linux内核安全

1. kill-0kernel变高

kill0kernel 变高通常是指系统的 CPU 占用率异常高，导致系统响应变慢或者出现卡顿姿老现象。这种情况通常有两种可能的皮雀原因：第一种是系统中某个进程或程序占用了过多的 CPU 资源，导致整个系统的 CPU 使用率升高；第二种是系统本身存在一些问题，例如软件或者驱动程序出现异常等，导致系统的 CPU 占用率异常升高。

解决这种问题的方法有很多，例如可以通过任务管理器或者系统监控工具查找占用 CPU 资源较高的进程或程序，然后关闭或卸载它们；也可以更新软件或者驱动程序，以修复可能存在的问题。此外，燃册早还可以优化系统设置，例如关闭一些不必要的自启动程序、关闭一些系统特效等等，以减少系统的资源占用。

在日常使用计算机时，注意保持电脑的清洁和通风，及时清理垃圾文件和缓存，可以有效地减少系统的资源占用，提高电脑的性能。

2. linux服务器的安全防护都有哪些措施

一、强化密码强度
只要涉及到登录，就需要用到密码，如果密码设定不恰当，就很容易被黑客破解，如果是超级管理员(root)用户，如果没有设立良好的密码机制，可能给系统造成无法挽回的后果。
很多用户喜欢用自己的生日、姓名、英文名等信息来设定，这些方式可以通过字典或者社会工程的手段去破解，因此建议用户在设定密码时，尽量使用非字典中出现的组合字符，且采用数字与字符、大小写相结合的密码，增加密码被破译的难度。
二、登录用户管理
进入Linux系统前，都是需要登录的，只有通过系统验证后，才能进入Linux操作系统，而Linux一般将密码加密后，存放在/etc/passwd文件中，那么所有用户都可以读取此文件，虽然其中保存的密码已加密，但安全系数仍不高，因此可以设定影子文件/etc/shadow，只允许有特殊权限的用户操作。
三、账户安全等级管理
在Linux操作系统上，每个账户可以被赋予不同的权限，因此在建立一个新用户ID时，系统管理员应根据需要赋予该账号不同的权限，且归并到不同的用户组中。每个账号ID应有专人负责，在企业中，如果负责某个ID的员工离职，该立即从系统中删除该账号。
四、谨慎使用"r"系列远程程序管理
在Linux操作系统中，有一系列r开头的公用程序，如rlogin、rcp等，非常容易被不法分子用来攻击我们的系统，因此千万不要将root账号开放给这些公用程序，现如今很多安全工具都是针对此漏洞而设计的，比如PAM工具，就可以将其有效地禁止掉。
五、root用户权限管理
root可谓是Linux重点保护对象，因为其权利是最高的，因此千万不要将它授权出去，但有些程序的安装、维护必须要求是超级用户权限，在此情况下，可以利用其他工具让这类用户有部分超级用户的权限。sudo就是这样的工具。
六、综合防御管理
防火墙、IDS等防护技术已成功应用到网络安全的各个领域，且都有非常成熟的产品，需要注意的是：在大多数情况下，需要综合使用这两项技术，因为防火墙相当于安全防护的第一层，它仅仅通过简单地比较IP地址/端口对来过滤网络流量，而IDS更加具体，它需要通过具体的数据包(部分或者全部)来过滤网络流量，是安全防护的第二层。综合使用它们，能够做到互补，并且发挥各自的优势，最终实现综合防御。
酷酷云服务器为您诚意解答，服务器租户的选择，酷酷云值得信赖。

3. 浅谈Linux优化及安全配置个人体会总结

在网上看到不少有关linux优化方面的好文章，在此我也不赘述这些文章了，我只想从我自己的体会来谈谈这方面的问题。 作为一个系统管理员，我下面说的都是基于服务器应用的linux来谈的，由于个人电脑上使用linux也许不是像服务器上一样，优先追求安全和稳定，因此个人电脑使用的朋友只做个参考吧。
本文提及的系统，如没有特别声明，均采用redhat公司的redhat linux系统。

关于优化

说起优化，其实最好的优化就是提升硬件的配置，例如提高cpu的运算能力，提高内存的容量，个人认为如果你考虑升级硬件的话，建议优先提高内存的容量，因为一般服务器应用，对内存的消耗使用要求是最高的。当然这都是题外话了。

这里我们首要讨论的，是在同等硬件配置下（同一台服务器，不提升硬件的情况下）对你的系统进行优化。

作为系统管理员，我认为，首先我们要明确一个观点：在服务器上作任何操作，升级和修改任何配置文件或软件，都必须首要考虑安全性，不是越新的东西就越好，这也是为什么linux管理感觉上和windows有所不同的地方，windows首先推荐大家去使用它的最新版本软件和操作系统，其实我个人认为这是一种商业行为，作为从系统管理上来讲，这是很不好的，使用新的软件和系统可能带来新的问题，有些甚至是致命的。

因此，作为管理，我们还是应该考虑稳定的长期使用的软件版本来作为我们的版本，具体的好处我就不多说了。相信作为管理员的你应该知道的。

其实个人使用的linux最直接的一个优化就是升级内核，自己编译的内核是根据自己的系统编译而来，将得到最大的性能和最小的内核。

但是，服务器就不太一样了，当然我们也希望每一台服务器都是自己手工编译的内核，高效而精巧。但是实际和愿望是有差距的，试想一下，如果你管理100来台 linux主机，而每一台也许配置都不一样，那编译内核的一个过程将是一个浩大工程，而且从实际考虑，工作量大得难以想象。我想你也不会愿意做这种事情吧。因此，个人建议，采用官方发布的内核升级包是很好的选择。

首先，我们对新安装的系统，将做一系列升级，包括软件和内核，这是很重要的步骤，（这方面的详细情况欢迎察看我另一篇关于升级方面的文章）。

在升级好所有软件后，基本的防火墙和配置都做好以后，我们开始优化一些细节配置，如果你是老系统高枣，那么在作本问题及的一些操作和优化你系统之前，务必被备份所有数据到其他介质。

1、虚拟内存优化

首先查看虚拟内存的使用情况，使用命令

# free

查看当前系滚巧统的内存使用情况。

一般来说，linux的物理内存几乎是完全used。这个和windows非常大的区别，它的内存管理机制将系统内存充分利用，并非windows无论多大的内存都要去使用一些虚拟内存一样。这点需要注意。

linux下面虚拟内存的默认配置通过命令

# cat /proc/sys/vm/freepages

可以查看，显示的三个数字是当前系统的：最小内存空白页、最低内存空白页和最高内存空白。

注意，这里系统使用虚拟内存的原则是：如果空白页数目低于最高空白页设置，则使用磁盘交换空间。当达到最低空白页设置时，使用内存交换（注：这个是我查看一些资料得来的，具体应用时还需要自己观察一下，不过这个不影响我们配置新的虚拟内存参数）。

内存一般以每页4k字节分配。最小内存空白页设置是系统中内存数量的2倍；最低内存空白页设置是内存数量的4倍；最高内存空白页设置是系统内存的6倍。这些值在系统启动时决定。

一般来讲在配置系统分配的虚拟内存配置上，我个人认为增大最高内存空白页是一种比较好的配置方式，以1g的内存配置戚备拆为例：

可将原来的配置比例修改为：

2048 4096 6444

通过命令

# echo "2048 4096 6444" > /proc/sys/vm/freepages

因为增加了最高空白页配置，那么可以使内存更有效的利用。

2、硬盘优化

如果你是scsi硬盘或者是ide阵列，可以跳过这一节，这节介绍的参数调整只针对使用ide硬盘的服务器。

我们通过hdparm程序来设置ide硬盘，

使用dma和32位传输可以大幅提升系统性能。使用命令如下：

# /sbin/hdparm -c 1 /dev/hda

此命令将第一个ide硬盘的pci总线指定为32位，使用 -c 0参数来禁用32位传输。

在硬盘上使用dma，使用命令：

# /sbin/hdparm -d 1 /dev/hda

关闭dma可以使用 -d 0的参数。

更改完成后，可以使用hdparm来检查修改后的结果，使用命令：

# /sbin/hdparm -t /dev/had

为了确保设置的结果不变，使用命令：# /sbin/hdparm -k 1 /dev/hda

hdparm命令的一些常用的其他参数功能

-g 显示硬盘的磁轨，磁头，磁区等参数。

-i 显示硬盘的硬件规格信息，这些信息是在开机时由硬盘本身所提供。

-i 直接读取硬盘所提供的硬件规格信息。

-p 设定硬盘的pio模式。

-tt 评估硬盘的读取效率和硬盘快取的读取效率。

-u <0或1> 在硬盘存取时，允许其他中断要求同时执行。

-v 显示硬盘的相关设定。

3、其他优化

关闭不需要的服务，关于系统自动启动的服务，网上有很多资料，在此我就不赘述了。

4. LINUX真的很安全吗

题主说的Linux安全，应该指的是Linux操作系统的本身的安全吧。这个范围比较广，包括Linux内核层的安全与用户层的安全。用户层的安全包括Linux下的各种认证系统，比如目前流行的PAM认证机制，Ukey指纹认证机制，远程网络认证机制，LDAP认证机制，3A认证机制等。用户层安全还包括网络安全，比如通过iptables定制防火墙，关闭服务器不必要开启的端口等。内核态的安全，比如，缓冲区溢出攻击，当然这个安全漏洞在windows中也是存在的，各种各样的内核态提权漏洞等，现在有很多网络安全公司基于netfilter框架添加自已的勾子函数， 生产各种入侵检测系统等。
Linux系统安全之所以在互联网公司包括像阿里巴巴这样的公司不受重视，是因为这些公司觉得，做为暴露给用户的各种应用，如Web应用等，这些应用的安全显然比操作系统的安全来得更加重要。当应用的安全得不到保障，Web程序被各种脚本小子植入如存储型XSS脚本，导致用户密码被盗，甚至导致一些更严重的结果，比如存储用户名与密码的数据库被脱库，这个就是相当严重的安全事故了。也许这个破坏者完成这些操作，并不需要利用操作系统的漏洞，也不需要取得操作系统的用户名和密码，只是要取得一个具有较高权限的数据库管理员的密码即可完成上述操作。当黑客取得Linux系统的普通用户名与密码时，当他需要root用户时，才会去利用操作系统本身的漏洞进行提权。关于Linux操作系统提权漏洞，在2.6.18版本存在较多的提权漏洞，到了2.6.32内核，这种提权漏洞已经少了很多。
回到正题，对于现在的很多IT从业人员来说，前途最直接的体现就是工资，待遇。就目前国内来说，直接从事Linux操作系统安全的公司很少，大部分都是科研院校在做这方面的工作。比如中科院下属的一些研究所，国家电网、南方电网里面的研究院，当然还有各大高校的一些信息安全实验室，还有解放军叔叔，他们也在从事这些方面的工作。
当然，如同所有的IT技术一样，Linux操作系统的各种安全机制，也是国外在主导。现有的Linux安全框架叫做LSM，Linux security mole。基于这个框架，可以实现各种各样的Linux安全机制，其中最着名的就是SELinux。因为Redhat的Linux自带的安全模块就是SELinux。SELinux最早是由NSA(美国国家安全局)主导的项目，后面开源了。Redhat在SELinux上做了大量的工作。但SELinux由于其配置比较复杂，再加上许多人认为Linux系统本身已经足够安全了，所以大部分人都将SELinux设置了disabled。想了解更多Linux命令，可查看《Linux命令大全》，具体搜索方式看下图：

5. Linux系统内核首次加入锁定功能

Linux之父林纳斯·托瓦兹（Linus Torvalds）上周六宣布在新版Linux系统内晌乱核中首滚谨明次加入锁定功能。

这项名为“lockdown”的Linux内核新安全功能将作为LSM（Linux安全模块）出现在即将发布的Linux 5.4版本当中。

该功能默认情况下处于关闭状态，由于存在破坏现有系统的风险，因此用户可选使用。这项新功能的主要目的是通过防止root帐户与内核代码进行交互来加强用户态进程与内核代码之间的鸿沟。

启用后，新的“锁定”功能将限制Linux某些内核功能，即使对于root用户也大告是如此，这使得受到破坏的root帐户更难于破坏其余的系统内核。

托瓦兹表示：“启用后，各种内核功能都受到限制。 ” 这包括限制对内核功能的访问，这些功能可能允许通过用户级进程提供的代码执行任意代码；阻止进程写入或读取/ dev / mem和/ dev / kmem内存；阻止对打开/ dev / port的访问，以防止原始端口访问；加强内核模块签名等。

Linux是一种自由和开放源码的类UNIX 操作系统。该操作系统的内核由林纳斯·托瓦兹在1991年10月5日首次发布。在加上用户空间的应用程序之后，成为 Linux 操作系统。Linux也是最着名的自由软件和开放源代码软件。只要遵循GNU 通用公共许可证（GPL），任何个人和机构都可以自由地使用Linux 的所有底层源代码，也可以自由地修改和再发布。

6. 《Linux内核安全模块深入剖析》pdf下载在线阅读，求百度网盘云资源

《Linux内核安全模块深入剖析》（李志）电子书网盘下载免费在线阅读

资源链接：

链接：https://pan..com/s/1u1nNqcgqaJNLBZthAbGKOg

书名：Linux内核安全模块深入剖析

作者：李志

出版社：机械工业出版社

出版年份：2016-12-1

页数：251

7. linux有用吗

有用

第一，安全性高，内核高效稳定

不会中win的病毒，死机或彻底挂掉的情况基本上不会出现。大量的网络管理软件、网络分析软件和网络安全软件等软件，还有大量网络管理、网络服务等功能，银液用户可以很方便地建立高效稳定的防火墙、路由器、工作站、服务器等。

第二，开源

Linux源代码是公开的，用户不用担心有什么安全隐患。Linux软件资源十分丰富，程序在这上面几乎都可以找到，设计者在这一基础之上很容易进行二次开发。

第三，具有一套完善的开发和锋盯物调试工具

嵌入式Linux为开发者提供了一套则枝完整的工具链，很方便地实现从操作系统到应用软件各个级别的调试。对于程序员来说，开发和调试非常重要，Linux为程序员提供了巨大的便利。

8. 想实现一个linux内核安全功能模块的技术思路是怎样的

作者：橘子-实现网
链接：https://www.hu.com/question/21637060/answer/58362892
来源：知乎
着作权归作者所有，转载请联系作者获得授权。

用户在执行系统调用时，先通过原有的内核接口依次执行功能性的错误检查，接着进行传统的DAC检查，并在即将访问内核的内部对象之前，通过LSM钩子函数调用LSM。LSM再调用具体的访问控制策略来决定访问的合法性。访问控制整体构架：<img src="https://pic2.mg.com/_b.jpg" data-rawwidth="804" data-rawheight="604" class="origin_image zh-lightbox-thumb" width="804" data-original="https://pic2.mg.com/_r.jpg">
LSM框架下访问决策模块包括selinux，smack，tomoyo，yama，apparmor.
每个决策模块都是通过各自的XXX_init函数调用register_security（）函数，注册到LSM框架的模块被加载成功后，就可以进行访问控制操作。如果此时还有一个安全模块要使用register_security()函数进行加载，则会出现错误，直到使用框架注销后，下一个模块才可以载入。<img src="https://pic2.mg.com/_b.jpg" data-rawwidth="420" data-rawheight="285" class="content_image" width="420">

Linux安全模块（LSM）提供了两类对安全钩子函数的调用：一类管理内核对象的安全域，另一类仲裁对这些内核对象的访问。对安全钩子函数的调用通过钩子来实现，钩子是全局表security_ops中的函数指针，这个全局表的类型是security_operations结构，这个结构定义在include/linux/security.h这个头文件中。
通过对security代码进行一番简单的分析，LSM启动过程流图：

<img src="https://pic2.mg.com/_b.jpg" data-rawwidth="1011" data-rawheight="213" class="origin_image zh-lightbox-thumb" width="1011" data-original="https://pic2.mg.com/_r.jpg">security_initcall只能调用selinux_init，smack_init ，tomoyo_init ， yama_init 和apparmor_init中的一个，因为内核不允许多种安全机制同时一起工作。一旦一个安全模块被加载，就成为系统的安全策略决策中心，而不会被后面的register_security()函数覆盖，直到这个安全模块被使用unregister_security()函数向框架注销。security_initcall只能调用selinux_init，smack_init ，tomoyo_init ， yama_init 和apparmor_init中的一个，因为内核不允许多种安全机制同时一起工作。一旦一个安全模块被加载，就成为系统的安全策略决策中心，而不会被后面的register_security()函数覆盖，直到这个安全模块被使用unregister_security()函数向框架注销。

因此LSM框架下只能开启一种安全机制，smack编译进Linux内核的配置和要求：

（1）要求smack和selinux不能够同时运行，不能同时存在于同一个运行中的内核；
查看内核是否开启以下的功能（如果没有则需要开启）：

CONFIG_NETLABEL=y
CONFIG_SECURITY=y
CONFIG_SECURITY_NETWORK=y
CONFIG_SECURITY_SMACK=y
CONFIG_SECURITY_SELINUX should not be
set

步骤：

make menuconfig
<img src="https://pic1.mg.com/_b.jpg" data-rawwidth="658" data-rawheight="461" class="origin_image zh-lightbox-thumb" width="658" data-original="https://pic1.mg.com/_r.jpg"><img src="https://pic3.mg.com/_b.jpg" data-rawwidth="658" data-rawheight="464" class="origin_image zh-lightbox-thumb" width="658" data-original="https://pic3.mg.com/_r.jpg"><img src="https://pic3.mg.com/_b.jpg" data-rawwidth="658" data-rawheight="468" class="origin_image zh-lightbox-thumb" width="658" data-original="https://pic3.mg.com/_r.jpg"><img src="https://pic4.mg.com/_b.jpg" data-rawwidth="662" data-rawheight="468" class="origin_image zh-lightbox-thumb" width="662" data-original="https://pic4.mg.com/_r.jpg">
make moles_install
make install
查看/proc/filesystems
可以看到smackfs，说明smack已经编进内核
<img src="https://pic2.mg.com/_b.jpg" data-rawwidth="146" data-rawheight="187" class="content_image" width="146">

执行如下的命令：
mkdir -p /smack
在文件/etc/fstab添加下面的一行
smackfs /smack smackfs defaults 0 0
然后执行下面的命令：
mount –a

然后就体验一下它的功能了：
1. 比如在用户test的home目录下(/home/test)，新建文件夹 mkdir testdir
cd testdir/
touch testfile
2. 给新建的testfile 打上TheOther标签
setfattr
--name=security.SMACK64 --value=TheOther testfile
查看其标签
getfattr
--only-values -n security.SMACK64 -e text testfile
可以看到标签TheOther
<img src="https://pic3.mg.com/_b.jpg" data-rawwidth="698" data-rawheight="60" class="origin_image zh-lightbox-thumb" width="698" data-original="https://pic3.mg.com/_r.jpg">

3. echo TheOne
2>/dev/null > /proc/self/attr/current，当前执行的进程默认都会被打为/proc/self/attr/current下的标签
4.配置策略echo -n "TheOne TheOther r---"> /sma ck/load
因为当前进程只要是没有特殊配置过的都被打为TheOne，所以当转换到普通用户test下，cat testfile是可读的
5.现在我将当前进程打为NotTheOne ，echo NotTheOne 2>/dev/null >
/proc/self/attr/current
当转换到普通用户test下，cat testfile则变成不可读的了
6．如果你想单独对某个进程打标签，而不是对当前进程打，就
attr -s security.SMACK64 -V TheOne /bin/cat
此时cat被标为TheOne，根据策略可以看出，当转换到普通用户test下，cat testfile是可读的
若attr -s
security.SMACK64 –V Not TheOne /bin/cat
根据策略可以看出，当转换到普通用户test下，cat testfile是不可读的
（需要说明的一点是，当cat本身被标上标签和/proc/self/attr/current打入标签共存时，cat本身的标签生效，而/proc/self/attr/current打入标签没有生效）

9. Linux安全优化和内核参数优化方案有那些

入口安全优化

• ssh配置优化

  修改之前，需要将/etc/ssh/sshd_config备份一个，比如/etc/ssh/sshd_config.old， 主要优化如下参数：

  Port 12011
  PermitRootLogin no
  UseDNS no
  #防止ssh客户端超时#
  ClientAliveInterval 30
  ClientAliveCountMax 99
  GSSAuthentication no
  

  主要目的更改ssh远程端口、禁用root远程登录（本地还是可以root登录的）、禁用dns、防止ssh超时、解决ssh慢，当然也可以启用密钥登录，这个根据公司需求。

  注意：修改以后需重启ssh生效，另外需要iptables放行最新ssh端口。

• iptables优化

  原则：用到哪些放行哪些，不用的一律禁止。

  举下简单的例子：敏感服务比如mysql这种3306控制，默认禁止远程，确实有必要可以放行自己指定IP连接或者通过vpn拨号做跳板连接，不可直接放置于公网； 如单位有自己的公网IP或固定IP，那只允许自己的公网IP进行连接ssh或者指定服务端口就更好了。

用户权限以及系统安全优化

非root用户添加以及sudo权限控制

用户配置文件锁定

服务控制

默认无关服务都禁止运行并chkconfig xxx off，只保留有用服务。这种如果是云计算厂商提供的，一般都是优化过。如果是自己安装的虚拟机或者托管的机器，那就需要优化下，默认只保留network、sshd、iptables、crond、以及rsyslog等必要服务，一些无关紧要的服务就可以off掉了，

内核参数优化

• 进程级文件以及系统级文件句柄数量参数优化

默认ulinit -n看到的是1024，这种如果系统文件开销量非常大，那么就会遇到各种报错比如：

localhost kernel: VFS: file-max limit 65535 reached 或者too many open files 等等，那就是文件句柄打开数量已经超过系统限制，就需要优化了。

这个参数我们进程级优化文件如下：

vim /etc/security/limits.conf

# End of file
* soft nofile 65535
* hard nofile 65535
* soft nproc 65535
* hard nproc 65535

好了，退出当前终端以后重新登录可以看到ulimit -n已经改成了65535。另外需要注意，进程级参数优化还需要修改文件：

/etc/security/limits.d/90-nproc.conf 这个会影响到参数。查看某一个进程的limits可以通过cat /proc/pid/limits查看。默认这个文件参数推荐设置：

[root@21yunwei 9001]# cat /etc/security/limits.d/90-nproc.conf
* soft nproc 65535
root soft nproc unlimited

• 系统级文件句柄优化

修改/etc/sysctl.conf添加如下参数：

fs.file-max=65535

内核参数优化（这个是非常重要的）。具体优化的文件为/etc/sysctl.conf，后尾追加优化参数：

net.ipv4.neigh.default.gc_stale_time=120
net.ipv4.conf.all.rp_filter=0
net.ipv4.conf.default.rp_filter=0
net.ipv4.conf.default.arp_announce = 2
net.ipv4.conf.all.arp_announce=2
net.core.netdev_max_backlog = 32768
net.core.somaxconn = 32768
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.ipv4.conf.lo.arp_announce=2

net.ipv4.tcp_synack_retries = 2

#参数的值决定了内核放弃连接之前发送SYN+ACK包的数量。

net.ipv4.tcp_syn_retries = 1

#表示在内核放弃建立连接之前发送SYN包的数量。

net.ipv4.tcp_max_syn_backlog = 262144

#这个参数表示TCP三次握手建立阶段接受SYN请求列队的最大长度，默认1024，将其设置的大一些可以使出现Nginx繁忙来不及accept新连接的情况时，Linux不至于丢失客户端发起的链接请求。

设置完以后执行命令sysctl -p使得配置新配置的内核参数生效。系统优化这个内核对系统本身安全以及高并发都非常的有效（可以解决大量TIME_WAIT带来的无法访问使用、系统文件句柄数量超出等等）。

net.ipv4.tcp_timestamps = 1 #开启时间戳，配合tcp复用。如遇到局域网内的其他机器由于时间戳不同导致无法连接服务器，有可能是这个参数导致。注：阿里的slb会清理掉tcp_timestampsnet.ipv4.tcp_tw_recycle = 1 #这个参数用于设置启用timewait快速回收net.ipv4.tcp_max_tw_buckets = 6000 #参数设置为 1 ，表示允许将TIME_WAIT状态的socket重新用于新的TCP链接，该参数默认为180000，过多的TIME_WAIT套接字会使Web服务器变慢。net.ipv4.tcp_mem = 94500000 915000000 927000000 net.ipv4.tcp_fin_timeout = 1 #当服务器主动关闭链接时，选项决定了套接字保持在FIN-WAIT-2状态的时间。默认值是60秒。net.ipv4.tcp_keepalive_time = 600 #当keepalive启动时，TCP发送keepalive消息的频度；默认是2小时，将其设置为10分钟，可以更快的清理无效链接。net.ipv4.ip_local_port_range = 1024 65000#定义UDP和TCP链接的本地端口的取值范围。fs.file-max=65535 #表示最大可以打开的句柄数；

设置完以后执行命令sysctl -p使得配置新配置的内核参数生效。这个内核对系统本身安全以及高并发都非常的有效（可以解决大量TIME_WAIT带来的无法访问使用、系统文件句柄数量超出等等）。

10. 为什么说黑客都用LINUX

1、Linux的安全性极高，一般情况下是不用安装安全软件，如：杀毒软件。同时，很多高级黑客工具是以Linux为核心代码写出来的。桐简在编程当面，Linux系统自带高级编程语言，其内核使得它本身就是一种编程语言。另外，高级语言编写出来的程序具有移植性强特点，可以运行于WIN里面。

2、开源，它是一种自由和开放源代码的类UNIX操作系统，任何人都可以自由使用、完全不受任何限制。

3、在Linux社区里内核的开发被认为是真正的编程.由于一批高水平黑客的加入,使Linux发展迅猛,到1993年底94年初,Linux 1.0终于诞生了! Linux 1.0已经是一个功能完备的操作系统,而且内核写得紧凑高效,可以充分发挥硬件的性能,在4M内存的80386机器上也表现得非常好。

4.Linux具有良好的兼容性和可移植性,大约在1.3版本之后,开始向其他硬件平台上移植,包括号称最快的CPU---Digital Alpha(至少目前主频是最高的).所以不要总把Linux与低档硬件平台联系 到一块,Linux发展到今天,这是一个误区,它只是将硬件的性能充分发挥 出来而已,Linux必将从低端应用横扫到高端应用。

5、通过计算机网络加入了Linux的内核开发,Linux倾向于成为一个黑客的系统----直到今天,在Linux社区里内核的开发被认为是真正的编程.由于一批高水平黑客的加入,使Linux发展迅猛,到1993年底94年初,Linux 1.0终于诞生了! Linux 1.0已经是一个功能完备的操作系统,而宴轮者且内核写得紧凑高效,可以充分发挥硬件的性能,在4M内存的80386机器上也表现得晌薯非常。