ini Linux Web服务器内核调优

Posted 2021-05-24

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了ini Linux Web服务器内核调优相关的知识，希望对你有一定的参考价值。

# Configuration file for runtime kernel parameters.
# See sysctl.conf(5) for more information.

# See also http://www.nateware.com/linux-network-tuning-for-2013.html for
# an explanation about some of these parameters, and instructions for
# a few other tweaks outside this file.

# Protection from SYN flood attack.
net.ipv4.tcp_syncookies = 1

# See evil packets in your logs.
net.ipv4.conf.all.log_martians = 1

# Discourage Linux from swapping idle server processes to disk (default = 60)
vm.swappiness = 10

# Tweak how the flow of kernel messages is throttled.
#kernel.printk_ratelimit_burst = 10
#kernel.printk_ratelimit = 5

# --------------------------------------------------------------------
# The following allow the server to handle lots of connection requests
# --------------------------------------------------------------------

# Increase number of incoming connections that can queue up
# before dropping
net.core.somaxconn = 50000

# Handle SYN floods and large numbers of valid HTTPS connections
net.ipv4.tcp_max_syn_backlog = 30000

# Increase the length of the network device input queue
net.core.netdev_max_backlog = 5000

# Increase system file descriptor limit so we will (probably)
# never run out under lots of concurrent requests.
# (Per-process limit is set in /etc/security/limits.conf)
fs.file-max = 100000

# Widen the port range used for outgoing connections
net.ipv4.ip_local_port_range = 10000 65000

# If your servers talk UDP, also up these limits
net.ipv4.udp_rmem_min = 8192
net.ipv4.udp_wmem_min = 8192

# --------------------------------------------------------------------
# The following help the server efficiently pipe large amounts of data 
# --------------------------------------------------------------------

# Disable source routing and redirects
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.accept_source_route = 0

# Disable packet forwarding.
net.ipv4.ip_forward = 0
net.ipv6.conf.all.forwarding = 0

# Disable TCP slow start on idle connections
net.ipv4.tcp_slow_start_after_idle = 0

# Increase Linux autotuning TCP buffer limits
# Set max to 16MB for 1GE and 32M (33554432) or 54M (56623104) for 10GE
# Don't set tcp_mem itself! Let the kernel scale it based on RAM.
# net.core.rmem_max = 16777216
# net.core.wmem_max = 16777216
# net.core.rmem_default = 16777216
# net.core.wmem_default = 16777216
# net.core.optmem_max = 40960
# net.ipv4.tcp_rmem = 4096 87380 16777216
# net.ipv4.tcp_wmem = 4096 65536 16777216


# --------------------------------------------------------------------
# The following allow the server to handle lots of connection churn
# --------------------------------------------------------------------

# Disconnect dead TCP connections after 1 minute
net.ipv4.tcp_keepalive_time = 60

# Wait a maximum of 5 * 2 = 10 seconds in the TIME_WAIT state after a FIN, to handle
# any remaining packets in the network. 
net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait = 5

# Allow a high number of timewait sockets
net.ipv4.tcp_max_tw_buckets = 2000000

# Timeout broken connections faster (amount of time to wait for FIN)
net.ipv4.tcp_fin_timeout = 10

# Let the networking stack reuse TIME_WAIT connections when it thinks it's safe to do so
net.ipv4.tcp_tw_reuse = 1

# Determines the wait time between isAlive interval probes (reduce from 75 sec to 15)
net.ipv4.tcp_keepalive_intvl = 15

# Determines the number of probes before timing out (reduce from 9 sec to 5 sec)
net.ipv4.tcp_keepalive_probes = 5

# -------------------------------------------------------------

linux内核tcp调优规范与方案

　　1、TCP常用内核参数优化

　　上一篇我们介绍了服务器上有大量的TIME_WAIT等待，可能造成的危害，以及给web服务器带来负担。如何解决这个问题呢，其实，解决思路很简单，就是让服务器能够快速回收和重用那些TIME_WAIT的资源即可。这就是对tcp调优。

　　在linux系统上，对tcp调优主要是通过调整Linux内核参数来实现的，其实主要是对/proc文件系统进行设置，/proc文件系统是一种内核和内核模块用来向进程(process) 发送信息的机制(所以叫做/proc)。通过这个伪文件系统我们可以和内核内部数据结构进行交互，在运行中改变内核参数。与其他文件系统不同，/proc存在于内存之中而不是硬盘上。proc文件系统以文件的形式向用户空间提供了访问接口，这些接口可以用于在运行时获取相关信息或者修改参数配置，因而它是非常方便的一个接口。

　　/proc目录下存放着大多数的内核参数，并且可以在系统运行的同时进行更改, 但是，重新启动机器后就会失效，怎么解决呢，我们可以通过将更改的内核参数写入 /etc/sysctl.conf文件中实现永久更改，在/etc/sysctl.conf文件中添加或者修改如何设置：

　　#对于一个新建连接，内核要发送多少个SYN连接请求才决定放弃,不应该大于255，默认值是5，这里设置为2.

　　net.ipv4.tcp_syn_retries=2

　　#表示当keepalive启用的时候，TCP发送keepalive消息的频度。缺省是7200秒，改为300秒

　　net.ipv4.tcp_keepalive_time=300

　　#表示孤儿socket废弃前重试的次数，重负载web服务器建议调小。

　　net.ipv4.tcp_orphan_retries=1

　　#表示如果套接字由本端要求关闭，这个参数决定了它保持在FIN-WAIT-2状态的时间

　　net.ipv4.tcp_fin_timeout=30

　　#表示SYN队列的长度，默认为1024，加大队列长度为8192，可以容纳更多等待连接的网络连接数。

　　net.ipv4.tcp_max_syn_backlog = 8192 (注意：这个队列大小除了系统设置外，程序里面也要设置)

　　#表示开启SYN Cookies。当出现SYN等待队列溢出时，启用cookies来处理，可防范少量SYN攻击，默认为0，表示关闭

　　net.ipv4.tcp_syncookies = 1

　　#表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接，默认为0，表示关闭

　　net.ipv4.tcp_tw_reuse = 1

　　#表示开启TCP连接中TIME-WAIT sockets的快速回收，默认为0，表示关闭

　　net.ipv4.tcp_tw_recycle = 1

　　修改完之后执行/sbin/sysctl -p让参数生效。

　　其实TIME-WAIT的问题还是比较好处理的，可以通过调节服务器参数实现，有时候还会出现CLOSE_WAIT很多的情况，CLOSE_WAIT是在对方关闭连接之后服务器程序自己没有进一步发出ACK信号。换句话说，就是在对方连接关闭之后，程序里没有检测到，或者程序压根就忘记了这个时候需要关闭连接，于是这个资源就一直被程序占着。所以解决CLOSE_WAIT过多的方法还需要检查程序，检查代码，因为问题很大程度上出在服务器程序中。

　　到此为止，TCP优化到一段落。

　　2、TCP洪水攻击(SYN Flood)的诊断和处理

　　SYN Flood是当前最流行的DoS(拒绝服务)与DDoS(分布式拒绝服务)的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，常用假冒的IP或IP号段发来海量的请求连接第一个握手包(SYN包)，被攻击服务器回应第二个握手包(SYN+ACK包)，因为对方是假冒IP，对方永远收不到包且不会回应第三个握手包。导致被攻击服务器保持大量SYN_RECV状态的“半连接”，并且会重试默认5次回应第二个握手包，直到塞满TCP等待连接队列，资源耗尽(CPU满负荷或内存不足)，让正常的业务请求连接不进来。

　　那么如何诊断SYN Flood问题呢，一般情况下如果发现网站打开缓慢、CPU负载高、ssh登陆慢甚至登陆不上，同时在系统日志中发现如下信息：

　　[root@test ~]# tail -f /var/log/messages

　　Mar 12 02:38:03 test kernel: possible SYN flooding on port 80. Sending cookies.

　　Mar 12 02:39:04 test kernel: possible SYN flooding on port 80. Sending cookies.

　　如果出现类似这种情况，那可能就是遭遇了TCP洪水***。郑州妇科医院排名http://www.zzchxb110.com/ Mar 12 02:40:04 test kernel: possible SYN flooding on port 80. Sending cookies.

　　如果出现类似这种情况，那可能就是遭遇了TCP洪水***。

　　此时，通过如下命令检查TCP连接状态：

　　[root@localhost ~]# netstat -n | awk ‘/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}‘

　　TIMEWAIT 7807

　　FINWAIT1 59

　　ESTABLISHED 8112

　　FINWAIT2 809

　　SYNRECV 198098

　　CLOSING 27

　　LASTACK 36

　　检查发现，SYNRECV连接数会非常多。

　　针对这个问题，首先要做应急处理，那就是找到请求数请最多的IP地址，查找攻击来源，使用如下命令组合：

　　[root@localhost ~]# netstat -anlp|grep 80|grep tcp|awk ‘{print $5}‘|awk -F: ‘{print $1}‘|sort|uniq -c|sort -nr|head -n3

　　36.171.242

　　149.130.152

　　149.130.18

　　查到可疑的IP后，利用iptables临时封掉最大嫌疑攻击的IP或IP号段。

　　接着，还需要调整系统内核参数，来抵挡这种攻击，根据上面对SYN Flood攻击的特点，我们只需修改操作系统内核参数即可有效缓解。主要参数如下：

　　net.ipv4.tcpsyncookies = 1

　　net.ipv4.tcpmaxsynbacklog = 81920

　　net.ipv4.tcpsynackretries = 2

　　三个参数的含义分别为启用SYN Cookie、设置SYN最大队列长度以及设置SYN+ACK最大重试次数。

　　SYN Cookie的作用是缓解服务器资源压力。启用之前，服务器在接到SYN数据包后，会立即分配存储空间，并随机化一个数字作为SYN号发送SYN+ACK数据包。然后保存连接的状态信息等待客户端确认。而在启用SYN Cookie之后，服务器不再马上分配存储空间，而且通过基于时间种子的随机数算法设置一个SYN号，替代完全随机的SYN号。发送完SYN+ACK确认报文之后，清空资源不保存任何状态信息。直到服务器接到客户端的最终ACK包。同时，通过Cookie检验算法鉴定是否与发出去的SYN+ACK报文序列号匹配，匹配则通过完成握手，失败则丢弃。

　　tcpmaxsynbacklog则是使用服务器的内存资源，换取更大的等待队列长度，让攻击数据包不至于占满所有连接而导致正常用户无法完成握手。

　　net.ipv4.tcpsynackretries是降低服务器SYN+ACK报文重试次数(默认是5次)，尽快释放等待资源。

　　这三种措施与攻击的三种危害一一对应，完完全全是对症下药。但这些措施也是双刃剑，设置过大可能消耗服务器更多的内存资源，甚至影响正常用户建立TCP连接，因此，需要评估服务器硬件资源和大小谨慎设置。

以上是关于ini Linux Web服务器内核调优的主要内容，如果未能解决你的问题，请参考以下文章

linux内核tcp调优规范与方案

linux内核优化参数

高性能linux服务器内核调优

linux 服务器安全加固和内核参数调优 nf_conntrack

linux 下nginx应用场景的tcp内核调优