linux内核参数更改(整理)

更改运行中的内核的参数

Linux 向管理员提供可以在系统运行时更改内核，而不需要重新引导内核／系统。这是通过 /proc 虚拟文件系统实现的。

1、如何更改系统正常运行中的内核的参数
不使用编辑器来更改任何这些文件。每当更改 /proc 文件系统中的任何内容时，应该使用 echo 命令，然后从命令行将输出重定向至 /proc 下所选定的文件中。例如： echo "Your-New-Kernel-Value" > /proc/your/file
查看 /proc 中的信息，应该使用专门用于此用途的命令，或者使用命令行下的 cat 命令。

2、更改什么
/proc最通常的情况是它的大多数文件是只读的，除了 /proc/sys 目录。该目录下存放着大多数的内核参数（而不是信息），并且设计成可以在系统运行的同时进行更改。
 
3、进行更改

--->echo指令
echo "16384" > /proc/sys/fs/file-max
echo "scsi add-single-device w x y z" > /proc/scsi/scsi

--->sysctl指令
sysctl -w fs.file-max="16384"

---> 在 /etc/sysctl.conf 后加入: fs.file-max="16384"
            
        要想使重启后的更改仍然生效, 就必须使用这种
===================================
例如:
proc/scsi

/proc/scsi/scsi
在有热交换驱动器情况下，如何不重启系统就可以添加更多磁盘空间。假使不使用 /proc ，您可以插入驱动器，但为了使系统识别新磁盘，必须随即重新引导系统。这里，可以用以下命令来使系统识别新的驱动器：

echo "scsi add-single-device w x y z" > /proc/scsi/scsi

为使该命令正常运行，必须指定正确的参数值 w、x、y 和 z，如下所示：

w 是主机适配器标识，第一个适配器为零（0）
x 是主机适配器上的 SCSI 通道，第一个通道为零（0）
y 是设备的 SCSI 标识
z 是 LUN 号，第一个 LUN 为零（0）

一旦将磁盘添加到系统中之后，可以挂装任何先前已格式化的文件系统，也可以开始对它进行格式化等。例如，如果不确定磁盘是什么设备，或者想检查任何先前已有的分区，则可以用如 fdisk -l 这样的命令来向您报告这方面的信息。

相反的，在不重新引导系统的情况下将设备从系统中除去的命令是：

echo "scsi remove-single-device w x y z" > /proc/scsi/scsi

在输入这条命令并将热交换 SCSI 磁盘从系统中除去之前，请确保首先卸下已从该磁盘安装的任何文件系统。

==========================
使内核设置具有持久性的程序 sysctl
它使您可以更改运行中的内核,但它还有一个在系统引导时执行的配置文件。这使您可以更改运行中的内核，并将这些更改添加到配置文件，以便于在系统重新引导之后，这些更改仍然生效。

sysctl 的配置文件是 /etc/sysctl.conf ，可以编辑该文件。 sysctl 将 /proc/sys 下的文件视为可以更改的单个变量。
例如:
/proc/sys 下的文件 /proc/sys/fs/file-max 为例，它表示系统中所允许的文件句柄的最大数目，这个文件被表示成 fs.file-max 。
#sysctl -w fs.file-max="16384"
 
这个示例揭示了 sysctl 表示法不一般的用法:
由于 sysctl 只能更改 /proc/sys 目录下的变量，并且人们始终认为变量是在这个目录下，因此省略了变量名的那一部分（/proc/sys）。另一个要说明的更改是，将目录分隔符（正斜杠 /）换成了英文中的句号（点 .）。

将 /proc/sys 中的文件转换成 sysctl 中的变量有两个简单的规则：

去掉前面部分 /proc/sys 。
将文件名中的正斜杠变为点。

这两条规则使您能将 /proc/sys 中的任一文件名转换成 sysctl 中的任一变量名。一般文件到变量的转换为：

/proc/sys/dir/file --> dir.file
dir1.dir2.file --> /proc/sys/dir1/dir2/file

可以使用命令# sysctl -a 查看所有可以更改的变量和其当前设置。

用 sysctl 还可以更改变量，它所做的工作与上面所用的 echo 方法完全一样。其表示法为： #sysctl -w dir.file="value"

还是用 file-max 作为示例，使用下面两种方法中的一种将该值更改为 16384：

#sysctl -w fs.file-max="16384"

#echo "16384" > /proc/sys/fs/file-max

不要忘记 sysctl 不会将所做的更改添加到配置文件中；这要您用手工来完成。如果您希望在重新引导之后，前面所做的更改仍然有效，则必须维护这个配置文件。

即在 /etc/sysctl.conf 后加入: fs.file-max="16384"(要想使重启后的更改仍然生效, 就必须使用这种方法).

=============================

内核参数介绍
----------------
/proc/sys/fs
/proc/sys/fs/file-max
该文件指定了可以分配的文件句柄的最大数目。如果用户得到的错误消息声明由于打开文件数已经达到了最大值，从而他们不能打开更多文件，则可能需要增加该值。可将这个值设置成有任意多个文件，并且能通过将一个新数字值写入该文件来更改该值。
缺省设置：4096

/proc/sys/fs/file-nr
该文件与 file-max 相关，它有三个值：

已分配文件句柄的数目
已使用文件句柄的数目
文件句柄的最大数目
该文件是只读的，仅用于显示信息。

/proc/sys/fs/inode-*
任何以名称“inode”开头的文件所执行的操作与上面那些以名称“file”开头的文件所执行的操作一样，但所执行的操作与索引节点有关，而与文件句柄无关。

/proc/sys/fs/overflowuid 和 /proc/sys/fs/overflowgid
这两个文件分别保存那些支持 16 位用户标识和组标识的任何文件系统的用户标识（UID）和组标识（GID）。可以更改这些值，但如果您确实觉得需要这样做，那么您可能会发现更改组和密码文件项更容易些。
缺省设置：65534

/proc/sys/fs/super-max
该文件指定超级块处理程序的最大数目。挂装的任何文件系统需要使用超级块，所以如果挂装了大量文件系统，则可能会用尽超级块处理程序。
缺省设置：256

/proc/sys/fs/super-nr
该文件显示当前已分配超级块的数目。该文件是只读的，仅用于显示信息。
----------------------
/proc/sys/kernel

/proc/sys/kernel/acct
该文件有三个可配置值，根据包含日志的文件系统上可用空间的数量（以百分比表示），这些值控制何时开始进行进程记帐：

如果可用空间低于这个百分比值，则停止进程记帐
如果可用空间高于这个百分比值，则开始进程记帐
检查上面两个值的频率（以秒为单位）
要更改这个文件的某个值，应该回送用空格分隔开的一串数字。
缺省设置：2 4 30

如果包含日志的文件系统上只有少于 2% 的可用空间，则这些值会使记帐停止，如果有 4% 或更多可用空间，则再次启动记帐。每 30 秒做一次检查。

/proc/sys/kernel/ctrl-alt-del
该文件有一个二进制值，该值控制系统在接收到 ctrl+alt+delete 按键组合时如何反应。这两个值表示：

零（0）值表示捕获 ctrl+alt+delete，并将其送至 init 程序。这将允许系统可以完美地关闭和重启，就好象您输入 shutdown 命令一样。
壹（1）值表示不捕获 ctrl+alt+delete，将执行非干净的关闭，就好象直接关闭电源一样。

缺省设置：0

/proc/sys/kernel/domainname
该文件允许您配置网络域名。它没有缺省值，也许已经设置了域名，也许没有设置。

/proc/sys/kernel/hostname
该文件允许您配置网络主机名。它没有缺省值，也许已经设置了主机名，也许没有设置。

/proc/sys/kernel/msgmax
该文件指定了从一个进程发送到另一个进程的消息的最大长度。进程间的消息传递是在内核的内存中进行，不会交换到磁盘上，所以如果增加该值，则将增加操作系统所使用的内存数量。
缺省设置：8192

/proc/sys/kernel/msgmnb
该文件指定在一个消息队列中最大的字节数。
缺省设置：16384

/proc/sys/kernel/msgmni
该文件指定消息队列标识的最大数目。
缺省设置：16

/proc/sys/kernel/panic
该文件表示如果发生“内核严重错误（kernel panic）”，则内核在重新引导之前等待的时间（以秒为单位）。零（0）秒设置在发生内核严重错误时将禁止重新引导。
缺省设置：0

/proc/sys/kernel/printk
该文件有四个数字值，它们根据日志记录消息的重要性，定义将其发送到何处。关于不同日志级别的更多信息，请阅读 syslog(2) 联机帮助页。该文件的四个值为：

控制台日志级别：优先级高于该值的消息将被打印至控制台
缺省的消息日志级别：将用该优先级来打印没有优先级的消息
最低的控制台日志级别：控制台日志级别可被设置的最小值（最高优先级）
缺省的控制台日志级别：控制台日志级别的缺省值

缺省设置：6 4 1 7

/proc/sys/kernel/shmall
该文件是在任何给定时刻系统上可以使用的共享内存的总量（以字节为单位）。

缺省设置：2097152

/proc/sys/kernel/shmax
该文件指定内核所允许的最大共享内存段的大小（以字节为单位）。

缺省设置：33554432

/proc/sys/kernel/shmmni
该文件表示用于整个系统共享内存段的最大数目。

缺省设置：4096

/proc/sys/kernel/sysrq
如果该文件指定的值为非零，则激活 System Request Key。

缺省设置：0

/proc/sys/kernel/threads-max
该文件指定内核所能使用的线程的最大数目。
缺省设置：2048
------------------------
/proc/sys/net

/proc/sys/net/core/message_burst
写新的警告消息所需的时间（以 1/10 秒为单位）；在这个时间内所接收到的其它警告消息会被丢弃。这用于防止某些企图用消息“淹没”您系统的人所使用的拒绝服务（Denial of Service）攻击。

缺省设置：50（5 秒）

/proc/sys/net/core/message_cost
该文件存有与每个警告消息相关的成本值。该值越大，越有可能忽略警告消息。

缺省设置：5

/proc/sys/net/core/netdev_max_backlog
该文件指定了，在接口接收数据包的速率比内核处理这些包的速率快时，允许送到队列的数据包的最大数目。

缺省设置：300

/proc/sys/net/core/optmem_max
该文件指定了每个套接字所允许的最大缓冲区的大小。

/proc/sys/net/core/rmem_default
该文件指定了接收套接字缓冲区大小的缺省值（以字节为单位）。

/proc/sys/net/core/rmem_max
该文件指定了接收套接字缓冲区大小的最大值（以字节为单位）。

/proc/sys/net/core/wmem_default
该文件指定了发送套接字缓冲区大小的缺省值（以字节为单位）。

/proc/sys/net/core/wmem_max
该文件指定了发送套接字缓冲区大小的最大值（以字节为单位）。

/proc/sys/net/ipv4
所有 IPv4 和 IPv6 的参数都被记录在内核源代码文档中。请参阅文件 /usr/src/linux/Documentation/networking/ip-sysctl.txt 。

/proc/sys/net/ipv6
同 IPv4。

/proc/sys/vm

/proc/sys/vm/buffermem
该文件控制用于缓冲区内存的整个系统内存的数量（以百分比表示）。它有三个值，通过把用空格相隔的一串数字写入该文件来设置这三个值。

用于缓冲区的内存的最低百分比
如果发生所剩系统内存不多，而且系统内存正在减少这种情况，系统将试图维护缓冲区内存的数量。
用于缓冲区的内存的最高百分比

缺省设置：2 10 60

/proc/sys/vm/freepages
该文件控制系统如何应对各种级别的可用内存。它有三个值，通过把用空格相隔的一串数字写入该文件来设置这三个值。

如果系统中可用页面的数目达到了最低限制，则只允许内核分配一些内存。
如果系统中可用页面的数目低于这一限制，则内核将以较积极的方式启动交换，以释放内存，从而维持系统性能。
内核将试图保持这个数量的系统内存可用。低于这个值将启动内核交换。

缺省设置：512 768 1024

/proc/sys/vm/kswapd
该文件控制允许内核如何交换内存。它有三个值，通过把用空格相隔的一串数字写入该文件来设置这三个值：

内核试图一次释放的最大页面数目。如果想增加内存交换过程中的带宽，则需要增加该值。
内核在每次交换中试图释放页面的最少次数。
内核在一次交换中所写页面的数目。这对系统性能影响最大。这个值越大，交换的数据越多，花在磁盘寻道上的时间越少。然而，这个值太大会因“淹没”请求队列而反过来影响系统性能。

缺省设置：512 32 8

/proc/sys/vm/pagecache
该文件与 /proc/sys/vm/buffermem 的工作内容一样，但它是针对文件的内存映射和一般高速缓存。
-------------
调整内核网络参数
linux系统位于目录/proc/sys/net/ipv4/下的部分内核网络参数
所有内核网络参数配置文件位于/proc/sys/net/ipv4/目录下
0、icmp_destunreach_rate：设置内容为“Destination Unreachable”icmp包的响应速率。设置值应为整数。

　ipchains －A input -p icmp -j REJECT 
这里的REJECT和DENY不同，DENY会丢掉符合条件的包如同没有接收到该包一样，而REJECT会在丢掉该包的同时给请求主机发回一个“Destination Unreachable”的icmp。

1、icmp_echo_ignore_broadcasts：设置是否响应icmp echo请求广播，设置值应为布尔值，0表示响应icmp echo请求广播，1表示忽略。
例：　echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts  来关闭该功能。从而防止icmp风暴，防止网络阻塞。

2、icmp_echoreply_rate:设置系统响应icmp echo请求的icmp包的响应速度，设置值为整数。
例：echo "1000" > /proc/sys/net/ipv4/icmp_echoreply_rate
即每10秒钟响应一个icmp echo请求包。然后再ping主机A就可以看到响应速度已经变成10秒一次。最好合理的调整该参数的值来防止icmp风暴。
 
3、icmp_echo_ignore_all:设置系统是否忽略所有的icmp echo请求，如果设置了一个非0值，系统将忽略所有的icmp echo请求。其实这是icmp_echoreply_rate的一种极端情况。参数值为布尔值，1表示忽略，0表示响应。

4、icmp_paramprob_rate：当系统接收到数据报的损坏的ip或tcp头时，就会向源发出一个包含有该错误信息的icmp包。这个参数就是用来设置向源发送这种icmp包的速度。当然，在通常情况下ip或tcp头出错是很少见的。参数值为整数。

5、icmp_timeexceed_rate：数据报在网络上传输时，其生存时间（time to live）字段会不断减少，当生存时间为0时，正在处理该数据报的路由器就会丢弃该数据报，同时给源主机发送一个“time to live exceeded”的icmp包。该参数就是用来设置这种icmp包的发送的速度。当然，这通常用于充当路由器的linux主机

6、ip_default_ttl：设置从本机发出的ip包的生存时间，参数值为整数，范围为0～128,缺省值为64。在windows系统中，ip包的生存时间通常为128。如果你的系统经常得到“Time to live exceeded”的icmp回应，可以适当增大该参数的值，但是也不能过大，因为如果你的路由的环路的话，就会增加系统报错的时间。

7、ip_dynaddr：该参数通常用于使用拨号连接的情况，可以使系统动能够立即改变ip包的源地址为该ip地址，同时中断原有的tcp对话而用新地址重新发出一个syn请求包，开始新的tcp对话。在使用ip欺骗时，该参数可以立即改变伪装地址为新的ip地址。该参数的参数值可以是：
1：启用该功能；
2：使用冗余模式启用该功能；
0：禁止该功能。
如：echo "1" > /proc/sys/net/ipv4/ip_dynaddr

8、ip_forward：可以通过该参数来启用包转发功能，从而使系统充当路由器。参数值为1时启用ip转发，为0时禁止ip转发。注意，我们可以在单网卡或双网卡的主机上实现ip转发。如：echo "1" > /proc/sys/net/ipv4/ip_forward

9、ip_local_port_range：设置当本地系统向外发起tcp或udp连接请求时使用的端口范围。设置值为两个整数，缺省为“1024 4999”。
如：echo "1450 6000" > /proc/sys/net/ipv4/ip_local_port_range