内核参数的修改方法

Linux内核TCP参数优化设置By lixiangjing on 04 9月2012在Linux下高并发的服务器中，TCP TIME_WAIT套接字数量经常可达两三万，服务器很容易就会被拖死。

不过，我们可以通过修改Linux内核参数来减少服务器的TIME_WAIT套接字数量，命令如下所示：nano /etc/sysctl.conf然后，增加以下参数：net.ipv4.tcp_fin_timeout = 30net.ipv4.tcp_keepalive_time = 1800net.ipv4.tcp_syncookies = 1net.ipv4.tcp_tw_reuse = 1net.ipv4.tcp_tw_recycle = 1net.ipv4.ip_local_port_range = 1024 65000net.ipv4.tcp_max_syn_backlog = 8192net.ipv4.tcp_max_tw_buckets = 5120其中：net.ipv4.tcp_syncookies=1表示开启SYN Cookies。

当出现SYN等待队列溢出时，启用cookie来处理，可防范少量的SYN攻击。

默认为0，表示关闭。

net.ipv4.tcp_tw_reuse=1表示开启重用。

允许将TIME-WAIT套接字重新用于新的TCp连接。

默认为0，表示关闭。

net.ipv4.tcp_tw_recycle=1表示开启TCP连接中TIME-WAIT套接字的快速回收。

默认为0，表示关闭。

net.ipv4.tcp_fin_timeout=30表示如果套接字由本端要求关闭，这个参数决定了它保持在FIN-WAIT-2状态的时间。

net.ipv4.tcp_keepalive_time=1800表示当keepalive启用时，TCP发送keepalive消息的频度。

默认是2小时，这里改为30分钟。

net.ipv4.ip_local_port_range=1024 65000表示向外连接的端口范围。

Kubernetes的`securityContext`可以用于设置Pod或容器的安全配置，包括内核参数。

以下是关于如何在Kubernetes中使用`securityContext`进行内核参数设置的详细信息：
1. sysctls设置：从Kubernetes 1.12版本开始，可以在Pod的`securityContext`中直接指定`sysctls`来设置内核参数。

例如，要设置`net.core.somaxconn`的值为"1024"，可以在Pod的配置中添加相应的`sysctls`配置。

需要注意的是，某些被认为是不安全的参数默认情况下无法修改，除非将其添加到kubelet的`--allowed-unsafe-sysctls`参数中才能使用。

2. initContainers设置：另一种方法是在`initContainer`中设置内核参数，这通常要求给`initContainer`开启特权模式（privileged）。

3. 权能（Capabilities）设置：还可以通过修改容器的Security Context中的`capabilities`参数，来增加特定的权限，如`NET_ADMIN`。

linux的memmap参数在Linux操作系统中，memmap参数是一个非常重要的系统调用参数，它决定了内存映射的容量和限制。

本文将详细介绍memmap参数的含义、作用、设置方法以及使用技巧，帮助读者更好地理解和应用Linux操作系统。

一、memmap参数概述memmap参数是Linux内核参数之一，用于控制内存映射的大小和范围。

它决定了系统可以映射多少物理内存到虚拟内存，以及哪些物理内存可以被映射。

通过设置memmap参数，可以控制系统的内存使用效率，优化系统的性能和稳定性。

二、memmap参数的作用1.内存管理：memmap参数控制了内存映射的范围和容量，从而影响了系统的内存管理策略。

合理的memmap参数设置可以提高系统的内存利用率，减少内存碎片和浪费。

2.性能优化：通过合理设置memmap参数，可以减少系统对物理内存的占用，提高系统的响应速度和运行效率。

同时，合理的内存映射还可以减少数据传输的开销，提高系统的整体性能。

3.系统稳定性：合理的memmap参数设置可以避免系统因内存不足而出现崩溃或死机等问题，从而提高系统的稳定性和可靠性。

三、memmap参数的设置方法Linux系统中，可以通过修改内核配置文件或使用系统调用方式来设置memmap参数。

常用的方法包括：1.修改内核配置文件：在Linux系统中，内核配置文件通常位于/boot/config-<kernel-version>目录下。

可以通过编辑该文件来修改memmap参数的值，并使用makemenuconfig或makexconfig等工具重新编译内核。

2.使用系统调用：在Linux系统中，可以使用mmap()系统调用来映射内存。

通过指定memmap参数的值，可以控制可映射的物理内存大小。

四、使用memmap参数的技巧在使用memmap参数时，需要注意以下几点：1.合理设置memmap参数的值：要根据系统的实际需求和硬件配置来设置合适的memmap参数值，避免过度占用物理内存导致系统性能下降或崩溃。

linux系统内核参数优化-linux快速⼊门教程内核的 shmall 和 shmmax 参数SHMMAX= 配置了最⼤的内存segment的⼤⼩ ------>这个设置的⽐SGA_MAX_SIZE⼤⽐较好。

SHMMIN= 最⼩的内存segment的⼤⼩SHMMNI= 整个系统的内存segment的总个数SHMSEG= 每个进程可以使⽤的内存segment的最⼤个数配置信号灯（ semphore ）的参数：SEMMSL= 每个semphore set⾥⾯的semphore数量 -----> 这个设置⼤于你的process的个数吧，否则你不得不分多个semphore set，好像有process+n之说，我忘了n是⼏了。

SEMMNI= 整个系统的semphore set总数SEMMNS=整个系统的semphore总数shmall 是全部允许使⽤的共享内存⼤⼩，shmmax 是单个段允许使⽤的⼤⼩。

这两个可以设置为内存的 90%。

例如 16G 内存，16*1024*1024*1024*90% = 15461882265，shmall 的⼤⼩为 15461882265/4k(getconf PAGESIZE可得到) = 3774873。

修改 /etc/sysctl.confkernel.shmmax=15461882265kernel.shmall=3774873kernel.msgmax=65535kernel.msgmnb=65535执⾏ sudo sysctl -p可以使⽤ ipcs -l 看结果。

ipcs -u 可以看到实际使⽤的情况========================================================================linux 内存管理⼀、前⾔本⽂档针对OOP8⽣产环境，具体优化策略需要根据实际情况进⾏调整；本⽂档将在以下⼏个⽅⾯来阐述如何针对RedHat Enterprise Linux 进⾏性能优化。

华为⼿机内核代码的编译及刷⼊教程【通过魔改华为P9AndroidKernel对抗反调试机制】0x00 写在前⾯攻防对⽴。

程序调试与反调试之间的对抗是⼀个永恒的主题。

在安卓逆向⼯程实践中，通过修改和编译安卓内核源码来对抗反调试是⼀种常见的⽅法。

但⽹上关于此类的资料⽐较少，且都是基于AOSP（即"Android 开放源代码项⽬",可以理解为原⽣安卓源码）进⾏修改，然后编译成⼆进制镜像再刷⼊Nexus 或者Pixel 等⾕歌亲⼉⼦⼿机。

但因为⾕歌的亲⼉⼦在国内没有⾏货销售渠道，市场占有率更多的是国产⼿机，⽽修改国产⼿机系统内核的教程却很少，加之部分国产⼿机的安卓内核和主线 AOSP 存在些许差异，照搬原⽣安卓代码的修改⽅法⽆法在国产⼿机上实现某些功能，甚⾄⽆法编译成功。

所以本⽂以某国产⼿机为例，通过研究其内核源码，对关键代码进⾏分析、修改，编译内核、打包成刷机镜像，对全过程予以展⽰。

0x01 常见反调试⼿段及对抗策略简介在安卓程序的开发过程中，反调试的⼿段有很多种，简单列举若⼲：(1) 检测特定进程或端⼝号。

如 IDA Pro 在对安卓应⽤进⾏调试时，需要在⼿机端启动调试程序 android_server ，该调试程序默认开启端⼝23946。

⽬标程序若发现⼿机⾥有 android_server 进程或开启了端⼝23946，⽬标程序就⾃动退出，以达到反调试的⽬的。

(2)检测某些关键⽂件的状态。

如⽬标程序在调试状态时，Linux内核会向部分系统⽂件内写⼊⼀些进程状态信息，包括但不限于向 “ /proc/⽬标程序pid/status ” 这⼀⽂件的 TracerPid 字段写⼊调试进程的 pid 。

有部分程序会检查这些字段，⽐如⽬标程序发现对应的 TracerPid 不等于 0 ，则说明⾃⼰本⾝正在被别的程序调试，⽐如：（Pid为19707的进程正在被Pid为24741的进程调试）(3)检测软件断点。

Linux利⽤Sysctl命令调整内核参数前⾔sysctl 命令被⽤于在内核运⾏时动态地修改内核的运⾏参数，可⽤的内核参数在⽬录 /proc/sys 中。

它包含⼀些TCP/IP堆栈和虚拟内存系统的⾼级选项，这可以让有经验的管理员提⾼引⼈注⽬的系统性能。

⽤sysctl可以读取设置超过五百个系统变量。

1、常见⽤法列出所有的变量并查看sysctl -a | less修改某变量的值sysctl -w 变量名=变量值#sysctl -w vm.max_map_count=262144读⼀个指定的变量，例如 kernel.msgmnb：[xt@butbueatiful ~]$ sysctl kernel.msgmnbkern.maxproc: 65536要设置⼀个指定的变量，直接⽤variable=value这样的语法：[xt@butbueatiful ~]$ sudo sysctl kernel.msgmnb=1024kernel.msgmnb: 1024可以使⽤sysctl修改系统变量，也可以通过编辑sysctl.conf⽂件来修改系统变量。

sysctl.conf 看起来很像 rc.conf。

它⽤variable=value的形式来设定值。

指定的值在系统进⼊多⽤户模式之后被设定。

并不是所有的变量都可以在这个模式下设定。

sysctl 变量的设置通常是字符串、数字或者布尔型。

(布尔型⽤ 1 来表⽰'yes'，⽤ 0 来表⽰'no')。

sysctl -w kernel.sysrq=0sysctl -w kernel.core_uses_pid=1sysctl -w net.ipv4.conf.default.accept_redirects=0sysctl -w net.ipv4.conf.default.accept_source_route=0sysctl -w net.ipv4.conf.default.rp_filter=1sysctl -w net.ipv4.tcp_syncookies=1sysctl -w net.ipv4.tcp_max_syn_backlog=2048sysctl -w net.ipv4.tcp_fin_timeout=30sysctl -w net.ipv4.tcp_synack_retries=2sysctl -w net.ipv4.tcp_keepalive_time=3600sysctl -w net.ipv4.tcp_window_scaling=1sysctl -w net.ipv4.tcp_sack=12、关于sysctl⽂件的配置sysctl设置定义在 sur/lib/sysctl.d/ , /run/sysctl.d 和 /etc/sysctrl.d ⽬录下。

Linxu内核参数详解1. #表⽰SYN队列的长度，默认为1024，加⼤队列长度，可以容纳更多等待连接的⽹络连接数。

2. net.ipv4.tcp_max_syn_backlog = 655363.4. #每个⽹络接⼝接收数据包的速率⽐内核处理这些包的速率快时，允许送到队列的数据包的最⼤数⽬5. dev_max_backlog = 327686.7. #默认128,这个参数会影响到所有AF_INET类型socket的listen队列8. net.core.somaxconn = 327689.10. #系统套接字写默认缓冲区11. net.core.wmem_default = 838860812.13. #系统套接字读默认缓冲区14. net.core.rmem_default = 838860815.16. #系统套接字读最⼤缓冲区17. net.core.rmem_max = 1677721618.19. #系统套接字写最⼤缓冲区20. net.core.wmem_max = 1677721621.22. #此参数与net.ipv4.tcp_wmem都是⽤来优化TCP接收/发送缓冲区，包含三个整数值，分别是：min，default，max：23. #tcp_rmem：min表⽰为TCP socket预留⽤于接收缓冲的最⼩内存数量，default为TCP socket预留⽤于接收缓冲的缺省内存数量，max⽤于TCP socket接收缓冲的内存最⼤值。

24. #tcp_wmem：min表⽰为TCP socket预留⽤于发送缓冲的内存最⼩值，default为TCP socket预留⽤于发送缓冲的缺省内存值，max⽤于TCP socket发送缓冲的内存最⼤值。

25. net.ipv4.tcp_rmem=4096 87380 419430426. net.ipv4.tcp_wmem=4096 16384 419430427.28. #时间戳可以避免序列号的卷绕。

核心参数说明shmmax - 共享内存段.shmmin - 最小的共享内存段.shmmni - 共享内存标志符的数量.shmseg - 一个进程可分配的最大内存段数.shmall - 最大可允许的内存数.semmns - 信号量.semmsl- 一个信号灯集中最大的信号量数.共享内存SHMMAX：单个共享内存段的最大字节数。

SHMSEG：每个进程可链接的最多共享内存段数SHMALL：操作系统内全部共享内存的大小，应大于SHMMAX*SHMSEG。

消息队列MSGTQL：一个队列中可存放消息的个数MSGMAX：一个消息队列的最大字节数, 大于消息个数×一个消息的字节数。

MSGMNB：一个消息队列的最大字节数，大于消息个数*一个消息的字节数。

信号灯SEMMNI：信号灯集的个数。

SEMMSL：每个信号灯集中信号灯的最大个数SEMMNS：操作系统中信号灯的总数一、Linux下核心参数的调整1）操作对于正在运行内核 2.4 或更高版本的 Linux 系统，作为 root 用户在命令行上发出下列命令：∙sysctl -w kernel.msgmni=2048∙sysctl -w kernel.shmmax=1073741824∙sysctl -w fs.file-max=32768∙sysctl -w kernel.sem="512 32000 32 1024"要自动执行命令，编辑/etc/rc.d/rc.local文件，并将上述命令放在文件末尾。

在后续的每次系统引导时，就会自动设置这些值。

二．Solaris下核心参数的调整修改Solaris里/etc/system，设置格式如下：set shmsys:shminfo_shmmax=4294967295set shmsys:shminfo_shmmin=1set shmsys:shminfo_shmmni=100set shmsys:shminfo_shmseg=15set semsys:seminfo_semmns=200set semsys:seminfo_semmni=70set ulimit=3000000set semsys:seminfo_semmni=315set semsys:seminfo_semmsl=300set semsys:seminfo_semmns=630set semsys:seminfo_semopm=315set semsys:seminfo_semvmx=32767set shmsys:shminfo_shmmax=4294967295set shmsys:shminfo_shmmni=315set shmsys:shminfo_shmseg=10set shmsys:shminfo_shmmin=1set maxusers = <以MB为单位计的可用物理内存数量>set max_nprocs = 10 + 16 * maxusers//set max_nprocs=1200 系统所允许的最大进程数，通常最多30000set maxuprc = max_nprocs –10//每个用户可以拥有的最大进程数(为超级用户保留10个)set rlim_fd_max=2048set rlim_fd_cur=1024solaris 7下select()可以使用最多达65536的文件句柄，64-bit 应用程序缺省情况如此。