linux內核安全

1. kill-0kernel變高

kill0kernel 變高通常是指系統的 CPU 佔用率異常高，導致系統響應變慢或者出現卡頓姿老現象。這種情況通常有兩種可能的皮雀原因：第一種是系統中某個進程或程序佔用了過多的 CPU 資源，導致整個系統的 CPU 使用率升高；第二種是系統本身存在一些問題，例如軟體或者驅動程序出現異常等，導致系統的 CPU 佔用率異常升高。

解決這種問題的方法有很多，例如可以通過任務管理器或者系統監控工具查找佔用 CPU 資源較高的進程或程序，然後關閉或卸載它們；也可以更新軟體或者驅動程序，以修復可能存在的問題。此外，燃冊早還可以優化系統設置，例如關閉一些不必要的自啟動程序、關閉一些系統特效等等，以減少系統的資源佔用。

在日常使用計算機時，注意保持電腦的清潔和通風，及時清理垃圾文件和緩存，可以有效地減少系統的資源佔用，提高電腦的性能。

2. linux伺服器的安全防護都有哪些措施

一、強化密碼強度
只要涉及到登錄，就需要用到密碼，如果密碼設定不恰當，就很容易被黑客破解，如果是超級管理員(root)用戶，如果沒有設立良好的密碼機制，可能給系統造成無法挽回的後果。
很多用戶喜歡用自己的生日、姓名、英文名等信息來設定，這些方式可以通過字典或者社會工程的手段去破解，因此建議用戶在設定密碼時，盡量使用非字典中出現的組合字元，且採用數字與字元、大小寫相結合的密碼，增加密碼被破譯的難度。
二、登錄用戶管理
進入Linux系統前，都是需要登錄的，只有通過系統驗證後，才能進入Linux操作系統，而Linux一般將密碼加密後，存放在/etc/passwd文件中，那麼所有用戶都可以讀取此文件，雖然其中保存的密碼已加密，但安全系數仍不高，因此可以設定影子文件/etc/shadow，只允許有特殊許可權的用戶操作。
三、賬戶安全等級管理
在Linux操作系統上，每個賬戶可以被賦予不同的許可權，因此在建立一個新用戶ID時，系統管理員應根據需要賦予該賬號不同的許可權，且歸並到不同的用戶組中。每個賬號ID應有專人負責，在企業中，如果負責某個ID的員工離職，該立即從系統中刪除該賬號。
四、謹慎使用"r"系列遠程程序管理
在Linux操作系統中，有一系列r開頭的公用程序，如rlogin、rcp等，非常容易被不法分子用來攻擊我們的系統，因此千萬不要將root賬號開放給這些公用程序，現如今很多安全工具都是針對此漏洞而設計的，比如PAM工具，就可以將其有效地禁止掉。
五、root用戶許可權管理
root可謂是Linux重點保護對象，因為其權利是最高的，因此千萬不要將它授權出去，但有些程序的安裝、維護必須要求是超級用戶許可權，在此情況下，可以利用其他工具讓這類用戶有部分超級用戶的許可權。sudo就是這樣的工具。
六、綜合防禦管理
防火牆、IDS等防護技術已成功應用到網路安全的各個領域，且都有非常成熟的產品，需要注意的是：在大多數情況下，需要綜合使用這兩項技術，因為防火牆相當於安全防護的第一層，它僅僅通過簡單地比較IP地址/埠對來過濾網路流量，而IDS更加具體，它需要通過具體的數據包(部分或者全部)來過濾網路流量，是安全防護的第二層。綜合使用它們，能夠做到互補，並且發揮各自的優勢，最終實現綜合防禦。
酷酷雲伺服器為您誠意解答，伺服器租戶的選擇，酷酷雲值得信賴。

3. 淺談Linux優化及安全配置個人體會總結

在網上看到不少有關linux優化方面的好文章，在此我也不贅述這些文章了，我只想從我自己的體會來談談這方面的問題。 作為一個系統管理員，我下面說的都是基於伺服器應用的linux來談的，由於個人電腦上使用linux也許不是像伺服器上一樣，優先追求安全和穩定，因此個人電腦使用的朋友只做個參考吧。
本文提及的系統，如沒有特別聲明，均採用redhat公司的redhat linux系統。

關於優化

說起優化，其實最好的優化就是提升硬體的配置，例如提高cpu的運算能力，提高內存的容量，個人認為如果你考慮升級硬體的話，建議優先提高內存的容量，因為一般伺服器應用，對內存的消耗使用要求是最高的。當然這都是題外話了。

這里我們首要討論的，是在同等硬體配置下（同一台伺服器，不提升硬體的情況下）對你的系統進行優化。

作為系統管理員，我認為，首先我們要明確一個觀點：在伺服器上作任何操作，升級和修改任何配置文件或軟體，都必須首要考慮安全性，不是越新的東西就越好，這也是為什麼linux管理感覺上和windows有所不同的地方，windows首先推薦大家去使用它的最新版本軟體和操作系統，其實我個人認為這是一種商業行為，作為從系統管理上來講，這是很不好的，使用新的軟體和系統可能帶來新的問題，有些甚至是致命的。

因此，作為管理，我們還是應該考慮穩定的長期使用的軟體版本來作為我們的版本，具體的好處我就不多說了。相信作為管理員的你應該知道的。

其實個人使用的linux最直接的一個優化就是升級內核，自己編譯的內核是根據自己的系統編譯而來，將得到最大的性能和最小的內核。

但是，伺服器就不太一樣了，當然我們也希望每一台伺服器都是自己手工編譯的內核，高效而精巧。但是實際和願望是有差距的，試想一下，如果你管理100來台 linux主機，而每一台也許配置都不一樣，那編譯內核的一個過程將是一個浩大工程，而且從實際考慮，工作量大得難以想像。我想你也不會願意做這種事情吧。因此，個人建議，採用官方發布的內核升級包是很好的選擇。

首先，我們對新安裝的系統，將做一系列升級，包括軟體和內核，這是很重要的步驟，（這方面的詳細情況歡迎察看我另一篇關於升級方面的文章）。

在升級好所有軟體後，基本的防火牆和配置都做好以後，我們開始優化一些細節配置，如果你是老系統高棗，那麼在作本問題及的一些操作和優化你系統之前，務必被備份所有數據到其他介質。

1、虛擬內存優化

首先查看虛擬內存的使用情況，使用命令

# free

查看當前系滾巧統的內存使用情況。

一般來說，linux的物理內存幾乎是完全used。這個和windows非常大的區別，它的內存管理機制將系統內存充分利用，並非windows無論多大的內存都要去使用一些虛擬內存一樣。這點需要注意。

linux下面虛擬內存的默認配置通過命令

# cat /proc/sys/vm/freepages

可以查看，顯示的三個數字是當前系統的：最小內存空白頁、最低內存空白頁和最高內存空白。

注意，這里系統使用虛擬內存的原則是：如果空白頁數目低於最高空白頁設置，則使用磁碟交換空間。當達到最低空白頁設置時，使用內存交換（註：這個是我查看一些資料得來的，具體應用時還需要自己觀察一下，不過這個不影響我們配置新的虛擬內存參數）。

內存一般以每頁4k位元組分配。最小內存空白頁設置是系統中內存數量的2倍；最低內存空白頁設置是內存數量的4倍；最高內存空白頁設置是系統內存的6倍。這些值在系統啟動時決定。

一般來講在配置系統分配的虛擬內存配置上，我個人認為增大最高內存空白頁是一種比較好的配置方式，以1g的內存配置戚備拆為例：

可將原來的配置比例修改為：

2048 4096 6444

通過命令

# echo "2048 4096 6444" > /proc/sys/vm/freepages

因為增加了最高空白頁配置，那麼可以使內存更有效的利用。

2、硬碟優化

如果你是scsi硬碟或者是ide陣列，可以跳過這一節，這節介紹的參數調整隻針對使用ide硬碟的伺服器。

我們通過hdparm程序來設置ide硬碟，

使用dma和32位傳輸可以大幅提升系統性能。使用命令如下：

# /sbin/hdparm -c 1 /dev/hda

此命令將第一個ide硬碟的pci匯流排指定為32位，使用 -c 0參數來禁用32位傳輸。

在硬碟上使用dma，使用命令：

# /sbin/hdparm -d 1 /dev/hda

關閉dma可以使用 -d 0的參數。

更改完成後，可以使用hdparm來檢查修改後的結果，使用命令：

# /sbin/hdparm -t /dev/had

為了確保設置的結果不變，使用命令：# /sbin/hdparm -k 1 /dev/hda

hdparm命令的一些常用的其他參數功能

-g 顯示硬碟的磁軌，磁頭，磁區等參數。

-i 顯示硬碟的硬體規格信息，這些信息是在開機時由硬碟本身所提供。

-i 直接讀取硬碟所提供的硬體規格信息。

-p 設定硬碟的pio模式。

-tt 評估硬碟的讀取效率和硬碟快取的讀取效率。

-u <0或1> 在硬碟存取時，允許其他中斷要求同時執行。

-v 顯示硬碟的相關設定。

3、其他優化

關閉不需要的服務，關於系統自動啟動的服務，網上有很多資料，在此我就不贅述了。

4. LINUX真的很安全嗎

題主說的Linux安全，應該指的是Linux操作系統的本身的安全吧。這個范圍比較廣，包括Linux內核層的安全與用戶層的安全。用戶層的安全包括Linux下的各種認證系統，比如目前流行的PAM認證機制，Ukey指紋認證機制，遠程網路認證機制，LDAP認證機制，3A認證機制等。用戶層安全還包括網路安全，比如通過iptables定製防火牆，關閉伺服器不必要開啟的埠等。內核態的安全，比如，緩沖區溢出攻擊，當然這個安全漏洞在windows中也是存在的，各種各樣的內核態提權漏洞等，現在有很多網路安全公司基於netfilter框架添加自已的勾子函數， 生產各種入侵檢測系統等。
Linux系統安全之所以在互聯網公司包括像阿里巴巴這樣的公司不受重視，是因為這些公司覺得，做為暴露給用戶的各種應用，如Web應用等，這些應用的安全顯然比操作系統的安全來得更加重要。當應用的安全得不到保障，Web程序被各種腳本小子植入如存儲型XSS腳本，導致用戶密碼被盜，甚至導致一些更嚴重的結果，比如存儲用戶名與密碼的資料庫被脫庫，這個就是相當嚴重的安全事故了。也許這個破壞者完成這些操作，並不需要利用操作系統的漏洞，也不需要取得操作系統的用戶名和密碼，只是要取得一個具有較高許可權的資料庫管理員的密碼即可完成上述操作。當黑客取得Linux系統的普通用戶名與密碼時，當他需要root用戶時，才會去利用操作系統本身的漏洞進行提權。關於Linux操作系統提權漏洞，在2.6.18版本存在較多的提權漏洞，到了2.6.32內核，這種提權漏洞已經少了很多。
回到正題，對於現在的很多IT從業人員來說，前途最直接的體現就是工資，待遇。就目前國內來說，直接從事Linux操作系統安全的公司很少，大部分都是科研院校在做這方面的工作。比如中科院下屬的一些研究所，國家電網、南方電網裡面的研究院，當然還有各大高校的一些信息安全實驗室，還有解放軍叔叔，他們也在從事這些方面的工作。
當然，如同所有的IT技術一樣，Linux操作系統的各種安全機制，也是國外在主導。現有的Linux安全框架叫做LSM，Linux security mole。基於這個框架，可以實現各種各樣的Linux安全機制，其中最著名的就是SELinux。因為Redhat的Linux自帶的安全模塊就是SELinux。SELinux最早是由NSA(美國國家安全局)主導的項目，後面開源了。Redhat在SELinux上做了大量的工作。但SELinux由於其配置比較復雜，再加上許多人認為Linux系統本身已經足夠安全了，所以大部分人都將SELinux設置了disabled。想了解更多Linux命令，可查看《Linux命令大全》，具體搜索方式看下圖：

5. Linux系統內核首次加入鎖定功能

Linux之父林納斯·托瓦茲（Linus Torvalds）上周六宣布在新版Linux系統內晌亂核中首滾謹明次加入鎖定功能。

這項名為「lockdown」的Linux內核新安全功能將作為LSM（Linux安全模塊）出現在即將發布的Linux 5.4版本當中。

該功能默認情況下處於關閉狀態，由於存在破壞現有系統的風險，因此用戶可選使用。這項新功能的主要目的是通過防止root帳戶與內核代碼進行交互來加強用戶態進程與內核代碼之間的鴻溝。

啟用後，新的「鎖定」功能將限制Linux某些內核功能，即使對於root用戶也大告是如此，這使得受到破壞的root帳戶更難於破壞其餘的系統內核。

托瓦茲表示：「啟用後，各種內核功能都受到限制。 」 這包括限制對內核功能的訪問，這些功能可能允許通過用戶級進程提供的代碼執行任意代碼；阻止進程寫入或讀取/ dev / mem和/ dev / kmem內存；阻止對打開/ dev / port的訪問，以防止原始埠訪問；加強內核模塊簽名等。

Linux是一種自由和開放源碼的類UNIX 操作系統。該操作系統的內核由林納斯·托瓦茲在1991年10月5日首次發布。在加上用戶空間的應用程序之後，成為 Linux 操作系統。Linux也是最著名的自由軟體和開放源代碼軟體。只要遵循GNU 通用公共許可證（GPL），任何個人和機構都可以自由地使用Linux 的所有底層源代碼，也可以自由地修改和再發布。

6. 《Linux內核安全模塊深入剖析》pdf下載在線閱讀，求百度網盤雲資源

《Linux內核安全模塊深入剖析》（李志）電子書網盤下載免費在線閱讀

資源鏈接：

鏈接：https://pan..com/s/1u1nNqcgqaJNLBZthAbGKOg

書名：Linux內核安全模塊深入剖析

作者：李志

出版社：機械工業出版社

出版年份：2016-12-1

頁數：251

7. linux有用嗎

有用

第一，安全性高，內核高效穩定

不會中win的病毒，死機或徹底掛掉的情況基本上不會出現。大量的網路管理軟體、網路分析軟體和網路安全軟體等軟體，還有大量網路管理、網路服務等功能，銀液用戶可以很方便地建立高效穩定的防火牆、路由器、工作站、伺服器等。

第二，開源

Linux源代碼是公開的，用戶不用擔心有什麼安全隱患。Linux軟體資源十分豐富，程序在這上面幾乎都可以找到，設計者在這一基礎之上很容易進行二次開發。

第三，具有一套完善的開發和鋒盯物調試工具

嵌入式Linux為開發者提供了一套則枝完整的工具鏈，很方便地實現從操作系統到應用軟體各個級別的調試。對於程序員來說，開發和調試非常重要，Linux為程序員提供了巨大的便利。

8. 想實現一個linux內核安全功能模塊的技術思路是怎樣的

作者：橘子-實現網
鏈接：https://www.hu.com/question/21637060/answer/58362892
來源：知乎
著作權歸作者所有，轉載請聯系作者獲得授權。

用戶在執行系統調用時，先通過原有的內核介面依次執行功能性的錯誤檢查，接著進行傳統的DAC檢查，並在即將訪問內核的內部對象之前，通過LSM鉤子函數調用LSM。LSM再調用具體的訪問控制策略來決定訪問的合法性。訪問控制整體構架：<img src="https://pic2.mg.com/_b.jpg" data-rawwidth="804" data-rawheight="604" class="origin_image zh-lightbox-thumb" width="804" data-original="https://pic2.mg.com/_r.jpg">
LSM框架下訪問決策模塊包括selinux，smack，tomoyo，yama，apparmor.
每個決策模塊都是通過各自的XXX_init函數調用register_security（）函數，注冊到LSM框架的模塊被載入成功後，就可以進行訪問控制操作。如果此時還有一個安全模塊要使用register_security()函數進行載入，則會出現錯誤，直到使用框架注銷後，下一個模塊才可以載入。<img src="https://pic2.mg.com/_b.jpg" data-rawwidth="420" data-rawheight="285" class="content_image" width="420">

Linux安全模塊（LSM）提供了兩類對安全鉤子函數的調用：一類管理內核對象的安全域，另一類仲裁對這些內核對象的訪問。對安全鉤子函數的調用通過鉤子來實現，鉤子是全局表security_ops中的函數指針，這個全局表的類型是security_operations結構，這個結構定義在include/linux/security.h這個頭文件中。
通過對security代碼進行一番簡單的分析，LSM啟動過程流圖：

<img src="https://pic2.mg.com/_b.jpg" data-rawwidth="1011" data-rawheight="213" class="origin_image zh-lightbox-thumb" width="1011" data-original="https://pic2.mg.com/_r.jpg">security_initcall只能調用selinux_init，smack_init ，tomoyo_init ， yama_init 和apparmor_init中的一個，因為內核不允許多種安全機制同時一起工作。一旦一個安全模塊被載入，就成為系統的安全策略決策中心，而不會被後面的register_security()函數覆蓋，直到這個安全模塊被使用unregister_security()函數向框架注銷。security_initcall只能調用selinux_init，smack_init ，tomoyo_init ， yama_init 和apparmor_init中的一個，因為內核不允許多種安全機制同時一起工作。一旦一個安全模塊被載入，就成為系統的安全策略決策中心，而不會被後面的register_security()函數覆蓋，直到這個安全模塊被使用unregister_security()函數向框架注銷。

因此LSM框架下只能開啟一種安全機制，smack編譯進Linux內核的配置和要求：

（1）要求smack和selinux不能夠同時運行，不能同時存在於同一個運行中的內核；
查看內核是否開啟以下的功能（如果沒有則需要開啟）：

CONFIG_NETLABEL=y
CONFIG_SECURITY=y
CONFIG_SECURITY_NETWORK=y
CONFIG_SECURITY_SMACK=y
CONFIG_SECURITY_SELINUX should not be
set

步驟：

make menuconfig
<img src="https://pic1.mg.com/_b.jpg" data-rawwidth="658" data-rawheight="461" class="origin_image zh-lightbox-thumb" width="658" data-original="https://pic1.mg.com/_r.jpg"><img src="https://pic3.mg.com/_b.jpg" data-rawwidth="658" data-rawheight="464" class="origin_image zh-lightbox-thumb" width="658" data-original="https://pic3.mg.com/_r.jpg"><img src="https://pic3.mg.com/_b.jpg" data-rawwidth="658" data-rawheight="468" class="origin_image zh-lightbox-thumb" width="658" data-original="https://pic3.mg.com/_r.jpg"><img src="https://pic4.mg.com/_b.jpg" data-rawwidth="662" data-rawheight="468" class="origin_image zh-lightbox-thumb" width="662" data-original="https://pic4.mg.com/_r.jpg">
make moles_install
make install
查看/proc/filesystems
可以看到smackfs，說明smack已經編進內核
<img src="https://pic2.mg.com/_b.jpg" data-rawwidth="146" data-rawheight="187" class="content_image" width="146">

執行如下的命令：
mkdir -p /smack
在文件/etc/fstab添加下面的一行
smackfs /smack smackfs defaults 0 0
然後執行下面的命令：
mount –a

然後就體驗一下它的功能了：
1. 比如在用戶test的home目錄下(/home/test)，新建文件夾 mkdir testdir
cd testdir/
touch testfile
2. 給新建的testfile 打上TheOther標簽
setfattr
--name=security.SMACK64 --value=TheOther testfile
查看其標簽
getfattr
--only-values -n security.SMACK64 -e text testfile
可以看到標簽TheOther
<img src="https://pic3.mg.com/_b.jpg" data-rawwidth="698" data-rawheight="60" class="origin_image zh-lightbox-thumb" width="698" data-original="https://pic3.mg.com/_r.jpg">

3. echo TheOne
2>/dev/null > /proc/self/attr/current，當前執行的進程默認都會被打為/proc/self/attr/current下的標簽
4.配置策略echo -n "TheOne TheOther r---"> /sma ck/load
因為當前進程只要是沒有特殊配置過的都被打為TheOne，所以當轉換到普通用戶test下，cat testfile是可讀的
5.現在我將當前進程打為NotTheOne ，echo NotTheOne 2>/dev/null >
/proc/self/attr/current
當轉換到普通用戶test下，cat testfile則變成不可讀的了
6．如果你想單獨對某個進程打標簽，而不是對當前進程打，就
attr -s security.SMACK64 -V TheOne /bin/cat
此時cat被標為TheOne，根據策略可以看出，當轉換到普通用戶test下，cat testfile是可讀的
若attr -s
security.SMACK64 –V Not TheOne /bin/cat
根據策略可以看出，當轉換到普通用戶test下，cat testfile是不可讀的
（需要說明的一點是，當cat本身被標上標簽和/proc/self/attr/current打入標簽共存時，cat本身的標簽生效，而/proc/self/attr/current打入標簽沒有生效）

9. Linux安全優化和內核參數優化方案有那些

入口安全優化

• ssh配置優化

  修改之前，需要將/etc/ssh/sshd_config備份一個，比如/etc/ssh/sshd_config.old， 主要優化如下參數：

  Port 12011
  PermitRootLogin no
  UseDNS no
  #防止ssh客戶端超時#
  ClientAliveInterval 30
  ClientAliveCountMax 99
  GSSAuthentication no
  

  主要目的更改ssh遠程埠、禁用root遠程登錄（本地還是可以root登錄的）、禁用dns、防止ssh超時、解決ssh慢，當然也可以啟用密鑰登錄，這個根據公司需求。

  注意：修改以後需重啟ssh生效，另外需要iptables放行最新ssh埠。

• iptables優化

  原則：用到哪些放行哪些，不用的一律禁止。

  舉下簡單的例子：敏感服務比如mysql這種3306控制，默認禁止遠程，確實有必要可以放行自己指定IP連接或者通過vpn撥號做跳板連接，不可直接放置於公網； 如單位有自己的公網IP或固定IP，那隻允許自己的公網IP進行連接ssh或者指定服務埠就更好了。

用戶許可權以及系統安全優化

非root用戶添加以及sudo許可權控制

用戶配置文件鎖定

服務控制

默認無關服務都禁止運行並chkconfig xxx off，只保留有用服務。這種如果是雲計算廠商提供的，一般都是優化過。如果是自己安裝的虛擬機或者託管的機器，那就需要優化下，默認只保留network、sshd、iptables、crond、以及rsyslog等必要服務，一些無關緊要的服務就可以off掉了，

內核參數優化

• 進程級文件以及系統級文件句柄數量參數優化

默認ulinit -n看到的是1024，這種如果系統文件開銷量非常大，那麼就會遇到各種報錯比如：

localhost kernel: VFS: file-max limit 65535 reached 或者too many open files 等等，那就是文件句柄打開數量已經超過系統限制，就需要優化了。

這個參數我們進程級優化文件如下：

vim /etc/security/limits.conf

# End of file
* soft nofile 65535
* hard nofile 65535
* soft nproc 65535
* hard nproc 65535

好了，退出當前終端以後重新登錄可以看到ulimit -n已經改成了65535。另外需要注意，進程級參數優化還需要修改文件：

/etc/security/limits.d/90-nproc.conf 這個會影響到參數。查看某一個進程的limits可以通過cat /proc/pid/limits查看。默認這個文件參數推薦設置：

[root@21yunwei 9001]# cat /etc/security/limits.d/90-nproc.conf
* soft nproc 65535
root soft nproc unlimited

• 系統級文件句柄優化

修改/etc/sysctl.conf添加如下參數：

fs.file-max=65535

內核參數優化（這個是非常重要的）。具體優化的文件為/etc/sysctl.conf，後尾追加優化參數：

net.ipv4.neigh.default.gc_stale_time=120
net.ipv4.conf.all.rp_filter=0
net.ipv4.conf.default.rp_filter=0
net.ipv4.conf.default.arp_announce = 2
net.ipv4.conf.all.arp_announce=2
net.core.netdev_max_backlog = 32768
net.core.somaxconn = 32768
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.ipv4.conf.lo.arp_announce=2

net.ipv4.tcp_synack_retries = 2

#參數的值決定了內核放棄連接之前發送SYN+ACK包的數量。

net.ipv4.tcp_syn_retries = 1

#表示在內核放棄建立連接之前發送SYN包的數量。

net.ipv4.tcp_max_syn_backlog = 262144

#這個參數表示TCP三次握手建立階段接受SYN請求列隊的最大長度，默認1024，將其設置的大一些可以使出現Nginx繁忙來不及accept新連接的情況時，Linux不至於丟失客戶端發起的鏈接請求。

設置完以後執行命令sysctl -p使得配置新配置的內核參數生效。系統優化這個內核對系統本身安全以及高並發都非常的有效（可以解決大量TIME_WAIT帶來的無法訪問使用、系統文件句柄數量超出等等）。

net.ipv4.tcp_timestamps = 1 #開啟時間戳，配合tcp復用。如遇到區域網內的其他機器由於時間戳不同導致無法連接伺服器，有可能是這個參數導致。註：阿里的slb會清理掉tcp_timestampsnet.ipv4.tcp_tw_recycle = 1 #這個參數用於設置啟用timewait快速回收net.ipv4.tcp_max_tw_buckets = 6000 #參數設置為 1 ，表示允許將TIME_WAIT狀態的socket重新用於新的TCP鏈接，該參數默認為180000，過多的TIME_WAIT套接字會使Web伺服器變慢。net.ipv4.tcp_mem = 94500000 915000000 927000000 net.ipv4.tcp_fin_timeout = 1 #當伺服器主動關閉鏈接時，選項決定了套接字保持在FIN-WAIT-2狀態的時間。默認值是60秒。net.ipv4.tcp_keepalive_time = 600 #當keepalive啟動時，TCP發送keepalive消息的頻度；默認是2小時，將其設置為10分鍾，可以更快的清理無效鏈接。net.ipv4.ip_local_port_range = 1024 65000#定義UDP和TCP鏈接的本地埠的取值范圍。fs.file-max=65535 #表示最大可以打開的句柄數；

設置完以後執行命令sysctl -p使得配置新配置的內核參數生效。這個內核對系統本身安全以及高並發都非常的有效（可以解決大量TIME_WAIT帶來的無法訪問使用、系統文件句柄數量超出等等）。

10. 為什麼說黑客都用LINUX

1、Linux的安全性極高，一般情況下是不用安裝安全軟體，如：殺毒軟體。同時，很多高級黑客工具是以Linux為核心代碼寫出來的。桐簡在編程當面，Linux系統自帶高級編程語言，其內核使得它本身就是一種編程語言。另外，高級語言編寫出來的程序具有移植性強特點，可以運行於WIN裡面。

2、開源，它是一種自由和開放源代碼的類UNIX操作系統，任何人都可以自由使用、完全不受任何限制。

3、在Linux社區里內核的開發被認為是真正的編程.由於一批高水平黑客的加入,使Linux發展迅猛,到1993年底94年初,Linux 1.0終於誕生了! Linux 1.0已經是一個功能完備的操作系統,而且內核寫得緊湊高效,可以充分發揮硬體的性能,在4M內存的80386機器上也表現得非常好。

4.Linux具有良好的兼容性和可移植性,大約在1.3版本之後,開始向其他硬體平台上移植,包括弧稱最快的CPU---Digital Alpha(至少目前主頻是最高的).所以不要總把Linux與低檔硬體平台聯系 到一塊,Linux發展到今天,這是一個誤區,它只是將硬體的性能充分發揮 出來而已,Linux必將從低端應用橫掃到高端應用。

5、通過計算機網路加入了Linux的內核開發,Linux傾向於成為一個黑客的系統----直到今天,在Linux社區里內核的開發被認為是真正的編程.由於一批高水平黑客的加入,使Linux發展迅猛,到1993年底94年初,Linux 1.0終於誕生了! Linux 1.0已經是一個功能完備的操作系統,而宴輪者且內核寫得緊湊高效,可以充分發揮硬體的性能,在4M內存的80386機器上也表現得晌薯非常。