简介

linux内核参数，在之前的版本都是配置/etc/sysctl.conf文件，在现在使用systemd管理的系统的系统中，默认没有这个文件。使用sysctl.d 在启动时配置内核参数。

配置目录

系统在启动的时候，systemd-sysctl.service服务会按照下面目录的顺序列出配置文件，进行加载

1. /etc/sysctl.d/*.conf
2. /run/sysctl.d/*.conf
3. /usr/lib/sysctl.d/*.conf

配置文件的名称必须符合 filename.conf 格式。

对于不同目录下的同名配置文件，仅以优先级最高的目录中的那一个为准。

规范

软件包应该将自带的配置文件安装在 /usr/lib/sysctl.d/ 目录中。

/etc/sysctl.d/ 目录仅供系统管理员使用。

目录中的配置文件排序是按照文件名的字典顺序，如果有相同的配置项，在文件排序靠后的会覆盖前面的配置。

为了便于排序，建议给所有配置文件都加上两位十进制数字的文件名前缀。

例如：99-sys.conf、10-sysapp.conf

配置文件格式

配置文件是以.conf为后缀的文件，每一行对应一个配置，采用“Key=Value”的形式，注释可以使用“#"或者";"，空行也是会被忽略的，如果配置两个相同的配置项，靠后的配置会覆盖前面的配置。

注意，在KEY名字可以使用 "/" 或 "." 作为分隔符。 如果第一个分隔符是 "/" ， 那么其余的分隔符将保持原样； 如果第一个分隔符是 "." ，那么互换所有的 "/" 与 "."

例如：

"kernel.domainname=foo" 等价于 "kernel/domainname=foo" ，都会将 "foo" 写入
/proc/sys/kernel/domainname 参数中。 同样的，"
net.ipv4.conf.eno0/200.forwarding" 等价于 "
net/ipv4/conf/eno0.200/forwarding" ， 都是指
/proc/sys/net/ipv4/conf/eno0.200/forwarding 参数。

sysctl.d/ 中的设置将在系统启动的早期被应用。

针对网络接口的配置， 则会在对应的网络接口出现的时候被应用， 具体说来就是 net.ipv4.conf.*, net.ipv6.conf.*, net.ipv4.neigh.*, net.ipv6.neigh.* 参数。

许多 sysctl 参数仅在加载相应的内核模块之后才可用。 因为内核模块是按需动态加载的 (例如在插入新硬件或启动网络时)， 所以在系统启动早期运行的 systemd-sysctl.service无法设置那些依赖于特定内核模块的参数。

对于这些参数， 首选的方法是通过 udev规则来设置， 次选的方法是将这些模块添加到 modules-load.d中， 因为 modules-load.d中的模块会在运行 systemd-sysctl.service 前被无条件的静态加载。

例子

例 1. 设置内核YP域名

/etc/sysctl.d/domain-name.conf:

kernel.domainname=opcai.top

例 2. 利用udev规则设置动态内核模块的参数(方法一)

/etc/udev/rules.d/99-bridge.rules:

ACTION=="add", SUBSYSTEM=="module", KERNEL=="br_netfilter", \ RUN+="/usr/lib/systemd/systemd-sysctl --prefix=/net/bridge"

/etc/sysctl.d/bridge.conf:

net.bridge.bridge-nf-call-ip6tables = 0 net.bridge.bridge-nf-call-iptables = 0 net.bridge.bridge-nf-call-arptables = 0

因为此方法在加载模块的同时设置模块的参数， 所以仅在加载 br_netfilter 模块之后才能过滤桥接包， 若不想过滤桥接包， 只要不加载 br_netfilter 模块即可。

例 3. 利用 modules-load.d 目录设置动态内核模块的参数(方法二)

/etc/modules-load.d/bridge.conf:

br_netfilter

/etc/sysctl.d/bridge.conf:

net.bridge.bridge-nf-call-ip6tables = 0 net.bridge.bridge-nf-call-iptables = 0 net.bridge.bridge-nf-call-arptables = 0

因为此方法总是无条件的加载 br_netfilter 模块， 并且总是无条件的设置模块的参数， 所以总是无条件的过滤桥接包，若不想过滤桥接包， 必须主动卸载 br_netfilter 模块。