Бруй В.В., Карлов С.В. - Linux-сервер - пошаговые инструкции - инсталляции и настройки (1077321), страница 33
Текст из файла (страница 33)
Файл /proc/sys/vm/bdflush содержитзначения (приведены значения по умолчанию) следующих 9 параметров:[root@karlnext /]# cat /proc/sys/vm/bdflush30500005003000 60200111Глава 7. Псевдофайловая система /procПервый параметр – nfract – в конечном итоге определяет процент заполнения буфера, при достижении которого осуществляется запись на диск. Значение по умолчанию – 30 %, минимальное – 0 % и максимальное – 100 %. Установка высокого значения параметра приводит к тому, что задержка записи на дискосуществляется в течение более длительного времени, но при этом увеличивается загрузка памяти из-заопераций ввода - вывода фрагментами большего размера. Рекомендуем установить значение параметра,равное 40.Второй параметр – dummy1 пока не используется, сохраните значение по умолчанию.Третий параметр – dummy2 тоже пока не используется, сохраните значение по умолчанию.О четвертом параметре – dummy3 – можно сказать то же самое.Параметр interval определяет минимальный интервал, в течение которого осуществляется очисткабуфера.
Значение по умолчанию – 5 секунд, минимальное – 0 секунд и максимальное – 600 секунд. Мы сохраняем здесь значение по умолчанию.Шестой параметр – age_buffer определяет максимальный интервал времени, по истечении которого информация из буфера записывается на диск. Значение по умолчанию – 30 секунд, минимальное – 1 секунда и максимальное – 6 000 секунд. Рекомендуем оставить значение по умолчанию.Седьмой параметр – nfract_sync управляет размером буферного кэша, выраженным в процентах,который заполняется до начала активизации bdflush. Его можно рассматривать как жесткое ограничениебуфера прежде, чем bdflush начнет запись на диск.
Значение по умолчанию – 60 %, минимальное – 0 % имаксимальное – 100 %. Рекомендуем оставить значение по умолчанию.Восьмой и девятые параметры – dummy4 и dummy5 - пока не используется, сохраните значения поумолчанию.Установка рекомендуемых нами или любых других значений параметров осуществляется следующим образом.Шаг 1Добавьте или откорректируйте в файле /etc/sysctl.conf строку:#Увеличение производительности файловой системыvm.bdflush = 40500005003000 60200Шаг 2Для того, чтобы внесенные нами изменения вступили в силу, перезагрузите сеть:[root@karlnext /]# /etc/init.d/network restartДеактивируется интерфейс eth0:[ОК]Деактивируется интерфейс-петля:[ОК]Устанавливаются параметры сети:[ОК]Активируется интерфейс loopback:[ОК]Активируется интерфейс eth0:[ОК]Тот же самый эффект может быть достигнут и без перезагрузки сети:[root@karlnext /]# sysctl -w vm.bdflush="40 500 0 0 500 3000 60 20 0"Файл /proc/sys/vm/kswapd содержит параметры настройки операций с виртуальной памятьюсистемы (очистка, дефрагментирование).
Очистка производится, когда виртуальная память сильно дефрагментированна или заполнена. Файл /proc/sys/vm/kswapd содержит значения (приведены значения поумолчанию) следующих 3 параметров:[root@karlnext /]# /proc/sys/vm/kswapd512328Первый параметр – tries_base определяет максимальное количество страниц kswapd, которыедолжны очищаться за один цикл.
Увеличив это число, можно заставить виртуальную память работать быстрее. Сохраните значение по умолчанию.Второй параметр – tries_min определяет минимальное количество страниц, которые kswapd должен очищать каждый раз при вызове. В основном этот параметр служит для того, чтобы удостовериться, чтоkswapd очищает страницы, даже когда программа работает с минимальным приоритетом.
Значение поумолчанию – 32 страницы. Сохраните значение по умолчанию.Третий параметр – swap_cluster определяет количество страниц, которые kswapd записывает заодну итерацию. Естественно стремление повысить производительность за счет проведения операций ввода вывода большими фрагментами и уменьшения времени поиска нужного сектора диска. Однако фрагментыне должны быть слишком большими, иначе может произойти переполнение очереди запроса. Значение поумолчанию – 8 страниц. Установите значение этого параметра, равное 32.Установка значений параметров осуществляется следующим образом.112Часть 1.
Инсталляция операционной системы Linux на сервереШаг 1Добавьте или откорректируйте в файле /etc/sysctl.conf строки:#Увеличение производительности swapvm.kswapd = 5123232Шаг 2Для того, чтобы внесенные изменения вступили в силу, перезагрузите сеть:[root@karlnext /]# /etc/init.d/network restartДеактивируется интерфейс eth0:[ОК]Деактивируется интерфейс-петля:[ОК]Устанавливаются параметры сети:[ОК]Активируется интерфейс loopback:[ОК]Активируется интерфейс eth0:[ОК]Тот же самый эффект может быть достигнут и без перезагрузки сети:[root@karlnext /]# sysctl -w vm.kswapd = "512 32 32"Настройка параметров подсистемы IPv4Файлы, соответствующие всем описываемым ниже параметрам, находятся в каталоге/proc/sys/net/ipv4 и используются для настройки подсистемы ядра IPv4.
Для просмотра файлов в каталоге /proc/sys/net/ipv4 наберите команду:[root@karlnext /]# ls –l /proc/sys/net/ipv4dr-xr-xr-x6 rootroot0 Янв 25 13:18 conf-rw-r--r-1 rootroot0 Янв 25 13:18icmp_echo_ignore_all-rw-r--r-1 rootroot0 Янв 25 13:18icmp_echo_ignore_broadcasts-rw-r--r-1 rootroot0 Янв 25 13:18icmp_ignore_bogus_error_responses-rw-r--r-1 rootroot0 Янв 25 13:18 icmp_ratelimit-rw-r--r-1 rootroot0 Янв 25 13:18 icmp_ratemask-rw-r--r-1 rootroot0 Янв 25 13:18inet_peer_gc_maxtime-rw-r--r-1 rootroot0 Янв 25 13:18inet_peer_gc_mintime-rw-r--r-1 rootroot0 Янв 25 13:18 inet_peer_maxttl-rw-r--r-1 rootroot0 Янв 25 13:18 inet_peer_minttl-rw-r--r-1 rootroot0 Янв 25 13:18inet_peer_threshold-rw-r--r-1 rootroot0 Янв 25 13:18 ip_autoconfig-rw-r--r-1 rootroot0 Янв 25 13:18 ip_conntrack_max-rw-r--r-1 rootroot0 Янв 25 13:18 ip_default_ttl-rw-r--r-1 rootroot0 Янв 25 13:18 ip_dynaddr-rw-r--r-1 rootroot0 Янв 25 13:18 ip_forward-rw-r--r-1 rootroot0 Янв 25 13:18 ipfrag_high_thresh-rw-r--r-1 rootroot0 Янв 25 13:18 ipfrag_low_thresh-rw-r--r-1 rootroot0 Янв 25 13:18 ipfrag_time-rw-r--r-1 rootroot0 Янв 25 13:18ip_local_port_range-rw-r--r-1 rootroot0 Янв 25 13:18 ip_nonlocal_bind-rw-r--r-1 rootroot0 Янв 25 13:18 ip_no_pmtu_discdr-xr-xr-x5 rootroot0 Янв 25 13:18 neighdr-xr-xr-x2 rootroot0 Янв 25 13:18 route-rw-r--r-1 rootroot0 Янв 25 13:18tcp_abort_on_overflow-rw-r--r-1 rootroot0 Янв 25 13:18 tcp_adv_win_scale-rw-r--r-1 rootroot0 Янв 25 13:18 tcp_app_win-rw-r--r-1 rootroot0 Янв 25 13:18 tcp_dsack-rw-r--r-1 rootroot0 Янв 25 13:18 tcp_ecn-rw-r--r-1 rootroot0 Янв 25 13:18 tcp_fack-rw-r--r-1 rootroot0 Янв 25 13:18 tcp_fin_timeout113Глава 7.
Псевдофайловая система /proc-rw-r--r-1 roottcp_keepalive_intvl-rw-r--r-1 roottcp_keepalive_probes-rw-r--r-1 roottcp_keepalive_time-rw-r--r-1 root-rw-r--r-1 roottcp_max_syn_backlog-rw-r--r-1 roottcp_max_tw_buckets-rw-r--r-1 root-rw-r--r-1 roottcp_orphan_retries-rw-r--r-1 root-rw-r--r-1 roottcp_retrans_collapse-rw-r--r-1 root-rw-r--r-1 root-rw-r--r-1 root-rw-r--r-1 root-rw-r--r-1 root-rw-r--r-1 root-rw-r--r-1 roottcp_synack_retries-rw-r--r-1 root-rw-r--r-1 root-rw-r--r-1 root-rw-r--r-1 root-rw-r--r-1 root-rw-r--r-1 roottcp_window_scaling-rw-r--r-1 rootroot0 Янв 25 13:18root0 Янв 25 13:18root0 Янв 25 13:18rootroot0 Янв 25 13:18 tcp_max_orphans0 Янв 25 13:18root0 Янв 25 13:18rootroot0 Янв 25 13:18 tcp_mem0 Янв 25 13:18rootroot0 Янв 25 13:18 tcp_reordering0 Янв 25 13:18rootrootrootrootrootrootroot0000000ЯнвЯнвЯнвЯнвЯнвЯнвЯнв2525252525252513:1813:1813:1813:1813:1813:1813:18tcp_retries1tcp_retries2tcp_rfc1337tcp_rmemtcp_sacktcp_stdurgrootrootrootrootrootroot000000ЯнвЯнвЯнвЯнвЯнвЯнв25252525252513:1813:1813:1813:1813:1813:18tcp_syncookiestcp_syn_retriestcp_timestampstcp_tw_recycletcp_tw_reuseroot0 Янв 25 13:18 tcp_wmemПриведенный вывод с экрана получен для версии ядра 2.4.19, в другой системе он может выглядеть несколько по-другому.Установка запрета ответа на ping-запросыПредотвращение возможности ответов вашей системы на запросы утилиты ping может значительноулучшить сетевую безопасность, так как никто не сможет «пропинговать» ваш сервер.
Установка запретаосуществляется следующим образом.Шаг 1Добавьте или откорректируйте в файле /etc/sysctl.conf следующие строки:# Игнорирование ответов на pingnet.ipv4.icmp_echo_ignore_all=1ЗАМЕЧАНИЕ Установку значения параметра net.ipv4.icmp_echo_ignore_all=1 рекомендуетсяустанавливать только в случае осуществления атак, основанных на использовании ICMP-пакетов.
В другихслучаях этого делать не рекомендуется, т. к. это существенно ограничивает функциональные возможностисистемы, которая использует ICMP-пакеты для установки такого важного параметра, как MTU. Многие владельцы Web-серверов используют эту опцию, забывая при этом, что MS Windows-98/Ме имеет в установкахпо умолчанию автоматический выбор значения MTU. В этом случае Web-сервера становятся недоступнымидля большинства пользователей.Шаг 2Для того, чтобы внесенные изменения вступили в силу, перезагрузите сеть:[root@karlnext /]# /etc/init.d/network restartДеактивируется интерфейс eth0:[ОК]Деактивируется интерфейс-петля:[ОК]Устанавливаются параметры сети:[ОК]Активируется интерфейс loopback:[ОК]114Часть 1. Инсталляция операционной системы Linux на сервереАктивируется интерфейс eth0:[ОК]Тот же самый эффект может быть достигнут и без перезагрузки сети:[root@karlnext /]# sysctl –w net.ipv4.icmp_echo_ignore_all=1Установка запрета ответа на широковещательные ping-запросыКогда запрос утилиты ping посылается на широковещательный адрес (например, 172.16.255.255 или192.168.1.255), то соответствующие пакеты доставляются всем машинам этой сети.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
