中国最完整的sysctl.conf优化方案

W8u3`#o n%Z6_W\网上关于sysctl.conf的优化方案有各种版本，大多都是抄来抄去的，让新人看了很迷茫。为解决此问题，经过两天的整理，查了N多资料，将大家常用的总结如下，很多默认的不需要修改的暂未涉及，今后将逐步把所有的项目都有个翻译、讲解、修改建议，如有修改，将以此文为准，其他地方的内容，本人不负责更新。因此转载请注明链接地址：http://www.bsdlover.cn/html/38/n-138.html如果您有补充或修订意见，请于本文后评论或到论坛http://bbs.bsdlover.cn讨论，万分感谢！

(c+u+b%J~|g!v

H tA`nz{###################BSD爱好者乐园
IOKp3TU
所有rfc相关的选项都是默认启用的，因此网上的那些还自己写rfc支持的都可以扔掉了:)
0HB/n"Uwdoz.m/~7R###############################BSD爱好者乐园h pd]t,F LK

m0H:~+A A s6p4{net.inet.ip.sourceroute=0
\3Xv_?net.inet.ip.accept_sourceroute=0BSD爱好者乐园(Q E8?5Kw#TZt4s,M7DqA
#############################
*[cT OI\1wI#l;e7T} }通过源路由，攻击者可以尝试到达内部IP地址 --包括RFC1918中的地址，所以
(G P5c1M
D不接受源路由信息包可以防止你的内部网络被探测。BSD爱好者乐园5q!M1Y6f`
GT
#################################BSD爱好者乐园)yo p]o!h3]

BSD爱好者乐园l-q4[a4`I6D,B?

net.inet.tcp.drop_synfin=1BSD爱好者乐园O IUL9f$T
###################################BSD爱好者乐园:P*F UJ*n8P
安全参数，编译内核的时候加了options TCP_DROP_SYNFIN才可以用，可以阻止某些OS探测。BSD爱好者乐园;B5ynw0R C
##################################BSD爱好者乐园'C8cl5a#v

x W2mRW {Ad~kern.maxvnodes=8446
4W8z6g)] as.G%~et#################http://www.bsdlover.cn#########
SnqS rvnode 是对文件或目录的一种内部表达。 因此， 增加可以被操作系统利用的 vnode 数量将降低磁盘的 I/O。
/ISr4R7O ut!fF6\一般而言， 这是由操作系统自行完成的，也不需要加以修改。但在某些时候磁盘 I/O 会成为瓶颈，BSD爱好者乐园;K9J9aL2c,X&n(S
而系统的 vnode 不足， 则这一配置应被增加。此时需要考虑是非活跃和空闲内存的数量。BSD爱好者乐园(L.u$@c+R I3uw
要查看当前在用的 vnode 数量：
[*U)}7lR&KIb# sysctl vfs.numvnodesBSD爱好者乐园~k{cM0By
vfs.numvnodes: 91349BSD爱好者乐园DC0?pA@5j
要查看最大可用的 vnode 数量：
.tDT.y:E
}T5f,_&b# sysctl kern.maxvnodesBSD爱好者乐园 c {(V6@#O.[ Y^0V,AM
kern.maxvnodes: 100000BSD爱好者乐园9t
_'x.\SI
如果当前的 vnode 用量接近最大值，则将 kern.maxvnodes 值增大 1,000 可能是个好主意。
D5qr
RHn%g您应继续查看 vfs.numvnodes 的数值， 如果它再次攀升到接近最大值的程度，BSD爱好者乐园g$J%e0c6k+ODJ1n
仍需继续提高 kern.maxvnodes。 在 top(1) 中显示的内存用量应有显著变化，BSD爱好者乐园_C7F/{/K"Q$N9wt
更多内存会处于活跃 (active) 状态。
,r(u)\Yq.OiL####################################

kqq+zn;Y0V'yq+x&?BSD爱好者乐园3Ze H;f%t#v,p

BSD爱好者乐园W*i*\3Z,S/~+A;u
kern.maxproc: 964BSD爱好者乐园.{A.EX/@B]
#################http://www.bsdlover.cn#########BSD爱好者乐园E
W%c}sV.Y)|
Maximum number of processesBSD爱好者乐园0n t0WrF B)ol
####################################
9f.H0W7`8| ?(q-x%okern.maxprocperuid: 867
I'Ad-U$@)kS#################http://www.bsdlover.cn#########BSD爱好者乐园#ZvUj{7}b&@h
Maximum processes allowed per useridBSD爱好者乐园Qc3{TcFO.mx
####################################
9_6Tn2N4b因为我的maxusers设置的是256，20+16*maxusers＝4116。BSD爱好者乐园8I t gRCNP` F;d
maxprocperuid至少要比maxproc少1，因为init(8) 这个系统程序绝对要保持在运作状态。BSD爱好者乐园#_-T4t uIz5U
我给它设置的2068。BSD爱好者乐园 J;O
ge yW8cEE

)B%P9Q!}fBSD爱好者乐园(f\Qu$n ]
kern.maxfiles: 1928
SX ~kD ha;W#################http://www.bsdlover.cn#########BSD爱好者乐园S H
~KgO(m+P
系统中支持最多同时开启的文件数量，如果你在运行数据库或大的很吃描述符的进程，那么应该设置在20000以上，
"q)q
R`dd2X比如kde这样的桌面环境，它同时要用的文件非常多。BSD爱好者乐园T-R/L7~*Q:Yk-\4G
一般推荐设置为32768或者65536。BSD爱好者乐园m%Qj2DP,{
####################################

&~v2DC"F(bpBSD爱好者乐园|]J0fp"JMs(Y

kern.argmax: 262144BSD爱好者乐园?:ek
`{v;i
#################http://www.bsdlover.cn#########BSD爱好者乐园|4s3Z?ku0}+?QL
maximum number of bytes (or characters) in an argument list.BSD爱好者乐园O9F.Q`H
f
命令行下最多支持的参数，比如你在用find命令来批量删除一些文件的时候
5Uib ik,SwZfind . -name "*.old" -delete，如果文件数超过了这个数字，那么会提示你数字太多的。
#I;q4~(la*s可以利用find . -name "*.old" -ok rm {} \;来删除。
5cdUYL\C\默认的参数已经足够多了，因此不建议再做修改。
p W6le8KHQD,n+`,L####################################BSD爱好者乐园%TZ
i[ x.d

!V ~f:C6_e9~A*A2^@kern.securelevel: -1BSD爱好者乐园;p7]0bg jg3oM
#################http://www.bsdlover.cn#########BSD爱好者乐园E+OU XLpbr K
-1：这是系统默认级别，没有提供任何内核的保护错误；BSD爱好者乐园Z(EB HO)P
0：基本上作用不多，当你的系统刚启动就是0级别的，当进入多用户模式的时候就自动变成1级了。
Quk|9X d6RLs1：在这个级别上，有如下几个限制：
9z,xRtqW&m"y　　a. 不能通过kldload或者kldunload加载或者卸载可加载内核模块；
*CFAR*L;u　　b. 应用程序不能通过/dev/mem或者/dev/kmem直接写内存；
/bdA:g[^ymvKU　　c. 不能直接往已经装在(mounted)的磁盘写东西，也就是不能格式化磁盘，但是可以通过标准的内核接口执行写操作；BSD爱好者乐园p R9N9w&}`/{1m}'['L
　　d. 不能启动X-windows，同时不能使用chflags来修改文件属性；BSD爱好者乐园.P`WO XD
2：在 1 级别的基础上还不能写没装载的磁盘，而且不能在1秒之内制造多次警告，这个是防止DoS控制台的；BSD爱好者乐园i"S7[(yIKUR \"f
3：在 2 级别的级别上不允许修改IPFW防火墙的规则。
4Qv5qJx5Zo　　如果你已经装了防火墙，并且把规则设好了，不轻易改动，那么建议使用3级别，如果你没有装防火墙，而且还准备装防火墙的话，不建议使用。BSD爱好者乐园kJ m5Y,\%lk
我们这里推荐使用 2 级别，能够避免比较多对内核攻击。BSD爱好者乐园5l-C#OtV;[ RN W
####################################BSD爱好者乐园8[kB#Z*Uy-q#ho
{$O

O a+C@Q$|kern.maxfilesperproc: 1735
/K8k#[*}6b F#################http://www.bsdlover.cn#########
y6t6an%_5\每个进程能够同时打开的最大文件数量，网上很多资料写的是32768
E i|S*]x3W`除非用异步I/O或大量线程，打开这么多的文件恐怕是不太正常的。
hc,C1?js VWvKy!nK.?我个人建议不做修改，保留默认。
p'd$eQy&G U####################################

(we+PbV;SM"mz

/gM0Q7@G$z
5oLeEK,^0pc#_gK
Ekern.ipc.maxsockbuf: 262144
"O}cy^ Z x,C/|#################http://www.bsdlover.cn#########
#KiC'{Z2X9Ss最大的套接字缓冲区，网上有建议设置为2097152（2M）、8388608（8M）的。BSD爱好者乐园[+u{R+P
我个人倒是建议不做修改，保持默认的256K即可，缓冲区大了可能造成碎片、阻塞或者丢包。BSD爱好者乐园+tV!qBLSw!l$O
####################################BSD爱好者乐园LWY1B|n#N

JXr%I:q8|MBSD爱好者乐园5b~Vm%d
kern.ipc.somaxconn: 128BSD爱好者乐园,p(|"JP"p1D
#################http://www.bsdlover.cn#########BSD爱好者乐园+_#O&I#i3j!{7PN%]m#G
最大的等待连接完成的套接字队列大小，即并发连接数。
%bV V$K3nt$E高负载服务器和受到Dos攻击的系统也许会因为这个队列被塞满而不能提供正常服务。BSD爱好者乐园n|7T0e n gb3Yts
默认为128，推荐在1024-4096之间，根据机器和实际情况需要改动，数字越大占用内存也越大。BSD爱好者乐园hZQX&E+Q%dkw
####################################BSD爱好者乐园1jyT)Gmc;zp

BSD爱好者乐园0q/~paS_

}2x"p&W#`3p9Ckern.ipc.nmbclusters: 4800
1o4Q-| U#z*LD {mW;[#################http://www.bsdlover.cn#########
Ws+eN0m~/n这个值用来调整系统在开机后所要分配给网络 mbufs 的 cluster 数量，BSD爱好者乐园
d5CAU kJn
由于每个 cluster 大小为 2K，所以当这个值为 1024 时，也是会用到 2MB 的核心内存空间。BSD爱好者乐园k+H,@J[K M;V{ U
假设我们的网页同时约有 1000 个联机，而 TCP 传送及接收的暂存区大小都是 16K，BSD爱好者乐园
d9]D.y0]'Sv lV
则最糟的情况下，我们会需要 (16K+16K) * 1024，也就是 32MB 的空间，BSD爱好者乐园fWOGV'Vd
然而所需的 mbufs 大概是这个空间的二倍，也就是 64MB，所以所需的 cluster 数量为 64MB/2K，也就是 32768。
0b
_gJ(p1\[对于内存有限的机器，建议值是 1024 到 4096 之间，而当拥有海量存储器空间时，我们可以将它设定为 4096 到 32768 之间。BSD爱好者乐园#~uPA p@ y5k
我们可以使用 netstat 这个指令并加上参数 -m 来查看目前所使用的 mbufs 数量。
iA,}1O k%dbM;I:{要修改这个值必须在一开机就修改，所以只能在 /boot/loader.conf 中加入修改的设定
g9y-f,UPnOVkern.ipc.nmbclusters=32768BSD爱好者乐园I4vw Q0g4e|
####################################BSD爱好者乐园x7h/T&oRQ)ZQH8d-v

BSD爱好者乐园.BP]1[3T{Osv_dB

BSD爱好者乐园g:v.r8m/J7U+nY
kern.ipc.shmmax: 33554432
*mZ
NHdT4Wv#################http://www.bsdlover.cn#########
p*s*^&I&yw~[8o5V共享内存和信号灯("System VIPC")如果这些过小的话，有些大型的软件将无法启动
8j
mw%WWu Y安装xine和mplayer提示的设置为67108864，即64M，
A$ul)jL K'\如果内存多的话，可以设置为134217728，即128MBSD爱好者乐园)U&N1[%{R$@
?%^
####################################BSD爱好者乐园8Q3W9K9UJ&S5O

BSD爱好者乐园5Le"IP#R

BSD爱好者乐园4D0@[V {x@
kern.ipc.shmall: 8192BSD爱好者乐园C#Y$x3T:S3E#`
#################http://www.bsdlover.cn#########
pE&T+ej)T-?共享内存和信号灯("System VIPC")如果这些过小的话，有些大型的软件将无法启动
,X6}ohC8[| o安装xine和mplayer提示的设置为32768
z j~d)?S6y
a####################################

y uT/Ytlzr-Wg

"[(}}W'AYkern.ipc.shm_use_phys: 0BSD爱好者乐园 f|U(pE
}
#################http://www.bsdlover.cn#########BSD爱好者乐园JDi;|1kJ d W1I+W
如果我们将它设成 1，则所有 System V 共享内存 (share memory，一种程序间沟通的方式)部份都会被留在实体的内存 (physical memory) 中，BSD爱好者乐园z
ML*DN(s/I
而不会被放到硬盘上的 swap 空间。我们知道物理内存的存取速度比硬盘快许多，而当物理内存空间不足时，
:[:|4r)U#KL(\部份数据会被放到虚拟的内存上，从物理内存和虚拟内存之间移转的动作就叫作 swap。如果时常做 swap 的动作，
uJQ\$n,s|则需要一直对硬盘作 I/O，速度会很慢。因此，如果我们有大量的程序 (数百个) 需要共同分享一个小的共享内存空间，BSD爱好者乐园JeHEkl/q
tU%F
或者是共享内存空间很大时，我们可以将这个值打开。BSD爱好者乐园i N+LJ'PP5^
这一项，我个人建议不做修改，除非你的内存非常大。
B7I{9o*SbsO####################################

#rP4g&CtPBSD爱好者乐园6Mb0w_;^ Z
IF C t;WN A

BSD爱好者乐园6J9LGc%^E}HDi
kern.ipc.shm_allow_removed: 0
Z;Y%U:OG#################http://www.bsdlover.cn#########BSD爱好者乐园Z0]4]@)nOlds3g
共享内存是否允许移除？这项似乎是在fb下装vmware需要设置为1的，否则会有加载SVGA出错的提示BSD爱好者乐园1Cg
l6~9K(|;pe*Tv,xX
作为服务器，这项不动也罢。
e.e0Kf*l####################################BSD爱好者乐园c\o PVe8G#q'] u+R

6S&w-|'j-H-e%oykern.ipc.numopensockets: 12
$Vz-}S-s|HU#################http://www.bsdlover.cn#########BSD爱好者乐园/G5PpU4rU
已经开启的socket数目，可以在最繁忙的时候看看它是多少，然后就可以知道maxsockets应该设置成多少了。
p$\h$IS(UK,g####################################BSD爱好者乐园 W5bOOU6O5GQ4IL$_

7NsN8E KCA!ikern.ipc.maxsockets: 1928
.l7P~&S2?H#################http://www.bsdlover.cn#########
s#N je`这是用来设定系统最大可以开启的 socket 数目。如果您的服务器会提供大量的 FTP 服务，
m3xs/|*E.sv1E k而且常快速的传输一些小档案，您也许会发现常传输到一半就中断。因为 FTP 在传输档案时，
9`M]jGY每一个档案都必须开启一个 socket 来传输，但关闭 socket 需要一段时间，如果传输速度很快，BSD爱好者乐园+r!m3W3O5Ed
而档案又多，则同一时间所开启的 socket 会超过原本系统所许可的值，这时我们就必须把这个值调大一点。BSD爱好者乐园TJ
^/X(VH
除了 FTP 外，也许有其它网络程序也会有这种问题。
&as;MS\ p-a(f0?然而，这个值必须在系统一开机就设定好，所以如果要修改这项设定，我们必须修改 /boot/loader.conf 才行BSD爱好者乐园&nB
]S'w
kern.ipc.maxsockets="16424"
0[Mq^Z7NR E'OZ####################################

2D OA;d'`vUBSD爱好者乐园F*_0T'v(bc

kern.ipc.nsfbufs: 1456BSD爱好者乐园rbJ9\ z7Q,[1OvW
#################http://www.bsdlover.cn#########BSD爱好者乐园Pel5bf Z{B8cSD A
经常使用 sendfile(2) 系统调用的繁忙的服务器，BSD爱好者乐园q0]*_ UJ p7AV
有必要通过 NSFBUFS 内核选项或者在 /boot/loader.conf (查看 loader(8) 以获得更多细节) 中设置它的值来调节 sendfile(2) 缓存数量。
U
Qq {E
wa"mO这个参数需要调节的普通原因是在进程中看到 sfbufa 状态。sysctl kern.ipc.nsfbufs 变量在内核配置变量中是只读的。
.Jj-U#}l3]O这个参数是由 kern.maxusers 决定的，然而它可能有必要因此而调整。BSD爱好者乐园6X0n-Q E1r'n*{W
在/boot/loader.conf里加入BSD爱好者乐园R)x
c;Zn1{/U8H
kern.ipc.nsfbufs="2496"BSD爱好者乐园)J%k?1K&IvH
####################################BSD爱好者乐园{/JEJ
H-_

BSD爱好者乐园GL&L)[[V8?[+wx

BSD爱好者乐园ei H$C
E]!}
kern.maxusers: 59
$\"DuL1cXCeQ \H0e#################http://www.bsdlover.cn#########BSD爱好者乐园7EB-\!q8C'^-D#v
maxusers 的值决定了处理程序所容许的最大值，20+16*maxusers 就是你将得到的所容许处理程序。
3_7k/v2Xd#J2V"T系统一开机就必须要有 18 个处理程序 (process)，即便是简单的执行指令 man 又会产生 9 个 process，
\_%Fd(?F所以将这个值设为 64 应该是一个合理的数目。
3Y6XqN7Y
u].^如果你的系统会出现 proc table full 的讯息的话，可以就把它设大一点，例如 128。BSD爱好者乐园Z1mV}G)cs
除非您的系统会需要同时开启很多档案，否则请不要设定超过 256。

2C*G:p4l L M9jp`wBSD爱好者乐园,Tk3x$e?

可以在 /boot/loader.conf 中加入该选项的设定，BSD爱好者乐园8oHE
l{H+r
kern.maxusers=256BSD爱好者乐园8x,j? c-O
R EG4k1\
####################################

3vgM\ x

KBr-{m9V}
Hkern.coredump: 1
@ |5@o1rk(E#################http://www.bsdlover.cn#########BSD爱好者乐园`q&s R9Rw
如果设置为0，则程序异常退出时不会生成core文件，作为服务器，不建议这样。
7S Zz@,u_+J####################################BSD爱好者乐园G9\"E/Ox uN%Aa

+t^]mp"Tv Gkern.corefile: %N.coreBSD爱好者乐园Sj#nu.F ~#c
#################http://www.bsdlover.cn#########BSD爱好者乐园Zt%]A!Q
可设置为kern.corefile="/data/coredump/%U-%P-%N.core"
2jEI]/cyOA其中 %U是UID，%P是进程ID，%N是进程名，当然/data/coredump必须是一个实际存在的目录BSD爱好者乐园F1R!^p1SSzp#KJ
####################################

W6la#sy
p]g3PBSD爱好者乐园,p!UmW9f

BSD爱好者乐园
@#Kx3QWjM}"R F
vm.swap_idle_enabled: 0
1^ VaZ}R%Z1Bvm.swap_idle_threshold1: 2
$Y K"q'W+W"h"}vm.swap_idle_threshold2: 10
Jt:kp W w p]$rwBI#########################
2u"b!Zd| HWA9Z.Lz在有很多用户进入、离开系统和有很多空闲进程的大的多用户系统中很有用。

H1V~C[%?9L t可以让进程更快地进入内存，但它会吃掉更多的交换和磁盘带宽。
:ir|o qi系统默认的页面调度算法已经很好了，最好不要更改。BSD爱好者乐园)z_+p!P.ec/TCq"F
########################BSD爱好者乐园!rq(]#cv#Fo?.HG @+g

BSD爱好者乐园Lh7k{ ~9Ft}T

(k1b*a!B*?&cW ]0@evfs.ufs.dirhash_maxmem: 2097152BSD爱好者乐园-_aW+ais+I*tZA
#########################
A%a,b2nzx E默认的dirhash最大内存,默认2M
lg PVA R增加它有助于改善单目录超过100K个文件时的反复读目录时的性能BSD爱好者乐园#~I
]RRt)hP
建议修改为33554432（32M）
#W8S@m'Xw#############################BSD爱好者乐园H)d7m/GAY
\E

$H.n ](J/LL/V@o
LUUn(ViV_vfs.vmiodirenable: 1BSD爱好者乐园3GHo#r*X4RX9C8F
#################BSD爱好者乐园`@gqff'FP(SA} `&l
这个变量控制目录是否被系统缓存。大多数目录是小的，在系统中只使用单个片断(典型的是1K)并且在缓存中使用的更小 (典型的是512字节)。BSD爱好者乐园J{ki0vc
当这个变量设置为关闭 (0) 时，缓存器仅仅缓存固定数量的目录，即使您有很大的内存。BSD爱好者乐园ixd6B;gQ+bD)[
而将其开启 (设置为1) 时，则允许缓存器用 VM 页面缓存来缓存这些目录，让所有可用内存来缓存目录。BSD爱好者乐园+SK'K8_m-u/H%uB
dF
不利的是最小的用来缓存目录的核心内存是大于 512 字节的物理页面大小(通常是 4k)。BSD爱好者乐园"Im
fNYR
我们建议如果您在运行任何操作大量文件的程序时保持这个选项打开的默认值。
!v6f%m8{~s6`这些服务包括 web 缓存，大容量邮件系统和新闻系统。BSD爱好者乐园#C5|A%vrI
尽管可能会浪费一些内存，但打开这个选项通常不会降低性能。但还是应该检验一下。BSD爱好者乐园*f
s/zx
fbFgX:q(C
####################

+dNGc8R3D

-G$VBW6H#Z9~4V[
Du
a6rr*zw/gvfs.hirunningspace: 1048576BSD爱好者乐园u[5aR5W:Q1uc
############################BSD爱好者乐园1{KoLUO"N2}
这个值决定了系统可以将多少数据放在写入储存设备的等候区。通常使用默认值即可，
,k9x qK\b+i2Y但当我们有多颗硬盘时，我们可以将它调大为 4MB 或 5MB。BSD爱好者乐园VY;S&T_*}6p-P
注意这个设置成很高的值(超过缓存器的写极限)会导致坏的性能。
X%m)s(rRn!~^
q不要盲目的把它设置太高！高的数值会导致同时发生的读操作的迟延。
8^]6C8`C^)l#############################

a+DyL:u c ` QY6q:jBSD爱好者乐园d)|l3sq7F/D

?,]+wdCV(Bn7Dsvfs.write_behind: 1BSD爱好者乐园9Yz%`w*Rh~C
L
#########################
5S;fm0p\^v2y这个选项预设为 1，也就是打开的状态。在打开时，在系统需要写入数据在硬盘或其它储存设备上时，BSD爱好者乐园-K{*mS8Z'a hbJMg
它会等到收集了一个 cluster 单位的数据后再一次写入，否则会在一个暂存区空间有写入需求时就立即写到硬盘上。BSD爱好者乐园 F m&lS1LV&RO
这个选项打开时，对于一个大的连续的文件写入速度非常有帮助。但如果您遇到有很多行程延滞在等待写入动作时，您可能必须关闭这个功能。
O+yt kt^0H T M############################BSD爱好者乐园N*tAZBYY

BSD爱好者乐园4vDGUW

net.local.stream.sendspace: 8192
$I;iN"Rk5a9c})y3g8F##################################
l7t'mdHF8Zh0q本地套接字连接的数据发送空间
[-c0Tby}mQq V建议设置为65536
'G4^OrU6gj###################################BSD爱好者乐园(\7t_(C|1Qq
net.local.stream.recvspace: 8192
nUk*K?'Ru##################################BSD爱好者乐园8\ m"RD&L
本地套接字连接的数据接收空间
7M \S:]j1E3F,{"u建议设置为65536
O'E^T,R%i m6Dc###################################

q7f'KTE5x"|k

%[!U$Z*Xyn
0@]+Eywr#c&\Bnet.inet.ip.portrange.lowfirst: 1023BSD爱好者乐园u
\{
v0s
net.inet.ip.portrange.lowlast: 600
(V#B8|9e0ep#cnet.inet.ip.portrange.first: 49152BSD爱好者乐园DW4bm.|"M
net.inet.ip.portrange.last: 65535
p
p.g
]B*|X%~'`net.inet.ip.portrange.hifirst: 49152BSD爱好者乐园5F]+f,x9xq?*CC
net.inet.ip.portrange.hilast: 65535
\\8tv p1W)EB###################BSD爱好者乐园ZeYL9D~/t8m
以上六项是用来控制TCP及UDP所使用的port范围，这个范围被分成三个部份，低范围、预设范围、及高范围。BSD爱好者乐园c~+`%EGUHx
这些是你的服务器主动发起连接时的临时端口的范围，预设的已经1万多了，一般的应用就足够了。
})DH5^0g\#ZZ)I#s如果是比较忙碌的FTP server，一般也不会同时提供给1万多人访问的，BSD爱好者乐园&x$J)r9K1kl]
当然如果很不幸，你的服务器就要提供很多，那么可以修改first的值，比如直接用1024开始
-N&hUb$J'Y#########################BSD爱好者乐园,K@botD9So

BSD爱好者乐园V1x)euM"\z*D
d

BSD爱好者乐园 p*v%})\ s:wv1F
net.inet.ip.redirect: 1BSD爱好者乐园6fMP;D5_w-r
#########################BSD爱好者乐园{[LK,z_Tv
设置为0，屏蔽ip重定向功能BSD爱好者乐园,D`1?fH
###########################BSD爱好者乐园vP
{!{)~j4x_

7Bu
j2L3V#P*x{/~Lnet.inet.ip.rtexpire: 3600BSD爱好者乐园8z@`Im6w
net.inet.ip.rtminexpire: 10
:F2Z bE-~,Hy}5d########################BSD爱好者乐园3h)hyVtctI
很多apache产生的CLOSE_WAIT状态，这种状态是等待客户端关闭，但是客户端那边并没有正常的关闭，于是留下很多这样的东东。BSD爱好者乐园*mc*P2~g
建议都修改为2
H)K)M s(A2n#########################

|#C,eG*Zk`Eva

OQ\W/z0Z0Mo
"WwCid ].D/} S5Mnet.inet.ip.intr_queue_maxlen: 50
,b"YA&^4o{ U4a/lq########################BSD爱好者乐园C.i?aca`*c^w
Maximum size of the IP input queue，如果下面的net.inet.ip.intr_queue_drops一直在增加，
0J#^,[1WN那就说明你的队列空间不足了，那么可以考虑增加该值。
s1c$BvN:zZ##########################
w9Fwp(A4WsGFfnet.inet.ip.intr_queue_drops: 0
5?8B5F2X-M4d)x7g@####################BSD爱好者乐园Y5N^J*}+b*C$x&p y
Number of packets dropped from the IP input queue,如果你sysctl它一直在增加，
v4z_
@"J TUz那么增加net.inet.ip.intr_queue_maxlen的值。
"}/VtT8lh;F{V#######################

}{ x5{6oP7xBSD爱好者乐园Din%h }/F0{\[9b5Ra&n

BSD爱好者乐园na#ik+t#FX`3[%k
net.inet.ip.fastforwarding: 0BSD爱好者乐园"A~2y3Ikl)],op
#############################BSD爱好者乐园%Z D^!Rj Y5g cz4z
如果打开的话每个目标地址一次转发成功以后它的数据都将被记录进路由表和arp数据表，节约路由的计算时间BSD爱好者乐园y]r"S+a7^4eG:zp
但会需要大量的内核内存空间来保存路由表。BSD爱好者乐园~U.P9p*Wzs
如果内存够大，打开吧，呵呵BSD爱好者乐园m1^r t(ffc[
#############################

7XEc'\:c,w;AD

B'~8j.l(fi `$T$bv
tVw]~net.inet.ip.random_id: 0
]y"^@t(JJA#####################
Bv7DvS%x\q默认情况下，ip包的id号是连续的，而这些可能会被攻击者利用，比如可以知道你nat后面带了多少主机。BSD爱好者乐园 ^0]iGv0L
H
如果设置成1，则这个id号是随机的，嘿嘿。
.TMB(iov#####################

VHh yi?8M6bA l8j8hBSD爱好者乐园dx df,^} o

net.inet.icmp.maskrepl: 0
V![f9G&pK1T!X@p############################
*\B+xcJl"d#|防止广播风暴，关闭其他广播探测的响应。默认即是，无须修改。
aD!c5d%i6C###############################

UX~/kF(TrBSD爱好者乐园 ttdm o+C^'ta

net.inet.icmp.icmplim: 200BSD爱好者乐园E n#QD
D
##############################BSD爱好者乐园Z*~4LP z
限制系统发送ICMP速率，改为100吧，或者保留也可，并不会给系统带来太大的压力。BSD爱好者乐园t1n!Icn6t G(SC
###########################
g/|!}:`E7Onet.inet.icmp.icmplim_output: 1BSD爱好者乐园r(?EJ4Dh
###################################
g4@)O#^^va.m;m如果设置成0，就不会看到提示说Limiting icmp unreach response from 214 to 200 packets per second 等等了
RWw-@s3?|#c:Bj不过禁止输出容易让我们忽视攻击的存在。这个自己看着办吧。BSD爱好者乐园2n3T9Q3l;k?B:Y
######################################BSD爱好者乐园y ENuY

H6jy-v.E`f]udEnet.inet.icmp.drop_redirect: 0BSD爱好者乐园&tU1BL)] P%@,L
net.inet.icmp.log_redirect: 0BSD爱好者乐园H#UR8YE7ps*c5b
d
###################################BSD爱好者乐园:ATI
{
}T
设置为1，屏蔽ICMP重定向功能BSD爱好者乐园Li/X[J5q-D i1e
###################################BSD爱好者乐园QV)Y/N9@P#S
net.inet.icmp.bmcastecho: 0
he9w&s([G############################BSD爱好者乐园(Kh&Pkl` Z{[
防止广播风暴，关闭广播ECHO响应，默认即是，无须修改。
*ABpg&`$Xd###############################

n+Mbw d$j%A,di[BSD爱好者乐园BY^(UN[5j$s

BSD爱好者乐园V$D#Y$Zklq*W5c }
net.inet.tcp.mssdflt: 512BSD爱好者乐园6ZI4w4H+\\{g
net.inet.tcp.minmss: 216
7Jzis%U###############################BSD爱好者乐园6F7g auY)e,^9A
数据包数据段最小值，以上两个选项最好不动！或者只修改mssdflt为1460，minmss不动。
+E`*UT8rh(d原因详见http://www.bsdlover.cn/html/35/n-135.htmlBSD爱好者乐园Y%J/f4l'ART i2\Z
#############################BSD爱好者乐园"?Ap h"t V-E

BSD爱好者乐园?H3g~B[g@

7G3H J4~} n
@N\net.inet.tcp.keepidle: 7200000
'Z0Cf^C8Re######################BSD爱好者乐园zY&ESV-KF)`d
TCP的套接字的空闲时间，默认时间太长，可以改为600000（10分钟）。
f;H.^.HZ2YT##########################BSD爱好者乐园2J6YkN,HCj
@DI3L

BSD爱好者乐园&}NY%TG5l%H~S+{

net.inet.tcp.sendspace: 32768BSD爱好者乐园oqR)PI(dj"Bu
#################http://www.bsdlover.cn#########
wE(z o ua最大的待发送TCP数据缓冲区空间，应用程序将数据放到这里就认为发送成功了，系统TCP堆栈保证数据的正常发送。BSD爱好者乐园E,BtP[w
####################################BSD爱好者乐园~O.m a$`,P8u&c
net.inet.tcp.recvspace: 65536BSD爱好者乐园0DV\X*T+|
y
###################################BSD爱好者乐园){l5Leh3o%X u5A
最大的接受TCP缓冲区空间，系统从这里将数据分发给不同的套接字，增大该空间可提高系统瞬间接受数据的能力以提高性能。
%xO X-V|2t4K2FP2~###################################
"a/V5ew ^p0R这二个选项分别控制了网络 TCP 联机所使用的传送及接收暂存区的大小。预设的传送暂存区为 32K，而接收暂存区为 64K。
W@&p.op如果需要加速 TCP 的传输，可以将这二个值调大一点，但缺点是太大的值会造成系统核心占用太多的内存。BSD爱好者乐园gd ~(j]+GCWm
如果我们的机器会同时服务数百或数千个网络联机，那么这二个选项最好维持默认值，否则会造成系统核心内存不足。BSD爱好者乐园@N0R{^$X"I-LF
但如果我们使用的是 gigabite 的网络，将这二个值调大会有明显效能的提升。BSD爱好者乐园(D/r1N Hc&snu'v
传送及接收的暂存区大小可以分开调整，
q#I GD1|/]8W"U.I例如，假设我们的系统主要做为网页服务器，我们可以将接收的暂存区调小一点，并将传送的暂存区调大，如此一来，我们就可以避免占去太多的核心内存空间。BSD爱好者乐园 {)f
_F/`V.b8tK5\

/y0JE,N)j(o%Ytnet.inet.udp.maxdgram: 9216BSD爱好者乐园J ]M5yg/c|F
#########################
(ywQ5?P最大的发送UDP数据缓冲区大小，网上的资料大多都是65536，我个人认为没多大必要，BSD爱好者乐园)` F8B5M8Eo
如果要调整，可以试试24576。BSD爱好者乐园#iGD9N]5D6_n0y
##############################BSD爱好者乐园.?1x#b#b1z$X:E*e
net.inet.udp.recvspace: 42080
7hsP3S9uf t0uM##################BSD爱好者乐园0zP6\u;E~
最大的接受UDP缓冲区大小，网上的资料大多都是65536，我个人认为没多大必要，BSD爱好者乐园y MX U/A3IAj dq
如果要调整，可以试试49152。
f+A6NR|;V?#######################
;u{e!R}以上四项配置通常不会导致问题，一般说来网络流量是不对称的，因此应该根据实际情况调整，并观察其效果。BSD爱好者乐园t$\-c%id~)l
如果我们将传送或接收的暂存区设为大于 65535，除非服务器本身及客户端所使用的操作系统都支持 TCP 协议的 windows scaling extension (请参考 RFC 1323 文件)。BSD爱好者乐园?2K-G@s Oyj0s)pN
FreeBSD默认已支持 rfs1323 (即 sysctl 的 net.inet.tcp.rfc1323 选项)。
$y;Tx9q@X^w3bR###################################################BSD爱好者乐园2Curm5\o-YSm

;X(c^YCBSD爱好者乐园 fb&k-~J
net.inet.tcp.log_in_vain: 0
4[ _-h?5{~Jb6p*p##################BSD爱好者乐园!g#y*[C$J,D
记录下任何TCP连接，这个一般情况下不应该更改。
4sDq}4bB:i####################BSD爱好者乐园oM.fzHgOj

BSD爱好者乐园F9dT
Z`K

net.inet.tcp.blackhole: 0BSD爱好者乐园6fb m-lX ?"^
##################################BSD爱好者乐园)ETWm6ukp
建议设置为2，接收到一个已经关闭的端口发来的所有包，直接drop，如果设置为1则是只针对TCP包
0dI;M%xyx0M@C%E#####################################BSD爱好者乐园c$`!l4Zp

4KN+{N!m)Qr hnet.inet.tcp.delayed_ack: 1BSD爱好者乐园h8k0T0NB6C+ZS)s
###########################
9sD
\VDC.No,k当一台计算机发起TCP连接请求时，系统会回应ACK应答数据包。BSD爱好者乐园4rF$o wDN|1e+J
该选项设置是否延迟ACK应答数据包，把它和包含数据的数据包一起发送。
${4jF.Ir,X.l D0tsl在高速网络和低负载的情况下会略微提高性能，但在网络连接较差的时候，
0{9aV+g6m5yo O#e;H对方计算机得不到应答会持续发起连接请求，反而会让网络更加拥堵，降低性能。BSD爱好者乐园8v:H*V!uH
因此这个值我建议您看情况而定，如果您的网速不是问题，可以将封包数量减少一半BSD爱好者乐园?,X%XV7Fl[
如果网络不是特别好，那么就设置为0，有请求就先回应，这样其实浪费的网通、电信的带宽速率而不是你的处理时间:)BSD爱好者乐园YO,mLtZ8D/l
############################BSD爱好者乐园t:Y%xh
i$o@$Gm$K

BSD爱好者乐园p2@J'lZ5v GX5q

BSD爱好者乐园.j6{1_]5i
net.inet.tcp.inflight.enable: 1
)SN(L v(J6Qynet.inet.tcp.inflight.debug: 0BSD爱好者乐园Y1x/a,F(`6|:Xx
net.inet.tcp.inflight.rttthresh: 10BSD爱好者乐园URt{Y5^XH(h
net.inet.tcp.inflight.min: 6144
`7^h:?$p`K4Tnet.inet.tcp.inflight.max: 1073725440BSD爱好者乐园p q|0x s'M`
net.inet.tcp.inflight.stab: 20
;J:]M,u2k;~T###########################
C` ~ Nt~Xkp(l
L限制 TCP 带宽延迟积和 NetBSD 的 TCP/Vegas 类似。BSD爱好者乐园7g_'`+S X2hM
它可以通过将 sysctl 变量 net.inet.tcp.inflight.enable 设置成 1 来启用。BSD爱好者乐园W2},mk9`r
系统将尝试计算每一个连接的带宽延迟积，并将排队的数据量限制在恰好能保持最优吞吐量的水平上。
bQ3_lTv}-^sr这一特性在您的服务器同时向使用普通调制解调器，千兆以太网，乃至更高速度的光与网络连接 (或其他带宽延迟积很大的连接) 的时候尤为重要，BSD爱好者乐园WM&dC!`/@
特别是当您同时使用滑动窗缩放，或使用了大的发送窗口的时候。BSD爱好者乐园 hX/W_,^1S8K5P
如果启用了这个选项，您还应该把 net.inet.tcp.inflight.debug 设置为 0 (禁用调试)，BSD爱好者乐园 O^-i@[ Z2_:P
对于生产环境而言， 将 net.inet.tcp.inflight.min 设置成至少 6144 会很有好处。
9Gt(pL2k4Z然而， 需要注意的是，这个值设置过大事实上相当于禁用了连接带宽延迟积限制功能。
$Tv}v]_[N#hm这个限制特性减少了在路由和交换包队列的堵塞数据数量，也减少了在本地主机接口队列阻塞的数据的数量。
Tl5^u:S在少数的等候队列中、交互式连接，尤其是通过慢速的调制解调器，也能用低的 往返时间操作。
"@hafU%s$I但是，注意这只影响到数据发送 (上载/服务端)。对数据接收(下载)没有效果。BSD爱好者乐园L.I9D0~.^L-C
调整 net.inet.tcp.inflight.stab 是 不 推荐的。BSD爱好者乐园,L.Mg(\C b)C-_*v$`
这个参数的默认值是 20，表示把 2 个最大包加入到带宽延迟积窗口的计算中。
1W%w!QA_H额外的窗口似的算法更为稳定，并改善对于多变网络环境的相应能力，
h'cfFgF7_G但也会导致慢速连接下的 ping 时间增长 (尽管还是会比没有使用 inflight 算法低许多)。BSD爱好者乐园9T%k^y!M+hKQb
对于这些情形， 您可能会希望把这个参数减少到 15， 10， 或 5；BSD爱好者乐园\Ii$K3y&G'O
并可能因此而不得不减少 net.inet.tcp.inflight.min (比如说， 3500) 来得到希望的效果。BSD爱好者乐园T^0omcE
减少这些参数的值， 只应作为最后不得已时的手段来使用。
7W7?7Ws o.T############################

`6l6O;fe[-D

1P`[Neh2u/A Mnet.inet.tcp.syncookies: 1BSD爱好者乐园&j,jL4j
p.Ik4B^N
#########################
%]1xlD;ba-ZSYN cookies是一种用于通过选择加密的初始化TCP序列号，可以对回应的包做验证来降低SYN'洪水'攻击的影响的技术。BSD爱好者乐园lYn[Q _,iT
默认即是，不需修改
}%g ]Md*lhhr########################BSD爱好者乐园Jqk$A] p CD

BSD爱好者乐园y6Ja~sG{%G

BSD爱好者乐园D;~e6h2d*dO
net.inet.tcp.msl: 30000
m#{/j%`0vGTK.g.cd#######################
F E]K-B6_.KJ这个值网上很多文章都推荐的7500，
Ab9H@ HwJ$n还可以改的更小一些(如2000或2500)，这样可以加快不正常连接的释放过程(三次握手2秒、FIN_WAIT4秒)。BSD爱好者乐园%]5Yn(|5FU(ON B
#########################BSD爱好者乐园-y3EIl4@s~
net.inet.tcp.always_keepalive: 1
T9_i
T6YT###########################
9B? T
{{Dc K帮助系统清除没有正常断开的TCP连接，这增加了一些网络带宽的使用，但是一些死掉的连接最终能被识别并清除。
&Go
hg$nX%yKs死的TCP连接是被拨号用户存取的系统的一个特别的问题，因为用户经常断开modem而不正确的关闭活动的连接。BSD爱好者乐园*D5t9V4?hR
#############################BSD爱好者乐园-?uD)S2TZ{ I

1jlr7ZU6u1Pv1nnet.inet.udp.checksum: 1
&L;E1hO sy`J*n#########################
fcK |4a防止不正确的udp包的攻击，默认即是，不需修改
8D1NH6UWZ3hJX##############################

8k:LY Kg7g2{u

j R7w7Xljnet.inet.udp.log_in_vain: 0
cc*?)B~t/K"f#######################
cqc~ rRI记录下任何UDP连接,这个一般情况下不应该修改。
@4qp x~S/zH#######################

&EL2[ u&U.@ b\OBSD爱好者乐园!{{&w7YTG-R

net.inet.udp.blackhole: 0
d%rCvB Cg5O####################BSD爱好者乐园8K;M9?'u7tgs@+o&s
建议设置为1，接收到一个已经关闭的端口发来的所有UDP包直接dropBSD爱好者乐园%~ t)hYOiJ e
#######################

%I_vh's!x

][y MM|}
Vt U1x;cnet.inet.raw.maxdgram: 8192BSD爱好者乐园6sR4o8vm]m
#########################
u8b4qg3B6uMaximum outgoing raw IP datagram sizeBSD爱好者乐园 ka2~*N eg.Q
很多文章建议设置为65536，好像没多大必要。BSD爱好者乐园2d|%HD#v q
######################################BSD爱好者乐园.iq*@1Kd.V@%U6B*g
net.inet.raw.recvspace: 8192BSD爱好者乐园 N;U~7['Q/pA8[ ^
######################
s8iP.tt0YMaximum incoming raw IP datagram sizeBSD爱好者乐园b,[@f4^I(BO
很多文章建议设置为65536，好像没多大必要。BSD爱好者乐园of.w s$l
#######################BSD爱好者乐园T7B6t2j;?/~!g

}E;fdr3~S+_^+l.odnet.link.ether.inet.max_age: 1200BSD爱好者乐园,]4A!U?-A/u[!m0{1e
####################
0J&K_U9zn,n hn调整ARP清理的时间，通过向IP路由缓冲填充伪造的ARP条目可以让恶意用户产生资源耗竭和性能减低攻击。
)Zi/iR7_+EQ这项似乎大家都未做改动，我建议不动或者稍微减少，比如300（HP-UX默认的5分钟）
nSS&Wb+s2N#######################

6S~u`-R|

"GLS&elWTnet.inet6.ip6.redirect: 1
kUk-n`u9}TD!w###############################BSD爱好者乐园6Yz+y.|0|@
设置为0，屏蔽ipv6重定向功能
@{!ndCS###########################BSD爱好者乐园b#@ zK"sB

0\6ddF.c xz(k8Oc
R9c1U] C{2p0I"_hnet.isr.direct: 0BSD爱好者乐园'FNi*Dp+j-p;u|5]
#################http://www.bsdlover.cn#########BSD爱好者乐园$^f"_;o1Y0po8F&Ba
所有MPSAFE的网络ISR对包做立即响应,提高网卡性能，设置为1。BSD爱好者乐园&?#S!Mk4cM|mS
####################################BSD爱好者乐园'KU
g$p Xt7tF&eM(c

$g2T(|i%U;s
vnh5l`9v@m&Jhw.ata.wc: 1BSD爱好者乐园X'rSn7UC
#####################
!fGAQ@6q-t这个选项用来打开 IDE 硬盘快取。当打开时，如果有数据要写入硬盘时，硬盘会假装已完成写入，并将数据快取起来。BSD爱好者乐园[.cGE!nJS0ep
这种作法会加速硬盘的存取速度，但当系统异常关机时，比较容易造成数据遗失。
)h-dq3`kr)FQ%T不过由于关闭这个功能所带来的速度差异实在太大，建议还是保留原本打开的状态吧，不做修改。BSD爱好者乐园2mv6V&y
I
W-]n^5H
###################BSD爱好者乐园Tw5r&nH\$w

:zG!@)be7_GBSD爱好者乐园\0_@] }cV8{
security.bsd.see_other_uids: 1BSD爱好者乐园*HB.K7Wa^#}
security.bsd.see_other_gids: 1BSD爱好者乐园;fsX`k!P6Q
#####################
LSt PB不允许用户看到其他用户的进程,因此应该改成0，BSD爱好者乐园p~[/~#Y AC
#######################
"Z],\,T)I\&f[

\9B&F ]|g
[重要提醒]对本篇资料有疑问，请到论坛讨论，尽量使文章准确无误>>>
[版权声明]BSD爱好者乐园站内文章，如来源不是互联网，则均系原创或翻译之作，可随意转载，或以此为基础进行演译，但务必以链接形式注明原始出处和作者信息，否则属于侵权行为。另对本站转载他处文章，俱有说明，如有侵权请联系本人，本人将会在第一时间删除侵权文章。
TAG: 翻译