sysctl和ulimit和proc

2018-01-09 约 3902 字预计阅读 8 分钟

参考：

sysctl

sysctl 命令被用于在内核运行时动态地修改内核的运行参数，可用的内核参数在目录 /proc/sys 中。它包含一些Tcp/Ip堆栈和虚拟内存系统的高级选项，可以通过修改某些值来提高系统性能。

sysctl可以读取和设置超过五百个系统变量。 sysctl变量的设置通常是字符串、数字或布尔型（布尔型用1表示yes，0表示no）。

sysctl - configure kernel parameters at runtime.

语法：

1
2
3


#sysctl [options] [variable[=value]] [...]

sysctl -w net.ipv4.tcp_syncookies=1

可以通过sysctl命令修改系统变量，也可以通过编辑sysctl.conf配置文件来修改系统变量。

sysctl.conf - sysctl preload/configuration file.

举个栗子：

  1
  2
  3
  4
  5
  6
  7
  8
  9
 10
 11
 12
 13
 14
 15
 16
 17
 18
 19
 20
 21
 22
 23
 24
 25
 26
 27
 28
 29
 30
 31
 32
 33
 34
 35
 36
 37
 38
 39
 40
 41
 42
 43
 44
 45
 46
 47
 48
 49
 50
 51
 52
 53
 54
 55
 56
 57
 58
 59
 60
 61
 62
 63
 64
 65
 66
 67
 68
 69
 70
 71
 72
 73
 74
 75
 76
 77
 78
 79
 80
 81
 82
 83
 84
 85
 86
 87
 88
 89
 90
 91
 92
 93
 94
 95
 96
 97
 98
 99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125


vim /etc/sysct.conf


# Controls source route verification
# Default should work for all interfaces net.ipv4.conf.default.rp_filter = 1
# net.ipv4.conf.all.rp_filter = 1
# net.ipv4.conf.lo.rp_filter = 1
# net.ipv4.conf.eth0.rp_filter = 1


# Disables IP source routing
# Default should work for all interfaces net.ipv4.conf.default.accept_source_route = 0
# net.ipv4.conf.all.accept_source_route = 0
# net.ipv4.conf.lo.accept_source_route = 0
# net.ipv4.conf.eth0.accept_source_route = 0


# Controls the System Request debugging functionality of the kernel
kernel.sysrq = 0


# Controls whether core dumps will append the PID to the core filename
# Useful for debugging multi-threaded applications
kernel.core_uses_pid = 1


# Increase maximum amount of memory allocated to shm
# Only uncomment if needed
# kernel.shmmax = 67108864


# Disable ICMP Redirect Acceptance
# Default should work for all interfaces
net.ipv4.conf.default.accept_redirects = 0
# net.ipv4.conf.all.accept_redirects = 0
# net.ipv4.conf.lo.accept_redirects = 0
# net.ipv4.conf.eth0.accept_redirects = 0


# enable Log Spoofed Packets, Source Routed Packets, Redirect Packets
# Default should work for all interfaces
net.ipv4.conf.default.log_martians = 1
#net.ipv4.conf.all.log_martians = 1
# net.ipv4.conf.lo.log_martians = 1
# net.ipv4.conf.eth0.log_martians = 1


# Decrease the time default value for tcp_fin_timeout connection
net.ipv4.tcp_fin_timeout = 25


# Decrease the time default value for tcp_keepalive_time connection
net.ipv4.tcp_keepalive_time = 1200


# Turn on the tcp_window_scaling
net.ipv4.tcp_window_scaling = 1


# Turn on the tcp_sack
net.ipv4.tcp_sack = 1


# tcp_fack should be on because of sack
net.ipv4.tcp_fack = 1


# Turn on the tcp_timestamps
net.ipv4.tcp_timestamps = 1


# Enable TCP SYN Cookie Protection
net.ipv4.tcp_syncookies = 1


# Enable ignoring broadcasts request
net.ipv4.icmp_echo_ignore_broadcasts = 1


# Disable ping requests
net.ipv4.icmp_echo_ignore_all = 1


# Enable bad error message Protection
net.ipv4.icmp_ignore_bogus_error_responses = 1


# make more local ports available
# net.ipv4.ip_local_port_range = 1024 65000


# set TCP Re-Ordering value in kernel to 5
net.ipv4.tcp_reordering = 5


# Lower syn retry rates
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 3


# Set Max SYN Backlog to 2048
net.ipv4.tcp_max_syn_backlog = 2048


# Various Settings
net.core.netdev_max_backlog = 1024


# Increase the maximum number of skb-heads to be cached
net.core.hot_list_length = 256


# Increase the tcp-time-wait buckets pool size
net.ipv4.tcp_max_tw_buckets = 360000


# This will increase the amount of memory available for socket input/output queues
net.core.rmem_default = 65535
net.core.rmem_max = 8388608
net.ipv4.tcp_rmem = 4096 87380 8388608 net.core.wmem_default = 65535
net.core.wmem_max = 8388608
net.ipv4.tcp_wmem = 4096 65535 8388608
net.ipv4.tcp_mem = 8388608 8388608 8388608
net.core.optmem_max = 40960

重新加载内核参数：

1
2
3
4
5


#-p, read values from file
sysctl -p

#-a, display all variables
sysctl -a

ulimit

大多Unix-Like系统，都提供了限制每个进程和每个基本用户使用线程，文件和网络连接等系统资源的一些方法。

假设有这样一种情况，当一台Linux主机上同时登陆了10人，在资源无限制的情况下，这10个用户同时打开了500个文件。假设每个文件的大小有10M，这是系统的内存资源就会收到巨大挑战。但是任何一台主机的资源都不可能是无限的。所以，资源的合理配置和分配，不仅仅是保证系统可用性的必要条件，也与系统上软件运行的性能有着密不可分的联系。

ulimit是指每个user使用各种资源的限制值。ulimit 命令用来限制系统用户对shell资源的访问，它是一种简单并且有效的实现资源限制的方式。

ulimit的设置值是 per-process的，也就是说，每个进程都有自己的limits值；
使用ulimit进行修改，是立即生效的；
ulimit只影响shell进程及其子进程，用户登出后失效；
修改ulimit设置之后，要重启程序修改值才会有效。可通过/proc文件系统查看运行进程当前的限制值;
使用ulimit对系统限制的改变在系统重启后都会恢复到默认值;
可以在profile中加入ulimit的设置，便能做到永久生效。

ulimit 用于限制 shell 启动进程所占用的资源，支持以下各种类型的限制：

所创建的内核文件的大小；
进程数据块的大小；
Shell进程创建文件的大小；
内存锁住的大小；
常驻内存集的大小；
打开文件描述符的数量；
分配堆栈的最大大小；
CPU时间；
单个用户的最大线程数；
Shell进程所能使用的最大虚拟内存；
它支持硬资源(hard)和软资源(soft)的限制。

sort和hard

hard：是指用户在任何时候都可以活动的进程的最大数量，这是上限。没有任何non-root进程能够增加hard ulimit；
soft：是对会话或进程实际执行的限制，但任何进程都可以将其增加到hard ulimit的最大值。

设置ulimit

可以在以下位置进行ulimit的设置：

/etc/profile，所有用户有效，永久生效；
~/.bash_profile,当前用户有效，永久生效；
直接在控制台修改，当前用户有效，临时生效；

永久生效：

1
2
3


vim /etc/profile

vim ~/.bash_profile

临时生效：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25


ulimit -a


core file size          (blocks, -c) 0
data seg size           (kbytes, -d) unlimited
scheduling priority             (-e) 0
file size               (blocks, -f) unlimited
pending signals                 (-i) 7170
max locked memory       (kbytes, -l) 64
max memory size         (kbytes, -m) unlimited
open files                      (-n) 1024
pipe size            (512 bytes, -p) 8
POSIX message queues     (bytes, -q) 819200
real-time priority              (-r) 0
stack size              (kbytes, -s) 8192
cpu time               (seconds, -t) unlimited
max user processes              (-u) 7170
virtual memory          (kbytes, -v) unlimited
file locks                      (-x) unlimited



#修改限定值
ulimit -n 201400
ulimit -t ulimited

limits.conf

limits.conf - configuration file for the pam_limits module

limits.conf是pam_limits.so的配置文件，Linux PAM(Pluggable Authentication Modules，插入式认证模块)。突破系统默认限制，对系统资源有一定保护作用。

pam_limits模块对用户的会话进行资源限制，然后/etc/pam.d/下的应用程序调用pam_***.so模块。

limits.conf是针对用户，而sysctl.conf是针对整个系统参数配置。

一个shell的初始limits就是由pam_limits设定的，用户登录后，pam_limits会给用户的shell设定在limits.conf定义的值；
pam_limits的设定值也是per-process；
pam_limits的设置是永久生效的。

配置limits.conf：

1

vim /etc/security/limits.conf

举个栗子：

1
2
3
4
5
6
7
8
9


#<domain>      <type>  <item>         <value>

#*               soft    core            0
#*               hard    rss             10000
#@student        hard    nproc           20
#@faculty        soft    nproc           20
#@faculty        hard    nproc           50
#ftp             hard    nproc           0
#@student        -       maxlogins       4

domain：

username
@groupname

type：

soft
hard
-

item：

core，限制内核文件的大小
date，最大数据大小
fsize，最大文件大小
memlock，最大锁定内存地址空间
nofile，打开文件的最大数目
rss，最大持久设置大小
stack，最大栈大小
cpu，以分钟为单位的最多CPU时间
nproc，进程的最大数目
as，地址空间限制
maxlogins，此用户允许登录的最大数目

value：

item值的大小

# /proc

什么是/proc文件系统

Linux内核提供了一种通过/proc文件系统，在运行时访问内核内部数据结构，改变内核设置的机制。

proc文件系统是一个伪文件系统，它只存在内存当中，不占用外部空间。它以文件系统的方式为访问系统内核数据的操作提供接口。

对/proc中内核文件的修改，针对的是整个系统的内核参数，修改后立即生效，但修改是 临时的，重启后失效。

/proc与sysctl.conf的对应关系

修改/proc文件系统中的参数是临时的，但修改sysctl.conf的参数确是永久有效的。

配置文件sysctl.conf变量在/proc/sys下，其对应关系如下：

1
2
3
4
5
6
7
8
9


#将文件名的 . 变为 /

#/proc/sys/net/ipv4/icmp_echo_ignore_all
#net.ipv4.icmp_echo_ignore_all

echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all

vim /etc/sysctl.conf
net.ipv4.icmp_echo_ignore_all = 0

/proc文件系统几个常用的内核文件

/proc/meminfo #内存信息
/proc/cpuinfo #CPU信息
/proc/sys/fs/file-max #文件打开数
/proc/sys/fs/file-nr #整个系统目前使用的文件句柄数量

/proc文件系统中文件的权限

proc中的每个文件都有一组分配给它的非常特殊的文件许可权，并且每个文件属于特定的用户标识。

只读：任何用户都不能更改该文件，它用于表示系统信息
root写
root读

对/proc进行读写

1
2
3
4
5
6


cat /proc/sys/net/ipv4/icmp_echo_ignore_all
#0

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

#当然,也可是用sysctl来配置

/proc内核文件详解

/proc/buddyinfo 每个内存区中的每个order有多少块可用，和内存碎片问题有关
/proc/cmdline 启动时传递给kernel的参数信息
/proc/cpuinfo cpu的信息
/proc/crypto 内核使用的所有已安装的加密密码及细节
/proc/devices 已经加载的设备并分类
/proc/dma 已注册使用的ISA DMA频道列表
/proc/execdomains Linux内核当前支持的execution domains
/proc/fb 帧缓冲设备列表，包括数量和控制它的驱动
/proc/filesystems 内核当前支持的文件系统类型
/proc/interrupts x86架构中的每个IRQ中断数
/proc/iomem 每个物理设备当前在系统内存中的映射
/proc/ioports 一个设备的输入输出所使用的注册端口范围
/proc/kcore 代表系统的物理内存，存储为核心文件格式，里边显示的是字节数，等于RAM大小加上4kb
/proc/kmsg 记录内核生成的信息，可以通过/sbin/klogd或/bin/dmesg来处理
/proc/loadavg 根据过去一段时间内CPU和IO的状态得出的负载状态，与uptime命令有关
/proc/locks 内核锁住的文件列表
/proc/mdstat 多硬盘，RAID配置信息(md=multiple disks)
/proc/meminfo RAM使用的相关信息
/proc/misc 其他的主要设备(设备号为10)上注册的驱动
/proc/modules 所有加载到内核的模块列表
/proc/mounts 系统中使用的所有挂载
/proc/mtrr 系统使用的Memory Type Range Registers (MTRRs)
/proc/partitions 分区中的块分配信息
/proc/pci 系统中的PCI设备列表
/proc/slabinfo 系统中所有活动的 slab 缓存信息
/proc/stat 所有的CPU活动信息
/proc/sysrq-trigger 使用echo命令来写这个文件的时候，远程root用户可以执行大多数的系统请求关键命令，就好- 像在本地终端执行一样。要写入这个文件，需要把/proc/sys/kernel/sysrq不能设置为0。这个文件对root也是不可- 读的
/proc/uptime 系统已经运行了多久
/proc/swaps 交换空间的使用情况
/proc/version Linux内核版本和gcc版本
/proc/bus 系统总线(Bus)信息，例如pci/usb等
/proc/driver 驱动信息
/proc/fs 文件系统信息
/proc/ide ide设备信息
/proc/irq 中断请求设备信息
/proc/net 网卡设备信息
/proc/scsi scsi设备信息
/proc/tty tty设备信息
/proc/net/dev 显示网络适配器及统计信息
/proc/vmstat 虚拟内存统计信息
/proc/vmcore 内核panic时的内存映像
/proc/diskstats 取得磁盘信息
/proc/schedstat kernel调度器的统计信息
/proc/zoneinfo 显示内存空间的统计信息，对分析虚拟内存行为很有用

以下是/proc目录中进程N的信息：

/proc/N pid为N的进程信息
/proc/N/cmdline 进程启动命令
/proc/N/cwd 链接到进程当前工作目录
/proc/N/environ 进程环境变量列表
/proc/N/exe 链接到进程的执行命令文件
/proc/N/fd 包含进程相关的所有的文件描述符
/proc/N/maps 与进程相关的内存映射信息
/proc/N/mem 指代进程持有的内存，不可读
/proc/N/root 链接到进程的根目录
/proc/N/stat 进程的状态
/proc/N/statm 进程使用的内存的状态
/proc/N/status 进程状态信息，比stat/statm更具可读性
/proc/self 链接到当前正在运行的进程