Дата публикации: 24.04.2026
Оптимизация ядра Linux (
1. Что такое
Введение: чем VDS отличается от шаред-хостинга и зачем это веб-мастеру
Как правильно выбрать тариф: CPU, RAM, NVMe или SSD, канал
Выбор операционной системы: почему Ubuntu 22.04/24.04 — стандарт индустрии
Регистрация домена и первичная настройка DNS-записей (A, AAAA, CNAME)
Генерация SSH-ключей на локальном компьютере (Windows/Mac/Linux)
Добавление публичного ключа на сервер и первый вход по SSH
Отключение входа по паролю и запрет авторизации для root
Смена стандартного порта SSH для снижения шума в логах
Создание основного рабочего пользователя с правами sudo
Базовое обновление системы и установка необходимых утилит (curl, wget, git, htop)
Настройка часового пояса и синхронизация времени (NTP)
Установка и базовая настройка фаервола UFW
Разрешение только необходимых портов (SSH, HTTP, HTTPS)
Установка Fail2Ban для защиты от перебора паролей
Настройка правил Fail2Ban для SSH и веб-сервера
Знакомство с Docker: установка движка и CLI
Установка Docker Compose для управления мульти-контейнерными приложениями
Основы изоляции: почему каждый проект должен быть в своем контейнере
Подготовка файловой структуры сервера для удобного хранения проектов
Развертывание Nginx как обратного прокси-сервера через Docker
Настройка конфигурации Nginx для статических сайтов
Установка PHP-FPM в отдельном контейнере
Связка Nginx и PHP-FPM через внутреннюю Docker-сеть
Оптимизация настроек PHP-FPM (pm.max_children, memory_limit) под нагрузку
Установка MariaDB/MySQL в изолированном контейнере
Безопасное хранение паролей от БД через переменные окружения (.env)
Подключение к базе данных из внешнего клиента (DBeaver/Navicat) через туннель
Установка Redis для кэширования запросов и сессий
Интеграция Redis с PHP-приложением для ускорения работы
Автоматическая выдача SSL-сертификатов через Certbot (Let's Encrypt)
Настройка автопродления SSL-сертификатов по крону
Принудительный редирект с HTTP на HTTPS в Nginx
Включение gzip и brotli сжатия для ускорения загрузки страниц
Настройка кэширования статики (browser caching) в заголовках Nginx
Защита от простых DDoS и ботов: модуль limit_req в Nginx
Настройка резервного копирования баз данных (mysqldump) по расписанию
Настройка резервного копирования файлов проектов (tar)
Отправка бэкапов на удаленное хранилище (S3-compatible storage или другой сервер)
Ротация и очистка старых логов, чтобы не забить диск
Мониторинг нагрузки: установка и настройка htop и iotop
Просмотр логов в реальном времени: tail, grep и journalctl
Установка простого мониторинга доступности (Uptime Kuma или скрипт в Telegram)
Изоляция арбитражных инструментов: запуск ботов в отдельных контейнерах
Установка SOCKS5/HTTP прокси (3proxy) внутри Docker для мультиаккаунтинга
Настройка аутентификации и ограничения доступа к прокси по IP
Проверка анонимности и работы прокси-сервера
Оптимизация ядра Linux (sysctl.conf) для высоких нагрузок и сетевых соединений
Настройка swap-файла: когда он нужен, а когда вредит
Чек-лист финальной проверки безопасности перед запуском проекта
План действий при взломе или падении сервера: восстановление из бэкапа
АПТЕЧКА ДЛЯ ЖИВОТНЫХ
Автомобили Германии — FORD, MERSEDES, VW, IVECO
Чат рулетка 2026: чаты, где каждый момент — шанс
Чат рулетка онлайн
Чат с Аней: психологический разговор
Чатрулетка: новый способ общения
Чай и кофе: сила вкуса
Детские игрушки из безопасных материалов
Эксплуатация шин: Рекомендации по использованию
Фототехника для пейзажей
Как Aptum хостинг помогает малым бизнесам в управлении CRM-системами
Как выбрать Vdsina вечный хостинг для своего проекта
Компоненты безопасности IP
Конкуренция на российском автомобильном рынке
Онлайн генератор паролей для Windows
Оптимизация обработки форм GEO проекта
Сервер для социальных сетей: Безопасность, Скорость, Изоляция
Смешные моменты
Сравнение Arsys хостинг сервисов для блогеров с WordPress на 2023 год
Весь экран под циферблат
Оптимизация ядра Linux (sysctl.conf) для высоких нагрузок и сетевых соединений
Хочу себе такие же кнопки
Оптимизация ядра Linux (sysctl.conf) для высоких нагрузок и сетевых соединений
Как превратить ваш сервер в гоночный болид, а не в телегу с лошадью
Вы когда-нибудь видели, как Nginx или Apache начинают "тормозить" при тысячах одновременных подключений? Или как MySQL внезапно "задыхается" от большого количества запросов? Часто проблема не в самом софте, а в настройках ядра Linux, которое по умолчанию оптимизировано для "среднего" домашнего ПК, а не для сервера, обрабатывающего 10 000+ соединений в секунду.
В этом уроке вы научитесь: ✅ Тонко настраивать сетевой стек для обработки огромного трафика без потерь. ✅ Оптимизировать память и CPU, чтобы сервер не "падал" под нагрузкой. ✅ Защищаться от DDoS и SYN-флуда на уровне ядра (без дополнительных скриптов). ✅ Ускорять работу с дисками (особенно важно для баз данных и кэша).
1. Что такое sysctl.conf и почему он важен?
sysctl.conf — это конфигурационный файл, который управляет параметрами ядра Linux на лету (без перезагрузки). Он отвечает за:
- Сетевые соединения (сколько одновременно может быть открыто, как быстро они закрываются).
- Использование памяти (кэширование, swappiness, буферы).
- Безопасность (защита от атак, ограничения на подключения).
- Производительность CPU (как ядро распределяет задачи между процессорами).
Аналогия: Представьте, что ваш сервер — это ресторан.
- По умолчанию в нём 5 столиков (мало соединений), официанты медленно разносят блюда (медленная обработка пакетов), а повара постоянно дерутся за плиту (CPU не оптимизирован).
- С помощью
sysctl.confвы расширяете зал до 100 столиков, нанимаете дополнительных официантов и организовываете работу кухни так, чтобы блюда готовились параллельно.
2. Основные параметры для оптимизации
Мы разберём 4 ключевые группы параметров:
- Сетевые настройки (для высокой нагрузки и защиты от атак).
- Параметры памяти (кэширование, swappiness).
- Оптимизация CPU (распределение задач).
- Безопасность (защита от SYN-флуда, ограничения на подключения).
2.1. Сетевые настройки (для обработки тысяч соединений)
Эти параметры критичны для веб-серверов, прокси (например, Squid) и арбитражных скриптов.
| Параметр | Рекомендуемое значение | Описание |
|---|---|---|
net.core.somaxconn |
65535 | Максимальное количество ожидающих соединений (по умолчанию — 128!). Важно для Nginx/Apache. |
net.ipv4.tcp_max_syn_backlog |
8192 | Сколько SYN-пакетов (запросов на подключение) может храниться в очереди. Защита от SYN-флуда. |
net.core.netdev_max_backlog |
5000 | Сколько пакетов может ждать обработки сетевым интерфейсом. |
net.ipv4.tcp_tw_reuse |
1 | Разрешает повторно использовать соединения в состоянии TIME_WAIT (уменьшает нагрузку на порт). |
net.ipv4.tcp_fin_timeout |
30 | Время (в секундах), сколько соединение остаётся в состоянии FIN_WAIT_2 перед закрытием. |
net.ipv4.tcp_keepalive_time |
60 | Через сколько секунд отправляется keepalive-пакет (проверка, живо ли соединение). |
net.ipv4.ip_local_port_range |
1024 65535 | Диапазон портов для исходящих соединений (важно для арбитражников, которые парсят сайты). |
Почему это важно?
- Если
somaxconn = 128, а к вам одновременно подключаются 1000 пользователей, то 90% получат ошибку "Connection refused". - Если
tcp_max_syn_backlogслишком мал, злоумышленник может легко положить сервер SYN-флудом.
2.2. Оптимизация памяти (кэш, буферы, swappiness)
Linux активно использует RAM для кэширования дисков и сетевых пакетов. Но если настроено неправильно, сервер начнёт "свапиться" (использовать жёсткий диск как память), что убивает производительность.
| Параметр | Рекомендуемое значение | Описание |
|---|---|---|
vm.swappiness |
10 | Насколько активно ядро использует swap (0 — почти никогда, 100 — всегда). Для серверов лучше 10-20. |
vm.dirty_ratio |
10 | Процент грязных страниц (незаписанных на диск) от общей памяти, после которого ядро начинает сбрасывать их на диск. |
vm.dirty_background_ratio |
5 | Процент грязных страниц, при котором начинается фоновая запись (не блокируя систему). |
vm.vfs_cache_pressure |
50 | Насколько активно ядро освобождает кэш файловой системы (чем меньше, тем больше кэша). |
Почему это важно?
- Если
swappiness = 60(значение по умолчанию), сервер начнёт писать на диск, даже если RAM заполнена только на 50% → тормоза. - Если
dirty_ratioслишком высокий, при пиковой нагрузке ядро зависнет, сбрасывая гигабайты данных на диск.
2.3. Оптимизация CPU (распределение задач)
Если у вас многоядерный сервер, ядро должно правильно распределять задачи, иначе одно ядро будет загружено на 100%, а остальные — простаивать.
| Параметр | Рекомендуемое значение | Описание |
|---|---|---|
kernel.sched_migration_cost_ns |
5000000 | Сколько наносекунд задача должна "сидеть" на одном ядре, прежде чем её можно перенести на другое. |
kernel.sched_latency_ns |
6000000 | Максимальное время (в наносекундах), которое задача может ждать выполнения. |
kernel.sched_min_granularity_ns |
1500000 | Минимальное время, которое задача гарантированно получит на выполнение. |
Почему это важно?
- Если эти параметры слишком малы, ядра будут постоянно переключаться между задачами → накладные расходы.
- Если слишком велики, одна задача может заблокировать ядро на долгое время.
2.4. Безопасность (защита от DDoS и атак)
Эти настройки помогут отбить простые атаки на уровне ядра, не тратя ресурсы на firewall.
| Параметр | Рекомендуемое значение | Описание |
|---|---|---|
net.ipv4.tcp_syncookies |
1 | Включает SYN-cookies — защита от SYN-флуда (когда атакующий отправляет миллионы SYN-пакетов). |
net.ipv4.conf.all.rp_filter |
1 | Включает обратную фильтрацию (защита от спуфинга IP). |
net.ipv4.conf.default.rp_filter |
1 | То же, но для новых интерфейсов. |
net.ipv4.icmp_echo_ignore_broadcasts |
1 | Игнорирует ping на broadcast-адрес (защита от Smurf-атак). |
net.ipv4.conf.all.accept_redirects |
0 | Отключает ICMP-редиректы (может быть использовано для MITM-атак). |
Почему это важно?
- Без
tcp_syncookiesсервер упадёт от 10 000 SYN-пакетов в секунду. - Без
rp_filterзлоумышленник может подменить IP и атаковать ваш сервер через вас же.
3. Как применить настройки?
Шаг 1: Проверка текущих значений
Перед изменением посмотрите, что у вас сейчас:
sysctl -a | grep net.ipv4.tcp_max_syn_backlogили для всех параметров:
sysctl -aШаг 2: Внесение изменений
Откройте файл /etc/sysctl.conf:
nano /etc/sysctl.confДобавьте туда все параметры из таблиц выше (или только те, что вам нужны).
Пример части файла:
# Сетевые настройки
net.core.somaxconn = 65535
net.ipv4.tcp_max_syn_backlog = 8192
net.core.netdev_max_backlog = 5000
# Безопасность
net.ipv4.tcp_syncookies = 1
net.ipv4.conf.all.rp_filter = 1Шаг 3: Применение без перезагрузки
sysctl -pЕсли нет ошибок — настройки применены сразу.
Шаг 4: Проверка
Убедитесь, что всё применилось:
sysctl net.ipv4.tcp_max_syn_backlogДолжно вывести 8192.
4. Дополнительные советы для арбитражников и веб-мастеров
4.1. Для арбитражников (много исходящих соединений)
Если вы парсите сайты или работаете с многопоточными скриптами, увеличьте:
net.ipv4.ip_local_port_range = 1024 65000 # Больше портов для исходящих соединений
net.ipv4.tcp_tw_reuse = 1 # Быстрее освобождает порты4.2. Для веб-серверов (Nginx/Apache)
Увеличьте буферы для сетевых пакетов:
net.core.rmem_max = 16777216 # Максимальный размер буфера приёма
net.core.wmem_max = 16777216 # Максимальный размер буфера отправки
net.ipv4.tcp_rmem = 4096 87380 16777216 # Минимальный, стандартный, максимальный буфер приёма
net.ipv4.tcp_wmem = 4096 65536 16777216 # То же для отправки4.3. Для баз данных (MySQL/PostgreSQL)
Уменьшите swappiness и оптимизируйте кэширование диска:
vm.swappiness = 10
vm.dirty_ratio = 5
vm.dirty_background_ratio = 35. Опасные настройки (не трогайте без необходимости!)
Некоторые параметры могут сломать сервер, если установить их неправильно:
| Параметр | Почему опасно? |
|---|---|
kernel.panic |
Если установить 0, сервер не перезагрузится при критической ошибке (может зависнуть навсегда). |
net.ipv4.ip_forward |
Если включить (1), сервер станет маршрутизатором (может быть опасно для безопасности). |
fs.file-max |
Если установить слишком большое значение, система не сможет открывать файлы. |
Практика для закрепления
Упражнение 1: Проверка текущих настроек
- Выведите текущее значение
net.core.somaxconn. - Если оно меньше 1000, увеличьте его до 65535 и примените.
- Проверьте, что значение изменилось.
Упражнение 2: Оптимизация под высокие нагрузки
Представьте, что у вас сервер с:
- 10 000 одновременных пользователей.
- 16 ГБ RAM.
- 4-ядерный CPU.
Какие параметры из урока вы бы обязательно изменили и почему?
Упражнение 3: Защита от SYN-флуда
- Включите
net.ipv4.tcp_syncookies. - Установите
net.ipv4.tcp_max_syn_backlog = 8192. - Объясните, как это поможет отбить атаку.
Упражнение 4: Настройка swap
Ваш сервер имеет 8 ГБ RAM и 16 ГБ swap.
- Какое значение
vm.swappinessвы бы установили? - Почему не стоит ставить 0?
Упражнение 5: Анализ логов
После применения настроек проверьте логи ядра:
dmesg | grep -i "tcp\|memory\|swap"Найдите предупреждения (если они есть) и объясните, что они означают.
Заключение
Теперь ваш сервер готов к высоким нагрузкам: ✅ Сетевой стек обрабатывает тысячи соединений без потерь. ✅ Память используется эффективно, без лишнего свапа. ✅ CPU распределяет задачи оптимально. ✅ Защита от DDoS работает на уровне ядра.
Следующий шаг:
- Настройте Nginx/Apache под новые лимиты (
worker_connections). - Оптимизируйте MySQL (
innodb_buffer_pool_size). - Установите fail2ban для дополнительной защиты.
Если остались вопросы — спрашивайте в комментариях! 🚀
Введение: чем VDS отличается от шаред-хостинга и зачем это веб-мастеру
Как правильно выбрать тариф: CPU, RAM, NVMe или SSD, канал
Выбор операционной системы: почему Ubuntu 22.04/24.04 — стандарт индустрии
Регистрация домена и первичная настройка DNS-записей (A, AAAA, CNAME)
Генерация SSH-ключей на локальном компьютере (Windows/Mac/Linux)
Добавление публичного ключа на сервер и первый вход по SSH
Отключение входа по паролю и запрет авторизации для root
Смена стандартного порта SSH для снижения шума в логах
Создание основного рабочего пользователя с правами sudo
Базовое обновление системы и установка необходимых утилит (curl, wget, git, htop)
Настройка часового пояса и синхронизация времени (NTP)
Установка и базовая настройка фаервола UFW
Разрешение только необходимых портов (SSH, HTTP, HTTPS)
Установка Fail2Ban для защиты от перебора паролей
Настройка правил Fail2Ban для SSH и веб-сервера
Знакомство с Docker: установка движка и CLI
Установка Docker Compose для управления мульти-контейнерными приложениями
Основы изоляции: почему каждый проект должен быть в своем контейнере
Подготовка файловой структуры сервера для удобного хранения проектов
Развертывание Nginx как обратного прокси-сервера через Docker
Настройка конфигурации Nginx для статических сайтов
Установка PHP-FPM в отдельном контейнере
Связка Nginx и PHP-FPM через внутреннюю Docker-сеть
Оптимизация настроек PHP-FPM (pm.max_children, memory_limit) под нагрузку
Установка MariaDB/MySQL в изолированном контейнере
Безопасное хранение паролей от БД через переменные окружения (.env)
Подключение к базе данных из внешнего клиента (DBeaver/Navicat) через туннель
Установка Redis для кэширования запросов и сессий
Интеграция Redis с PHP-приложением для ускорения работы
Автоматическая выдача SSL-сертификатов через Certbot (Let's Encrypt)
Настройка автопродления SSL-сертификатов по крону
Принудительный редирект с HTTP на HTTPS в Nginx
Включение gzip и brotli сжатия для ускорения загрузки страниц
Настройка кэширования статики (browser caching) в заголовках Nginx
Защита от простых DDoS и ботов: модуль limit_req в Nginx
Настройка резервного копирования баз данных (mysqldump) по расписанию
Настройка резервного копирования файлов проектов (tar)
Отправка бэкапов на удаленное хранилище (S3-compatible storage или другой сервер)
Ротация и очистка старых логов, чтобы не забить диск
Мониторинг нагрузки: установка и настройка htop и iotop
Просмотр логов в реальном времени: tail, grep и journalctl
Установка простого мониторинга доступности (Uptime Kuma или скрипт в Telegram)
Изоляция арбитражных инструментов: запуск ботов в отдельных контейнерах
Установка SOCKS5/HTTP прокси (3proxy) внутри Docker для мультиаккаунтинга
Настройка аутентификации и ограничения доступа к прокси по IP
Проверка анонимности и работы прокси-сервера
Оптимизация ядра Linux (sysctl.conf) для высоких нагрузок и сетевых соединений
Настройка swap-файла: когда он нужен, а когда вредит
Чек-лист финальной проверки безопасности перед запуском проекта
План действий при взломе или падении сервера: восстановление из бэкапа
АПТЕЧКА ДЛЯ ЖИВОТНЫХ
Автомобили Германии — FORD, MERSEDES, VW, IVECO
Чат рулетка 2026: чаты, где каждый момент — шанс
Чат рулетка онлайн
Чат с Аней: психологический разговор
Чатрулетка: новый способ общения
Чай и кофе: сила вкуса
Детские игрушки из безопасных материалов
Эксплуатация шин: Рекомендации по использованию
Фототехника для пейзажей
Как Aptum хостинг помогает малым бизнесам в управлении CRM-системами
Как выбрать Vdsina вечный хостинг для своего проекта
Компоненты безопасности IP
Конкуренция на российском автомобильном рынке
Онлайн генератор паролей для Windows
Оптимизация обработки форм GEO проекта
Сервер для социальных сетей: Безопасность, Скорость, Изоляция
Смешные моменты
Сравнение Arsys хостинг сервисов для блогеров с WordPress на 2023 год
Весь экран под циферблат