Nginx做web服务器linux内核参数优化[服务器安全]

　　Nginx做web服务器linux内核参数优化

　　Nginx供应web服务时Linux内核参数调整是必不可少的,此中在优化方面就需求我们分外的注意.在下面就是对Linux内核参数优化的具体介绍,但愿大家有所收获.

　　关于Linux内核参数的优化:

　　net.ipv4.tcp_max_tw_buckets = 6000

　　timewait的数目,默许是180000.

　　net.ipv4.ip_local_port_range = 1024 65000

　　答应系统翻开的端口范围.

　　net.ipv4.tcp_tw_recycle = 1

　　启用timewait快速回收.

　　net.ipv4.tcp_tw_reuse = 1

　　开启重用.答应将TIME-WAIT sockets重新用于新的TCP衔接.

　　net.ipv4.tcp_syncookies = 1

　　开启SYN Cookies,当呈现SYN等候行列溢出时,启用cookies来处理.

　　net.core.somaxconn = 262144

　　web利用中listen函数的backlog默许会给我们内核参数的net.core.somaxconn限制到128,而Nginx内核参数定义的NGX_LISTEN_BACKLOG默许为511,所以有必要调整这个值.

　　net.core.netdev_max_backlog = 262144

　　每个网络接口接纳数据包的速率比内核处理这些包的速率快时,答应送到行列的数据包的最大数目.

　　net.ipv4.tcp_max_orphans = 262144

　　系统中最多有多少个TCP套接字不被关联到任何一个用户文件句柄上.假如超越这个数字,孤儿衔接将即刻被复位并打印出告诫信息.这个限制仅仅是为了避免简单的DoS攻击,不能过度依靠它大概人为地减小这个值,更应当增添这个值(假如增添了内存之后).

　　net.ipv4.tcp_max_syn_backlog = 262144

　　记录的那些还没有收到客户端确认信息的衔接恳求的最大值.关于有128M内存的系统而言,缺省值是1024,小内存的系统则是128.

　　net.ipv4.tcp_timestamps = 0

　　时间戳可以避免序列号的卷绕.一个1Gbps的链路必定会碰到从前用过的序列号.时间戳可以让内核承受这种“非常”的数据包.这里需求将其关掉.

　　net.ipv4.tcp_synack_retries = 1

　　为了翻开对端的衔接,内核需求发送一个SYN并附带一个回应前面一个SYN的ACK.也就是所谓三次握手中的第二次握手.这个设置决意了内核放弃衔接之前发送SYN+ACK包的数目.

　　net.ipv4.tcp_syn_retries = 1

　　在内核放弃成立衔接之前发送SYN包的数目.

　　net.ipv4.tcp_fin_timeout = 1

　　假如套接字由本端要求关闭,这个参数决意了它保持在FIN-WAIT-2状况的时间.对端可以出错并永久不关闭衔接,乃至不测当机.缺省值是60秒.2.2 内核的普通值是180秒,你可以按这个设置,但要记着的是,即便你的机械是一个轻载的WEB服务器,也有因为大量的死套接字而内存溢出的风险,FIN- WAIT-2的危险性比FIN-WAIT-1要小,因为它最多只能吃掉1.5K内存,但是它们的生存期长些.

　　net.ipv4.tcp_keepalive_time = 30

　　当keepalive起用的时刻,TCP发送keepalive消息的频度.缺省是2小时.