考,您需要根据您的具体情况进行调整。在更改sysctl.conf文件之前,请确保备份原始文件以防止意外更改。
原文地址: https://www.cveoy.top/t/topic/n6PT 著作权归作者所有。请勿转载和采集!