centos7优化内核参数详解
& 下面内核优化是根据兰芷的BLOG上的基础上进行了添加,有兴趣的朋友可以拿去试试,具体好不好就看机器的表现了.
cat /etc/sysctl.conf
#CTCDN系统优化参数
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
#决定检查过期多久邻居条目
net.ipv4.neigh.default.gc_stale_time=120
#使用arp_announce / arp_ignore解决ARP映射问题
net.ipv4.conf.default.arp_announce = 2
net.ipv4.conf.all.arp_announce=2
net.ipv4.conf.lo.arp_announce=2
# 避免放大攻击
net.ipv4.icmp_echo_ignore_broadcasts = 1
# 开启恶意icmp错误消息保护
net.ipv4.icmp_ignore_bogus_error_responses = 1
#关闭路由转发
net.ipv4.ip_forward = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
#开启反向路径过滤
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
#处理无源路由的包
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
#关闭sysrq功能
kernel.sysrq = 0
#core文件名中添加pid作为扩展名
kernel.core_uses_pid = 1
# 开启SYN洪水攻击保护
net.ipv4.tcp_syncookies = 1
#修改消息队列长度
kernel.msgmnb = 65536
kernel.msgmax = 65536
#设置最大内存共享段大小bytes
kernel.shmmax =
kernel.shmall =
#timewait的数量，默认180000
net.ipv4.tcp_max_tw_buckets = 6000
net.ipv4.tcp_sack = 1
net.ipv4.tcp_window_scaling = 1
net.ipv4.tcp_rmem = 4096 & & & &87380 & 4194304
net.ipv4.tcp_wmem = 4096 & & & &16384 & 4194304
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max =
net.core.wmem_max =
#每个网络接口接收数据包的速率比内核处理这些包的速率快时，允许送到队列的数据包的最大数目
net.core.netdev_max_backlog = 262144
#限制仅仅是为了防止简单的DoS 攻击
net.ipv4.tcp_max_orphans = 3276800
#未收到客户端确认信息的连接请求的最大值
net.ipv4.tcp_max_syn_backlog = 262144
net.ipv4.tcp_timestamps = 0
#内核放弃建立连接之前发送SYNACK 包的数量
net.ipv4.tcp_synack_retries = 1
#内核放弃建立连接之前发送SYN 包的数量
net.ipv4.tcp_syn_retries = 1
#启用timewait 快速回收
net.ipv4.tcp_tw_recycle = 1
#开启重用。允许将TIME-WAIT sockets 重新用于新的TCP 连接
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_mem = 000000
net.ipv4.tcp_fin_timeout = 1
#当keepalive 起用的时候，TCP 发送keepalive 消息的频度。缺省是2 小时
net.ipv4.tcp_keepalive_time = 1800
net.ipv4.tcp_keepalive_probes = 3
net.ipv4.tcp_keepalive_intvl = 15
#允许系统打开的端口范围
net.ipv4.ip_local_port_range = 1024 & &65000
#修改防火墙表大小，默认65536
net.netfilter.nf_conntrack_max=655350
net.netfilter.nf_conntrack_tcp_timeout_established=1200
# 确保无人能修改路由表
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.secure_redirects = 0
vm.swappiness = 10
kernel.panic = 5
fs.file-max = 165535
# for high-latency network
net.ipv4.tcp_congestion_control = hybla
#maximize the available memory
vm.overcommit_memory = 1
vm.dirty_ratio = 1
vm.swappiness = 10
vm.vfs_cache_pressure = 110
#vm.zone_reclaim_mode = 0
#keep the IO performance steady
vm.dirty_background_ratio = 1
vm.dirty_writeback_centisecs = 100
vm.dirty_expire_centisecs = 100
夜空- 本站版权
1、本站所有主题由该文章作者发表，该文章作者与享有文章相关版权
2、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和的同意
3、本帖部分内容转载自其它媒体，但并不代表本站赞同其观点和对其真实性负责
4、如本帖侵犯到任何版权问题，请立即告知本站，本站将及时予与删除并致以最深的歉意
5、原文链接：
Powered by如何配置Apache使用在CentOS 7自定义错误页 | Howtoing运维教程
欢迎！登录到您的帐户
您的用户名
如何配置Apache使用在...CentOS7安装Oracle 11gR2 图文详解
第3页_数据库技术_Linux公社-Linux系统门户网站
你好，游客
CentOS7安装Oracle 11gR2 图文详解
来源：Linux社区&
作者：sonnychen
13.安装过程是一个漫长的过程，中间有几次卡住，没有出现任何画面，屏幕中间有条小线，尝试多次，发现光标在该线上，右键点击Closed，不知道关闭了啥，又能继续安装了。先装吧，到时看安装日志再说。
&14.提示安装成功。安装日志懒得看，再说。
四、配置监听listener
1.执行netca 报错
[@localhost ~]$ netca
Oracle Net Services Configuration:
# An unexpected error has been detected by HotSpot Virtual Machine:
SIGSEGV (0xb) at pc=0xfcb9d, pid=8033, tid=024
# Java VM: Java HotSpot(TM) 64-Bit Server VM (1.5.0_17-b03 mixed mode)
# Problematic frame:
[libclntsh.so.11.1+0x62ab9d]
snlinGetAddrInfo+0x1b1
# An error report file with more information is saved as hs_err_pid8033.log
# If you would like to submit a bug report, please visit:
http:///webapps/bugreport/crash.jsp
/data/oracle/product/11.2.0/db_1/bin/netca: line 178:
8033 Aborted
(core dumped) $JRE $JRE_OPTIONS -classpath $CLASSPATH oracle.net.ca.NetCA $*
[oracle@localhost ~]$ &
错误原因：安装操作系统是默认主机名localhost造成错误
解决办法：
racle]# cat /etc/sysconfig/network
# Created by anaconda
[root@localhost oracle]# vi /etc/sysconfig/network　　#增加HOSTNAME
[root@localhost oracle]# cat /etc/sysconfig/network
# Created by anaconda
HOSTNAME=odb-sonny
[root@localhost oracle]# cat /etc/hosts
localhost localhost.localdomain localhost4 localhost4.localdomain4
localhost localhost.localdomain localhost6 localhost6.localdomain6
[root@localhost oracle]# vi /etc/hosts　　#增加HOSTNAME
[root@localhost oracle]# cat /etc/hosts
localhost localhost.localdomain localhost4 localhost4.localdomain4 odb-sonny
localhost localhost.localdomain localhost6 localhost6.localdomain6
[root@localhost oracle]# hostname odb-sonny　　#执行
[root@localhost oracle]# &
最后注销当前oracle用户，重新登陆即可！！这次发现打开配置界面正常，安装windows下面配置即可。
五、创建Oracle数据实例Orcl
执行dbca命令，启动oracle实例安装界面，剩下的与Windows上安装一样，不废话了：
注意：必须先创建监听，并且监听是启动中，否则报错。
六、检查安装日志检查
发现有几个错误（原因未知，后续再看）：
INFO: /lib64/libstdc++.so.5: undefined reference to `memcpy@GLIBC_2.14'
collect2: error: ld returned 1 exit status
INFO: make: *** [ctxhx] Error 1
INFO: End output from spawned process.
INFO: ----------------------------------
INFO: Exception thrown from action: make
Exception Name: MakefileException
Exception String: Error in invoking target 'install' of makefile '/data/oracle/product/11.2.0/db_1/ctx/lib/ins_ctx.mk'.
See '/data/oraInventory/logs/installActions_10-38-06PM.log' for details.
Exception Severity: 1&
INFO: /usr/bin/ld: warning: -z lazyload ignored.
/usr/bin/ld: warning: -z nolazyload ignored.
/usr/bin/ld: /data/oracle/product/11.2.0/db_1/sysman/lib//libnmectl.a(nmectlt.o): undefined reference to symbol 'B_DestroyKeyObject'
/usr/bin/ld: note: 'B_DestroyKeyObject' is defined in DSO /data/oracle/product/11.2.0/db_1/lib/libnnz11.so so try adding it to the linker command line
/data/oracle/product/11.2.0/db_1/lib/libnnz11.so: could not read symbols: Invalid operation
INFO: collect2: error: ld returned 1 exit status
INFO: make[1]: *** [/data/oracle/product/11.2.0/db_1/sysman/lib/emdctl] Error 1
INFO: make[1]: Leaving directory `/data/oracle/product/11.2.0/db_1/sysman/lib'
INFO: make: *** [emdctl] Error 2
INFO: End output from spawned process.
INFO: ----------------------------------
INFO: Exception thrown from action: make
Exception Name: MakefileException
Exception String: Error in invoking target 'agent nmhs' of makefile '/data/oracle/product/11.2.0/db_1/sysman/lib/ins_emagent.mk'. See '/data/oraInventory/logs/installActions_10-38-06PM.log' for details.
Exception Severity: 1
INFO: Calling Action unixActions10.2.0.3.0
registerOnly = false
installMakePath = /usr/bin/make
installMakeFileName = /data/oracle/product/11.2.0/db_1/rdbms/lib/ins_rdbms.mk
installTarget = all_no_orcl
undoMakeFileName =
installArguments = ORACLE_HOME=/data/oracle/product/11.2.0/db_1
logFile = /data/oracle/product/11.2.0/db_1/install/make.log
undoTarget =
progMsg = Linking RDBMS Executables
更多相关信息见 专题页面
更多Oracle相关信息见 专题页面
本文永久更新链接地址：3
相关资讯 & & &
& (04月03日)
& (01月16日)
& (04月06日)
& (01月24日)
& (01月09日)
　　　同意评论声明
　　　发表
尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容
本站有权在网站内转载或引用您的评论
参与本评论即表明您已经阅读并接受上述条款
匿名 发表于 setting key &fs.file-max&: 无效的参数，各种无效的参数怎么办
(0) 匿名 发表于 net.ipv4.icmp_echo_ignore_broadcasts = 1net.ipv4.conf.all.rp_filter = 1sysctl: setting key &fs.file-max&: 无效的参数fs.file-max = 6815744 #设置最大打开文件数fs.aio-max-nr = 1048576sysctl: setting key &kernel.shmall&: 无效的参数kernel.shmall = 2097152 #共享内存的总量，8G内存设置：k/sysctl: setting key &kernel.shmmax&: 无效的参数kernel.shmmax =
#最大共享内存的段大小sysctl: setting key &kernel.shmmni&: 无效的参数kernel.shmmni = 4096 #整个系统共享内存端的最大数kernel.sem = 250 8sysctl: setting key &net.ipv4.ip_服务器| 发表时间： 04:20 | 作者：H小阿飞
这个只是个人笔记，方便日后查阅，若有错误，欢迎同行帮忙纠正
1.最近买的腾讯云和阿里云服务器均受到攻击，以前不懂这方面，所以也没在意。由于这次查看腾讯云上面的一个javaweb项目日志发现，有很多请求php文件的日志，都被springmvc的拦截器给拦截了，当时看到这么多请求php文件的消息，心里倒没咋慌，因为那台只是测试服务器，心里倒是欣喜了一下，这下可以就地的实际解决一下这种问题，学习一下，刚开始以为服务器已被攻破呢，后来仔细分析了一下日志，其实它只是在扫文件，看看我服务器上有没有一样的php文件，可惜哥哥的服务器是javaweb的。
接着便着手了解这方面的知识，经过网上查阅和向同行请教，现在基本上对服务器的基本防护算是入门了。
1.通过查看项目里面的日志catcatalina.out:
&!--StartFragment --&
这是初步接触到攻击日志，网上查阅，说这类属于DOS攻击，到底属于不属于DOS攻击没有仔细研究
2.再查看项目请求的日志catlocalhost_access_log..txt
3.再查看系统级的日志cat/var/log/secure
看到这边，刚开始还想着把这些攻击的IP一个个加到防火墙里面，禁止它再次访问，同时通过IP查询，发现这些IP都属于国外的，譬如印度、俄罗斯、巴西等，加了一两个进去，发现并没有实际性的作用，因为它好像是生成的伪IP，你加进去一个，它又有新的IP来攻击，那它必定是通过工具进行自动攻击的，我这边一个个加根本不是一解决办法。
二．进入主题：
遂上网查询防护的基本知识：
基本上形成了如下思路：
1.首先禁用root登录，创建普通用户来登录服务器，然后再通过su root切换到root用户
这样增加了攻击难度，首先它得猜到我的普通用户登录名，直接通过root登录已经没有用了。
1.修改SSH的端口，通常都是22，我把端口改成23456，这样它扫端口也够他扫上一段时间了
2.通过工具来拦截获取攻击的IP，生成黑名单，防止再次攻击，这个我选用的DenyHosts，好用不好用，用过才知道。
1禁用root登录
/os/78.html
#先创建一个普通用户test，同时给test用户设置密码
adduser test
passwd test
#接着禁用root登录
vi /etc/ssh/sshd_config
PermitRootLogin no
Systemctl restart sshd.service
测试看看，是不是通过root用户无法直接登录了，只能通过普通用户登录，然后再su root
2.修改SSH的端口
http://blog.csdn.net/jasper_success/article/details/
注意！这里的Centos版本是7
step1 修改/etc/ssh/sshd_config
vi /etc/ssh/sshd_config
#Port 22 //这行去掉#号
Port51866//下面添加这一行
为什么不先删除22，以防其他端口没配置成功，而又把22的删除了，无法再次进入服务器
step2 修改SELinux
使用以下命令查看当前SElinux 允许的ssh端口：
semanage port -l | grep ssh
添加51866端口到 SELinux
semanage port -a -t ssh_port_t -p tcp 51866
然后确认一下是否添加进去
semanage port -l | grep ssh
如果成功会输出
ssh_port_t tcp 51866, 22
step3 重启ssh
systemctl restart sshd.service
Step4 防火墙开放51866端口
firewall-cmd --permanent --zone=public --add-port=51866/tcp
然后测试试试，能不能通过51866登录，若能登录进来，说明成功，接着删除22端口
vi /etc/ssh/sshd_config
删除22端口 wq
systemctl restart sshd.service
同时防火墙也关闭22端口
firewall-cmd --permanent --zone=public --remove-port=22/tcp
然后再进行测试，看看22端口是不是不可以登录了
登录的时候，ssh
3.安装DenyHosts
http://blog.chinaunix.net/uid-280772-id-2135429.html
/xia/archive//1951257.html
/suihui/p/3899381.html
DenyHosts（项目主页：http://denyhosts.sourceforge.net/）是运行于Linux上的一款预防SSH暴力破解的软件，可以从
http://sourceforge.net/projects/denyhosts/files/进行下载，然后将下载回来的DenyHosts-2.6.tar.gz源码包上传到Linux系统中。
下面是安装过程
****************************************************************
tar zxvf DenyHosts-2.6.tar.gz #解压源码包
cd DenyHosts-2.6 #进入安装解压目录
python setup.py install #安装DenyHosts
cd /usr/share/denyhosts/ #默认安装路径
cp denyhosts.cfg-dist denyhosts.cfg #denyhosts.cfg为配置文件
cp daemon-control-dist daemon-control #daemon-control为启动程序
chown root daemon-control #添加root权限
chmod 700 daemon-control #修改为可执行文件
ln -s /usr/share/denyhosts/daemon-control /etc/init.d #对daemon-control进行软连接，方便管理
安装到这一步就完成了。
/etc/init.d/daemon-control start #启动denyhosts
chkconfig daemon-control on #将denghosts设成开机启动
******************************************************************
vi /usr/share/denyhosts/denyhosts.cfg #编辑配置文件，另外关于配置文件一些参数，通过grep -v &^#& denyhosts.cfg查看
SECURE_LOG = /var/log/secure #ssh 日志文件，redhat系列根据/var/log/secure文件来判断；Mandrake、FreeBSD根
据 /var/log/auth.log来判断
#SUSE则是用/var/log/messages来判断，这些在配置文件里面都
有很详细的解释。
HOSTS_DENY = /etc/hosts.deny #控制用户登陆的文件
PURGE_DENY = 2h #过多久后清除已经禁止的，设置为30分钟；
# ‘m’ = minutes
# ‘h’ = hours
# ‘d’ = days
# ‘w’ = weeks
# ‘y’ = years
BLOCK_SERVICE = sshd #禁止的服务名，当然DenyHost不仅仅用于SSH服务
DENY_THRESHOLD_INVALID = 1 #允许无效用户失败的次数
DENY_THRESHOLD_VALID = 3 #允许普通用户登陆失败的次数
DENY_THRESHOLD_ROOT = 3 #允许root登陆失败的次数
DAEMON_LOG = /var/log/denyhosts #DenyHosts日志文件存放的路径，默认
更改DenyHosts的默认配置之后，重启DenyHosts服务即可生效:
/etc/init.d/daemon-control restart #重启denyhosts
如果想删除一个已经禁止的主机IP，并加入到允许主机例表，只在 /etc/hosts.deny 删除是没用的。需要进入 /usr/share/denyhosts 目
录，进入以下操作：
1、停止DenyHosts服务：$ /etc/init.d/daemon-control stop
2、在 /etc/hosts.deny 中删除你想取消的主机IP
3、编辑 DenyHosts 工作目录的所有文件，通过
$ grep 127.0.0.1 /usr/share/denyhosts/data/* #这行没明白
然后一个个删除文件中你想取消的主机IP所在的行：
*/usr/share/denyhosts/data/hosts
*/usr/share/denyhosts/data/hosts-restricted
*/usr/share/denyhosts/data/hosts-root
*/usr/share/denyhosts/data/hosts-valid
*/usr/share/denyhosts/data/users-hosts
4、添加你想允许的主机IP地址到
/var/lib/denyhosts/allowed-hosts #这行没明白
vi /usr/share/denyhosts/data/allowed-hostsps
# We mustn't block localhost
192.168.1.*
5、启动DenyHosts服务： /etc/init.d/daemon-control restart
firewall-cmd --reload
firewall-cmd --state
firewall-cmd --permanent --zone=public --query-port=8025/tcp 查询端口是否开着
netstat -nupl (UDP类型的端口)
netstat -ntpl (TCP类型的端口)
&!--EndFragment--&
0人发表留言，猛击-&&
这里&&-参与讨论
—软件人才免语言低担保 赴美带薪读研！—
最新教程周点击榜
微信扫一扫}