limits和sysctl配置详解

limits.conf和sysctl.conf那些事儿

1.limits.conf

/etc/security/limits.conf

工作原理：

limits.conf文件实际是Linux PAM（插入式认证模块，Pluggable Authentication Modules中pam_limits.so的配置文件），突破系统的默认限制，对系统访问资源有一定保护作用，当用户访问服务器时，服务程序将请求发送到PAM模块，PAM模块根据服务名称在/etc/pam.d目录下选择一个对应的服务文件，然后根据服务文件的内容选择具体的PAM模块进行处理。

limits.conf 和sysctl.conf区别在于limits.conf是针对用户，而sysctl.conf 是针对整个系统参数配置。

文件格式：

username|@groupname type resource limi

1）username|@groupname

设置需要被限制的用户名，组名前面加@和用户名区别。也可用通配符*来做所有用户的限制

2）type

类型有soft，hard 和-

●soft 指的是当前系统生效的设置值。

●hard 表明系统中所能设定的最大值，soft的限制不能比hard限

制高。

●- 表明同时设置了soft和hard的值。

3）resource：表示要限制的资源

●core - 限制内核文件的大小

●core file : 当一个程序崩溃时，在进程当前工作目录的core文件

中复制了该进程的存储映像。core文件仅仅是一个内存映象（同

时加上调试信息），主要是用来调试的。core文件是个二进制文

件，需要用相应的工具来分析程序崩溃时的内存映像，系统默认

core文件的大小为0，所以没有被创建。可以用ulimit命令查看

和修改core文件的大小。＃ulimit -c 0 #ulimit -c 1000 #ulimit -c

unlimited 注意：如果想让修改永久生效，则需要修改配置文件，

如.bash_profile、/etc/profile或/etc/security/limits.conf

●date - 最大数据大小

●fsize - 最大文件大小

●memlock - 最大锁定内存地址空间

●nofile - 打开文件的最大数目。对于需要做许多套接字连接并使

它们处于打开状态的应用程序而言，最好通过使用ulimit -n，或

者通过设置nofile参数，为用户把文件描述符的数量设置得比默

认值高一些。

●rss - 最大持久设置大小

●stack - 最大栈大小

●cpu - 以分钟为单位的最多CPU 时间

●noproc - 进程的最大数目

●as - 地址空间限制

●maxlogins - 此用户允许登录的最大数目

通过ulimit -a可以查看限制数量

a)Centos5/6

centos5/6，只需要关注/etc/security/limits.conf和/etc/security/limits.d/下配置文件

●Centos5/6永久修改open files数量

1)在/etc/security/limits.conf下，添加以下两行

* soft nofile 65535

* hard nofile 65535

2)重启服务器

通过ulimit -a查看，如上面没有生效，添加如下步骤：

1)find / -name pam_limits.so

2)在/etc/pam.d/login下结尾处添加：

session required /usr/lib64/security/pam_limits.so

路径为第1步查找时给的结果反馈

3)重启服务器

注：ulimit其实就是对单一程序的限制，进程级别的。/proc/sys/fs/file-max，该参数指定系统范围内所有进程可以打开的文件句柄的数量限制。

●Centos5/6永久修改file-max参数

vi /etc/sysctl.conf

fs.file-max = 2000000

sysctl -p

cat /proc/sys/fs/file-max

●Centos5/6修改max user memory数量

1)在/etc/security/limits.d/90-nproc.conf下，修改以下行（建议值65535）

* soft nproc 1024

b)Centos7

centos7，/etc/security/limits.conf和/etc/security/limits.d/仅适用于通过PAM 认证登录用户的资源限制（PAM认证顺序：Service(服务)→PAM(配置文件)→pam_*.so。PAM认证首先要确定那一项服务，然后加载相应的PAM的配置文件(位于/etc/pam.d下)，最后调用认证文件(位于/lib/security下)进行安全认证。），但是对systemd的service资源限制不生效。

对于systemd service的资源限制主要依靠/etc/systemd/system.conf和/etc/systemd/user.conf，同时也会加载两个对应的目录中的所有.conf文件/etc/systemd/system.conf.d/*.conf和/etc/systemd/user.conf.d/*.conf。

system.conf是系统实例使用的，user.conf用户实例使用的。一般的service，使用system.conf中的配置即可

针对单个Service也可以设置，比如nginx.service

LimitNOFILE=65535

LimitNPROC=65535

Centos7永久修改open files数量

1)在/etc/security/limits.conf下，添加以下两行

* soft nofile 65535

* hard nofile 65535

2)重启服务器

通过ulimit -a查看，如上面没有生效，添加如下步骤：

1)find / -name pam_limits.so

2)在/etc/pam.d/login下结尾处添加：

session required /usr/lib64/security/pam_limits.so

路径为第1步查找时给的结果反馈

3)重启服务器

注：ulimit其实就是对单一进程的限制，进程级别的。/proc/sys/fs/file-max，该参数指定系统范围内所有进程可以打开的文件句柄的数量限制。

●Centos7永久修改file-max参数

vi /etc/sysctl.conf

fs.file-max = 2000000

sysctl -p

cat /proc/sys/fs/file-max

●Centos7修改max user memory数量

vi /etc/systemd/system.conf

DefaultLimitNPROC=100000

重启服务器

cat /proc/mysql的PID/limits

注：Centos7一次性修改core、max_processes、max_open_file三个参数方法vi /etc/systemd/system.conf

DefaultLimitCORE=infinity

DefaultLimitNOFILE=100000（建议值65535）

DefaultLimitNPROC=100000（建议值65535）

重启服务器

cat /proc/mysql的PID/limits

2.sysctl.conf（内核版本

3.10）

/proc/sys目录下存放着大多数内核参数，并且可以在系统运行时进行更改，不过重新启动机器就会失效。/etc/sysctl.conf是一个允许改变正在运行中的Linux 系统接口，它包含一些TCP/IP堆栈和虚拟内存系统的高级选项，修改内核参数永久生效。

也就是说/proc/sys下内核文件与配置文件sysctl.conf中变量存在着对应关系。

常见参数及设置：

c)fs

fs.aio-max-nr

表示同时拥有的异步IO请求数量。Oracle建议将该参数设置为1048576或更高。

默认值：65536

fs.aio-nr

表示当前IO请求数量。该参数为只读参数。

●fs.epoll.max_user_watches

一个用户能够往epoll 内核事件表注册的事件总量，它是指该用户打开的所有epoll实例总共能监听的事件数目，而不是单个epoll实例能监听的事件数目。这个内核参数限制了epoll使用的内核内存总量。

默认值：411648。

●fs.file-max

表示系统级文件描述符数限制最大值，是对整个系统的限制，并不是针对用户的。

当前测试环境默认为198266。建议计算的公式：

grep -r MemTotal /proc/meminfo | awk '{printf("%d",$2/10)}'

●fs.file-nr

文件与file-max相关，它有三个值：已分配文件句柄的数目，已使用文件句柄的数目，文件句柄的最大数目，该文件是只读的，仅用于显示信息。

●fs.inode-state

此文件保存了三个值，前两个分别表示已分配inode数和空闲inode数。第三个是已超出系统最大inode值的数量，此时系统需清除排查inode列表

●inotify-tools相关内核参数

fs.inotify.max_queued_events：表示调用inotify_init时分配给inotify instance中可排队的event的数目的最大值，超出这个值的事件被丢弃，但会触发IN_Q_OVERFLOW事件。

fs.inotify.max_user_instances：表示每一个real user ID可创建的inotify instatnces的数量上限。

fs.inotify.max_user_watches：表示每个inotify instatnces可监控的最大目录数量。如果监控的文件数目巨大，需要根据情况，适当增加此值的大小。

●租借锁相关内核参数

fs.lease-break-time = 45：表示租借锁时间为45s

fs.leases-enable = 1：表示启用租借锁，默认状态启用。

●fs.nr_open

表示单个进程可分配的最大文件数，注意ulimit的nofile hard limit不能超过该值，否则会造成无法登录。

默认值为：1048576。

●fs.protected_hardlinks

用于限制普通用户建立硬链接

0：不限制用户建立硬链接

1：限制，如果文件不属于用户，或者用户对此用户没有读写权限，则不能建立硬链接

默认值为：1。

●fs.protected_symlinks = 1

用于限制普通用户建立软链接

0：不限制用户建立软链接

1：限制，允许用户建立软连接的情况是软连接所在目录是全局可读写目录或者软连接的uid与跟从者的uid匹配，又或者目录所有者与软连接所有者匹配

默认值：1。

●fs.suid_dumpable

表示如果一个程序设定了setuid，那么普通用户在默认情况下不生成core 文件，只有当该参数为1时，才会产生。默认值为0。

d)kernel

●kernel.cad_pid

表示接收Ctrl+Alt+Del操作的INT信号的进程的PID

默认值为1。

●kernel.ctrl-alt-del

该值表示控制系统在接收到ctrl+alt+delete 按键组合时如何反应：1：不捕获ctrl-alt-del，将系统类似于直接关闭电源

0：捕获ctrl-alt-del，并将此信号传至cad_pid保存的PID号进程进行

处理

默认值为0。

●kernel.core_pattern

设置core文件保存位置或文件名,只有文件名时，则保存在应用程序运行的目录下

默认值为core。

●kernel.core_pipe_limit

定义了可以有多少个并发的崩溃程序可以通过管道模式传递给指定的core信息收集程序。如果超过了指定数，则后续的程序将不会处理，只在内核日志中做记录。0是个特殊的值，当设置为0时，不限制并行捕捉崩溃的进程，但不会等待用户程序搜集完毕方才回收/proc/pid目录（就是说，崩溃程序的相关信息可能随时被回收，搜集的信息可能不全）。

默认值为0。

●kernel.core_uses_pid

Core文件的文件名是否添加应用程序pid做为扩展：0表示不添加，1表示添加。

默认值为1。

●kernel.dmesg_restrict

限制哪些用户可以查看syslog日志，0表示不限制，1表示只有特权用户可以查看。

默认值为0。

●kernel.kptr_restrict

是否启用kptr_restrice，此功能为安全性功能，用于屏蔽内核指针。

0：该特性被完全禁止;

1：那些使用“%pk”打印出来的内核指针被隐藏(会以一长串0替换掉)，除非用户有CAP_SYSLOG权限，并且没有改变他们的UID/GID(防止在撤销权限之前打开的文件泄露指针信息);

2：所有内核指使用“%pk”打印的都被隐藏。

默认值为0，建议设置为1。

●kernel.modprobe

该文件给出了当系统支持module时完成modprobe功能的程序的名字（包括路径）。

默认值为：/sbin/modprobe

●kernel.modules_disabled

表示是否禁止内核运行时可加载模块：0表示不禁止，1表示禁止

默认值为0。

●kernel.msgmax

消息队列中单个消息的最大字节数。

默认值为8192。

●kernel.msgmnb

单个消息队列中允许的最大字节长度(限制单个消息队列中所有消息包

含的字节数之和)

默认值为16384。

●kernel.msgmni

系统中同时运行的消息队列的个数。

默认值为3965。

●kernel.numa_balancing

表示是否禁止NUMA自动平衡策略，0表示禁止，1表示不禁止。

默认为0

补充：numa相关知识

numactl需要安装相应软件包numactl.x86_64

●dmesg | grep -i numa，若有返回值表示CPU支持NUMA

[0.000000] NUMA: Node 0 [mem 0x00000000-0x0009ffff] + [mem 0x00100000-0x0fffffff] -> [mem 0x00000000-0x0fffffff]

[0.000000] NUMA: Node 0 [mem 0x00000000-0x0fffffff] + [mem 0x10000000-0x7fffffff] -> [mem 0x00000000-0x7fffffff]

numasta查看具体numa信息

numa_hit是打算在该节点上分配内存，最后从这个节点分配的次数;

num_miss是打算在该节点分配内存，最后却从其他节点分配的次数;

num_foregin是打算在其他节点分配内存，最后却从这个节点分配的次数;

interleave_hit是采用interleave策略最后从该节点分配的次数;

local_node该节点上的进程在该节点上分配的次数

other_node是其他节点进程在该节点上分配的次数

●numactl --hardare查看不同节点的内存总大小，可用大小及node distance

建议：数据库服务器关闭该功能，centos7，vi /etc/grub2.cfg

找到rhgb quiet，在他们后面加上“numa=off”，重启即可。

●kernel.panic

系统发生panic时内核重新引导之前的等待时间，0表示禁止重新引导，>0表示引导前等待几秒。

默认值为0。

●kernel.panic_on_oops

当系统发生oops或BUG时，所采取的措施，0表示继续运行，1表示让klog记录oops的输出，然后panic，若kernel.panic不为0，则等待后重新引导内核。

默认值为1。

●kernel.panic_on_warn

0：表示只警告，不发生panic，1表示发生panic。

默认值为0。

●perf性能分析工具

kernel.perf_cpu_time_max_percent：perf分析工具最大能够占用CPU性能的百分比，0表示不限制，1~100表示百分比。

默认值为25。

kernel.perf_event_max_sample_rate：设置perf_event最大取样速率

默认值：10000。

kernel.perf_event_mlock_kb：设置非特权用户允许常驻内存的内存大小。

默认值为516(KB)。

kernel.perf_event_paranoid：用于限制访问性能计数器的权限。

0表示仅允许访问用户空间的性能计数器；

1表示内核与用户空间的性能计数器都可以访问

2表示仅允许访问特殊的CPU数据

-1表示不限制

默认值为1

●kernel.pid_max

表示当前操作系统PID的最大值

默认值：131072。64位操作系统最大值为4194303。

●kernel.pty.max

所分配的PTY的最大值（PTY为虚拟终端，用于远程连接）

默认为4096。

●kernel.pty.nr

当前配置的PTY个数。该参数为可变参数。

●kernel.pty.reserve

保留的PTY个数，主要分配给系统使用。

默认值为1024。

●kernel.random.boot_id

此文件是个只读文件，包含了一个随机字符串，在系统启动的时候会自动生成这个uuid。

●kernel.random.entropy_avail

此文件是个只读文件，给出了一个有效的熵(4096位)

●kernel.random.poolsize

熵池大小，一般是4096位，可以改成任何大小。

●kernel.random.read_wakeup_threshold

该文件保存熵的长度，该长度用于唤醒因读取/dev/random设备而待机的进程(random设备的读缓冲区长度)

●kernel.random.uuid

此文件是个只读文件，包含了一个随机字符串，在random设备每次被读的时候生成。

●kernel.random.write_wakeup_threshold

该文件保存熵的长度，该长度用于唤醒因写入/dev/random设备而待机

的进程(random设备的写缓冲区长度)

●kernel.randomize_va_space

用于设置进程虚拟地址空间的随机化。

0表示关闭进程虚拟地址空间随机化

1表示随机化进程虚拟地址空间中的mmap映射区的初始地址，栈空间的初始地址以及VDSO页的地址

2表示在1的基础上加上堆区的随机化

默认值为2。

●kernel.sched_child_runs_first

设置保证子进程初始化完成后在父进程之前先被调度。

0表示先调度父进程

1表示先调度子进程

默认值为0。

●kernel.sched_latency_ns

表示正在运行进程的所能运行的时间的最大值，即使只有一个处于running状态的进程，运行到这个时间也要重新调度一次(以纳秒为单位，在运行时会自动变化)

同时这个值也是所有可运行进程都运行一次所需的时间，每个CPU的running进程数= sched_latency_ns / sched_min_granularity_ns

●kernel.sched_migration_cost_ns

该变量用来判断一个进程是否还是hot，如果进程的运行时间（now - p->se.exec_start）小于它，那么内核认为它的code还在cache里，所以该进程还是hot，那么在迁移的时候就不会考虑它。

默认值为：500000。

●kernel.sched_min_granularity_ns

表示一个进程在CPU上运行的最小时间，在此时间内，内核是不会主动挑选其他进程进行调度(以纳秒为单位，在运行时会自动变化) 默认值为：10000000。

●kernel.sched_nr_migrate

在多CPU情况下进行负载均衡时，一次最多移动多少个进程到另一个CPU上。

默认值为32。

●kernel.sched_rr_timeslice_ms

用来指示round robin调度进程的间隔，这个间隔默认是100ms。

默认值为100ms。

●kernel.sched_rt_period_us

●kernel.sched_rt_runtime_us

sched_rt_period与sched_rt_runtime_us一起决定了实时进程在以sched_rt_period为周期的时间内，实时进程最多能够运行的总的时间不能超过sched_rt_runtime_us。默认值：

kernel.sched_rt_period_us = 1000000

kernel.sched_rt_runtime_us = 950000

●kernel.sched_tunable_scaling

当内核试图调整sched_min_granularity_ns，sched_latency_ns和sched_wakeup_granularity_ns这三个值的时候所使用的更新方法。

0：不调整

1：按照cpu个数以2为底的对数值进行调整

2：按照cpu的个数进行线性比例的调整

默认值为1。

●kernel.sched_wakeup_granularity_ns

该变量表示进程被唤醒后至少应该运行的时间的基数，它只是用来判断某个进程是否应该抢占当前进程，并不代表它能够执行的最小时间（sysctl_sched_min_granularity），如果这个数值越小，那么发生抢占的概率也就越高。

默认值为：15000000

●kernel.sem

该变量的四个值分别表示SEMMSL、SEMMNS、SEMOPM、SEMMNI

SEMMSL：每个信号集的最大信号数量，数据库最大PROCESS实例参数的设置值再加上10，oracle建议将SEMMSL的值设置为不少于100。

SEMMNS：用于控制整个Linux系统中信号（而不是信号集）的最大数。Oracle建议将SEMMNS设置为：系统中每个数据库的PROCESSES实例参数设置值的总和，加上最大PROCESSED值的两倍，最后根据系统中Oracle数据库的数量，每个加10。

使用以下计算方式来确定在Linux系统中可以分配的信号最大数量。它将是以下两者中较小的一个值：

SEMMNS或SEMMSL*SEMMNI

SEMOPM：内核参数用于控制每个semop 系统调用可以执行的信号操作的数量。semop 系统调用（函数）提供了利用一个semop 系统调用完成多项信号操作的功能。一个信号集能够拥有每个信号集中最大数量的SEMMSL 信号，因此建议设置SEMOPM 等于SEMMSL 。

Oracle 建议将SEMOPM 的值设置为不少于100 。

SEMMNI：内核参数用于控制整个Linux 系统中信号集的最大数量。

Oracle 建议将SEMMNI 的值设置为不少于100。

默认参数：kernel.sem = 250 32000 32 128

Oracle参考值：kernel.sem = 50106412805010128

●kernel.shm_rmid_forced

表示是否强制将共享内存和一个进程联系在一起，这样的话可以通过杀死进程来释放共享内存。

默认值为0。建议设置为1。

●kernel.shmall

系统上可以使用的共享内存的总量（以字节为单位）

默认为18446744073692774399，可以根据内存大小设置，如64*1024*1024*1024 / 4K = 16777216

●kernel.shmmax

系统所允许的最大共享内存段的大小（以字节为单位）

默认为18446744073692774399，可以根据内存大小设置，如64*1024*1024*1024 = 68719476736

●kernel.shmni

整个系统共享内存段的最大数量

默认值：4096

shmmax(bytes) = shmmni(page size, default 4k) * shmall (page的个数）

●kernel.stack_tracer_enabled

表示是否开启栈底溢出检测，0表示不启用，1表示启用。

默认值为0。

●kernel.sysrq

该文件指定的值为非零，则激活键盘上的sysrq按键。这个按键用于给内核传递信息，用于紧急情况下重启系统。当遇到死机或者没有响应的时候，甚至连tty 都进不去，可以尝试用SysRq 重启计算机。

默认值为16。为了安全起见，建议修改为0。

●kernel.threads-max

表示指定内核所能使用的线程最大数目，基本可以理解为每个进程所允许打开的线程最大数量。

默认值为15703。

●kernel.unknown_nmi_panic

该参数的值影响的行为（非屏蔽中断处理）。当这个值为非0，未知的NMI受阻，PANIC出现。这时，内核调试信息显示控制台，则可以减轻系统中的程序挂起。

默认值为0。

●kernel.watchdog

表示是否禁止softlockup模式和nmi_watchdog(softlockup用于唤醒watchdog)。0表示禁止；1表示开启。

默认值为0。

●kernel.watchdog_thresh

watchdog异常等待时间，表示watchdog设备被意外关闭而不是正常，从而造成cpu soft lockup而等待的时间。

默认值为10（s）。

e)net.core

●net.core.bpf_jit_enable

基于时间规则的编译器，用于基于PCAP并使用伯克利包过滤器的用户工具，可以大幅提升复杂规则的处理性能。

0：禁止

1：开启

2：开启并请求编译器将跟踪数据时间写入内核日志

默认值为0。基于NoSQL内存数据库时，建议启用该参数。

●net.core.busy_poll

要在特定socket中启用繁忙轮询，将https://www.sodocs.net/doc/ef2314510.html,.core.busy_poll设置为除0以外的值，这一参数控制的是socket轮询和选择位于等待设备队列中数据包的微秒数。红帽推荐值为50。

默认值为0。

●net.core.busy_read

要全局启用繁忙轮询，须将 https://www.sodocs.net/doc/ef2314510.html,.core.busy_read 设置为除了 0 以外的值。这一参数控制了socket 读取位于等待设备队列中数据包的微秒数，且设置了 SO_BUSY_POLL 选项的默认值。红帽推荐在socket 数量少时将值设置为 50 ，socket 数量多时将值设置为 100。对于socket 数量极大时（超过几百），请使用 epoll。

默认值为0。

●net.core.dev_weight

设备重量是指设备一次可以接收的数据包数量（单个预定处理器访问）。设备重量由 dev_weight 参数控制。

默认值为64。

●net.core.message_burst

写新的警告消息所需的时间(以1/10 秒为单位);在这个时间内所接收到的其它警告消息会被丢弃。这用于防止某些企图用消息“淹没”您系统的人所使用的拒绝服务(Denial of Service)攻击。

默认值为10。

●net.core.message_cost

该文件表示写每个警告消息相关的成本值。该值越大，越有可能忽略警告消息。当用来防止DOS攻击时设置为0。

默认值为5。

软件配置管理过程指导说明书(超级实用)

软件配置管理过程指导说明书

目录 1 前言 (2) 1.1 目的 (2) 1.2 适用范围 (2) 1.3 术语名词解释 (2) 2 角色和职责说明 (3) 3 输入 (4) 4 入口准则 (4) 5 配置管理实施 (4) 5.1 配置库结构 (4) 5.1.1 配置库 (4) 5.1.2 配置管理库系统 (6) 5.2 配置管理流程 (6) 5.2.1 配置管理流程图 (6) 5.2.2 配置变更流程图 (7) 5.3 配置标识 (8) 5.3.1 配置库划分 (8) 5.3.2 配置库结构 (8) 5.3.3 配置项命名 (11) 5.3.4 版本编号规范 (11) 5.4 配置管理活动 (12) 5.4.1 制定配置管理计划 (12) 5.4.2 建立配置库 (12) 5.4.3 建立配置项 (12) 5.4.4 基线建立及发布过程 (12) 5.4.5 配置变更 (13) 5.4.6 配置审计 (15) 5.4.7 备份 (16) 6 输出 (16) 7 出口准则 (16) 8 本过程裁剪规定 (16)

1 前言 1.1 目的 用于描述配置管理作用和过程，规范配置管理的实施过程、活动和操作。 1.2 适用范围 适用于在软件生命周期中对各类软件项目的配置管理活动。 1.3 术语名词解释 CCB：Configuration Control Board，配置管理委员会，每个项目组需要建立项目级的CCB作为变更控制权威。CCB由质量工程师、项目经理、测试经理、配置管理员构成，有时也可以包括客户代表、上级质量部门主管。CCB组长可以是质量工程师或质量部领导，但不能是项目经理。 软件配置项：是指软件工程过程中所生产或使用的任何元素，或者是纳入软件产品的元素。它可以是说明书、计算机程序、数据结构或者开发软件产品所使用的工具等，包括：项目文档，源代码，执行程序，相关设备及资料。 软件配置管理：对软件配置项的管理称为软件配置管理。软件配置管理的目的是建立和维护软件项目整个生命周期中工作产品的完整性和可追溯性。 软件工作产品：由定义、维护和使用一个软件过程所产生的任何人工制品，包括过程描述、计划、规程、计算机程序和相关文档，无论是否打算将它们交给客户或最终用户。 软件产品：可交付给客户或最终用户的软件工作产品的子集称作软件产品 基线：基线，是开发过程中标识出的里程碑所交付的一个或多个配置项，也即指一个（或一组）配置项在项目生命周期的不同时间点上通过正式评审而进入正式受控的一种状态它有如下特征：（1）已经过正式的评审和批准；（2）作为项目发展和产品升级的基础。（3）基线变更必须经过CCB审批。 变更控制：对配置项的更改进行评价、协调、认可或不认可以及执行更改的过程。 版本发布：指从项目的配置库中将需交付给客户的所有配置项组装成一个完整的软件产品。即交付给客户的一个包括可执行程序和文档的发布基线称为发布（release）。 配置审计：可以分为物理审计和功能审计。物理审计审查配置项的外在特征的正确性与一致性，主要考查软件受控库的结构、内容及其它相关信息，以验证基线和描述它的文档的一致性；功能审计审查配置项内容的正确性与一致性，主要考核配置项在实现功能上的一致性，功能审计主要通过评审和测试报告体现。 物理审计的内容包括： ? 确认配置项标识的正确性； ? 确认已受控配置项的更改是受到控制的； ? 验证配置库内容与相应记录之间的一致性； ? 验证配置管理活动与相应记录之间的一致性； ? 验证配置管理工作是否符合适用的标准和规程； ? 验证配置管理系统与系统备份的有效性、一致性等。 功能审计的内容包括： ? 验证当前基线所含配置项对前一基线所含配置项的追溯性； ? 确认当前基线所含配置项均正确反映了项目需求； ? 评估基线的完整性； ? 验证当前基线和各基线间所含配置项的一致性； 验证配置库内容的完备性和正确性等。

系统配置实用程序的设置和应用

1：Alerter服务:选择“手动/禁用”是明智之举。微软对警报器服务的描述为： 通知所选用户和计算机有关系统管理级警报，就是在系统出现错误的情况下能及 时向用户发出通告。对于普通应用人员来讲，禁用它可以阻止像IE出现错误、要 求发送错误报告之类对话框的出现，因为这些错误报告对于我们来说毫无用处， 所以选择禁用它是明智之举 2：application layer gateway service为internet连接共享和internet连接防 火墙提供第三方协议插件的支持如果你没启用internet连接共享或windows xp内 置防火墙，可以禁止这个服务。他不影响网络共享放心关闭吧,只是一个插件。这 个可占了内存资源1.5MB关了哦 3：Application management用于设定，发布和删除软件服务。SQL安装时，提 示“系统有一个程序的安装副本在运行之中，请重新启动电脑”等提示，一般重 启即可，但如果这个服务不开，重启N次也没有用网吧客户机建议手动，服务器 装了SQL的话也禁止吧（负带影响：有时候安装东西的时候会提示服务未启动,有时候又正常） 4：automatic updates自动从windows update启用windows更新的下载和安装需 要时，我们完全可以在windows update web网站手动进行更新。禁啦开这个服务 简直浪费系统资源。另外附加一句，需要手动更新的时候，需将此服务开启 5：Background Intelligent Transfer Service该服务的中文意思为智能备份和 传输服务，用于在局域网中利用空闲的网络带宽传输数据。这个服务被禁用可带 来一些好处，因为它存在一个小BUG，某些Windows XP系统会因为它的缺陷而在启动到桌面环境时出现任务栏暂时锁死的现象，禁用它能立马解决此故障放心禁止吧，补充一句：刚听朋友说，关闭此服务有一定的负面影响，网站上不能使用手 工更新功能了,大家知道就行了。 6：ClipBook这项服务的作用是储存粘贴信息并与远程计算机共享此信息，Windows XP的“剪贴簿查看器”就是依赖这项服务来工作的。如果此项服务被终止，“剪贴簿查看器”将无法与远程计算机共享信息，相反地，它的好处在于可 以杜绝一些隐私外泄的安全隐患放心禁止准没有错 7：COM+ Event System一些COM+ 软件需要，检查你的c:\program files\ComPlus Applications 目录，没东西可以把这个服务关闭（注意是这个路 径里面的服务没有东西可以关闭，不是指COM服务，以免大家又误会）．不能禁 止的服务不过喜欢PF降低的朋友就禁止吧! 8：COM+ System Application管理基于COM+ 组件的配置和跟踪。禁止吧没关系的 9：Computer Browser用来浏览局域网电脑的服务，但关了也不影响浏览！所以 禁止啊降低PF哦 10：Cryptographic Services Windows更新时用来确认windows 文件指纹的，手 动或者禁止吧，比较保守的朋友就手动。和我这样的玩火使者就禁吧降低PF要紧，懒得运行了其他东东把这个服务又给开起了。 11：DCOM Server Process Launcher 此服务级重要程度（中级）终止或禁用此 服务会造成系统不稳定，大家可别打这个注意啊。虽然不影响你正常开机和使用 系统稳定为重啦。当然你们要跟谁比PF底的话哈哈把这个也禁了吧，看谁狠。补充描述：SP2新增的服务，DCOM（分布式组件对象模式），关闭这个服务会造成很多手动服务无法在需要的时候自动启动，很麻烦。比如一些软件无法正常安装，flashmx ,还有些打印机的驱动无法安装，都提示错误“RPC服务器不可用”。建

实用的系统配置实用程序(Msconfig)使用比360好用多了

系统配置实用程序（Msconfig）使用 初学者在使用电脑过程中，肯定会碰到各种各样的问题：如怎么管理电脑的自启动程序、如何查看加载的系统服务、怎样从安装光盘提取丢失的系统文件等。为了解决类似问题，微软在系统中提供了一个实用工具——系统配置实用程序（Msconfig）。 以系统管理员身份登录系统后，单击“开始→运行”输入“Msconfig”回车后即可启动系统配置实用程序（图1）。下面笔者就结合几个应用实例来详细介绍Msconfig的使用（以WinXP为例）。 “一般”选项不一般 1．选择启动方式 默认情况下，Windows采用的是正常启动模式（即加载所有驱动和系统服务），但是有时候由于设备驱动程序遭到破坏或服务故障，常常会导致启动出现一些问题，这时可以利用Msconfig的其它启动模式来解决问题。单击“一般”选项，在“启动模式”选择“诊断启动”（图2），这种启动模式有助于我们快速找到启动故障原因。此外，还可以选择“有选择的启动模式”，按提示勾选需要启动项目的即可。

小提示：诊断启动是指系统启动时仅加载基本设备驱动程序如显卡驱动，而不加载Modem、网卡等设备，服务也仅是系统必须的一些服务。这时系统是最干净的，如果启动没有问题，可以依次加载设备和服务来判断问题出在哪里。 2．从安装光盘提取丢失系统文件 虽然WinXP具备强大的文件保护功能，不过有时候由于安装/卸载软件或误操作，还是经常会造成系统文件的丢失。一般重要的系统文件，在系统安装光盘CAB文件中都可以找到。单击上图的“展开文件”，然后在弹出窗口中依次输入要还原的文件（填入丢失文件名）、还原自（单击“浏览自”，选择安装光盘的CAB压缩文件）、保存文件到（选择保存文件路径，WinXP/2000一般为c:windowssystem32，Win98则为c:windowssystem），最后单击“展开”（图3），系统会自动解压CAB文件，将系统文件从安装光盘提取到电脑。 小知识： 可以先用系统的SFC命令来扫描系统文件的改动，找出变化的系统文件，命令格式：SFC [/SCANNOW] [/SCANONCE]

系统配置实用程序默认启动项说明

系统配置实用程序默认启动项说明 internat.exe 注意!!这里的internat可不是因特网呀！！和internet差一个字哪！！这个internat是输入法图标的工具，也就是任务栏里面的En图标。（也是MSCONFIG 从98移植到2000以后启动项里唯一还可以看到的一个。） TaskMonitor C:\WINDOWS\taskmon.exe 任务检测程序,这个监视器将记录使用软件的情况，然后将这些资料保存到windows\applog 的applog.ind 文件中（WIN2000无该项） ScanRegistry C:\WINDOWS\scanregw.exe /aotorun 注册表备份程序,每次开机都备份一次注册表。（WIN2000无该项） SystemTray SysTray.Exe 驻留内存管理程序，在98下可以使电脑用一段时间后系统越来越慢的情况减轻一点。（WIN2000无该项） SchedulingAgent C:\WINDOWS\SYSTEM\mstask.exe 系统计划任务程序,一般没什么用. （WIN2000无该项） LoadPowerProfile Rundll32.exe powrprof.dll,LoadCurrentPwrScheme 电源管理程序,如果禁用，“控制面版”中“电源管理/显示属性”里的设置就没有效果了。该项往往会出现两次，保留一个即可。（WIN2000无该项） 看到这您可能会说，即使把Msconfig从98移植到了2000下，每一次都要确定它的出错信息不说，功能更是被七折八扣的所剩无几，还有什么意义呢。不要急，微软最最成功之处就在于十分懂得亡羊补牢。在XP中，我们不但发现Msconfig重新回来了，而且脱胎换骨，崭换新颜。 XP篇 只是这次，微软将它藏到了XP中的windows\pchealth\helptr\binaries子目录下。把它复制到2000中（位置同上），开始、运行，没有了恼人的四次出错信息，加宽加大的对话框直接弹出，让你顿时领略到“增强版”的气息。 在新的系统配置实用程序中，四个配置文件中的System.ini和Win.ini虽然依

计算机常用程序(你知道几个)

ac3filter.cpl AC3解码器 access.cpl 辅助功能选项 accwiz 辅助功能向导 appwiz.cpl 添加或删除程序 calc 计算器 certmgr.msc 证书管理 charmap 字符映射表 chkdsk 磁盘检查 ciadv.msc 索引服务 cintsetp 仓颉拼音输入法 cleanmgr 磁盘清理 cliconfg SQL客户端网络实用工具 clipbrd 剪贴板查看器 cmd 命令行提示符 command 命令提示符 compmgmt.msc 计算机管理 conf netmeeting control 控制面板 control admintools 管理工具 control color 显示属性的外观选项卡 control desktop 显示属性 control folders 文件夹选项

control fonts 字体文件夹 control keyboard 键盘属性control mouse 鼠标属性 control netconnections 网络连接control printers 打印机和传真control schedtasks 任务计划dcomcnfg 组件服务 ddeshare DDE共享 desk.cpl 显示属性 devmgmt.msc 设备管理器dfrg.msc 磁盘碎片整理directx.cpl Directx控制面板diskmgmt.msc 磁盘管理diskpart 磁盘分区管理器 drwtsn32 系统医生 dvdplay DVD播放器 dxdiag Direct X诊断工具eudcedit 造字程序 eventvwr 事件查看器 explorer 资源管理器 findfast.cpl 快速查找 firewall.cpl Windows防火墙

巧设msconfig 让Windows7启动更快一步

巧设msconfig 让Windows7启动更快一步 我们知道，在Windows系统里，有个非常实用的程序——msconfig，即系统配置实用程序。该程序为系统启动和加载项设置，合理的配置可以大大提升系统的启动速度和运行效率。 在Windows7系统里，我们可以通过在开始菜单的搜索框里直接输入msconfig后回车，即可打开“系统配置”窗口。 ▲在开始菜单里输入程序命令 ▲弹出的系统配置 由于安装的程序越来越多，并且现在很多程序都默认启动系统自动加载，这无疑会使系统启动变得很慢，比如杀毒软件、办公软件、一些优化软件等，在启动系统时，就会自动加载。除了在软件中设置为系统启动时不运行，通过msconfig中的“启动”也可以删除一些不常用的启动项。由于各个电脑安装软件的环境不一样，这里不再多说，但可以告诉大家的是，“启动”项里的所有程序都可以禁止，如果你发现系统在启动时遇到了问题，也可以再行逐个恢复。 这里我们主要说一下如何通过msconfig设置，让系统启动更快——而不是简单的禁止第三方软件。其实也简单，在“系统配置”窗口中的“引导”选项卡里，我们看到一个“超时”，这里默认的时间是30秒，我们修改为“3”。

之后点击“高级选项”，在“处理器数”下拉选项中选“2”，勾选“最大内存”，这里的数字无需修改。 ▲引导高级选项 点击确定后，进入“工具”选项卡，选择“更改UAC设置”来更改用户账户控制设置，这里点击“启动”，设置完msconfig确定后退出，会提示你重新启动系统，选择重新启动。

理论说，这样做是可以提高你的系统启动时间，但由于Windows7分为多个版本，并且对不同的硬件设备有着优化，如果你的硬件本身就不高，又安装了 Windows7旗舰版，还打开了全部的特效，那无疑会很慢。并且，我也不建议大家在使用第三方所谓的优化工具，可以说没用。 题外话，如果对于速度特别有追求的，你也可以进一步将系统的UAC关闭——实际上我不建议这么做! UAC(User Account Control，即用户帐户控制)，它要求用户在执行可能会影响计算机运行的操作或执行更改影响其他用户的设置的操作之前，提供权限或管理员密码。通过在这些操作启动前对其进行验证，UAC 可以帮助防止恶意软件和间谍软件在未经许可的情况下在计算机上进行安装或对计算机进行更改。 但是，一些用户也因为UAC的提示而感到“多余”，所以，这里我们可以选择关闭。 如何关闭Windows7的UAC? 打开控制面板，找到“用户账户”，在“更改用户账户”里，点击“更改用户账户控制设置”，在弹出的窗口里，将左侧的刻度条，拉到最下面“从不通知”。

计算机常用运行指令大集合

开始菜单中的“运行”是通向程序的快捷途径，输入特定的命令后，即可快速的打开Windows 的大部分程序，熟练的运用它，将给我们的操作带来诸多便捷。 winver 检查Windows版本 wmimgmt.msc 打开Windows管理体系结构(wmi) wupdmgr Windows更新程序 wscript Windows脚本宿主设置 write 写字板 winmsd 系统信息 wiaacmgr 扫描仪和照相机向导 winchat xp自带局域网聊天 mem.exe 显示内存使用情况 msconfig.exe 系统配置实用程序 mplayer2 简易widnows media player mspaint 画图板 mstsc 远程桌面连接 mplayer2 媒体播放机 magnify 放大镜实用程序 mmc 打开控制台 mobsync 同步命令 dxdiag 检查directx信息 drwtsn32 系统医生 devmgmt.msc 设备管理器 dfrg.msc 磁盘碎片整理程序 diskmgmt.msc 磁盘管理实用程序 dcomcnfg 打开系统组件服务 ddeshare 打开dde共享设置 dvdplay dvd播放器 net stop messenger 停止信使服务 net start messenger 开始信使服务 notepad 打开记事本 nslookup 网络管理的工具向导 ntbackup 系统备份和还原 narrator 屏幕“讲述人” ntmsmgr.msc 移动存储管理器 ntmsoprq.msc 移动存储管理员操作请求

netstat -an （tc）命令检查接口 syncapp 创建一个公文包 sysedit 系统配置编辑器 sigverif 文件签名验证程序 sndrec32 录音机 shrpubw 创建共享文件夹 secpol.msc 本地安全策略 syskey 系统加密，一旦加密就不能解开，保护Windows xp系统的双重密码services.msc 本地服务设置 sndvol32 音量控制程序 sfc.exe 系统文件检查器 sfc /scannow windows文件保护tsshutdn 60秒倒计时关机命令 tourstart xp简介（安装完成后出现的漫游xp程序） taskmgr 任务管理器 eventvwr 事件查看器 eudcedit 造字程序 explorer 打开资源管理器 packager 对象包装程序 perfmon.msc 计算机性能监测程序 progman 程序管理器 regedit.exe 注册表 rsop.msc 组策略结果集 regedt32 注册表编辑器 rononce -p 15秒关机 regsvr32 /u *.dll 停止dll文件运行 regsvr32 /u zipfldr.dll 取消zip支持 cmd.exe cmd命令提示符 chkdsk.exe chkdsk磁盘检查 certmgr.msc 证书管理实用程序 calc 启动计算器 charmap 启动字符映射表 cliconfg sql server 客户端网络实用程序 clipbrd 剪贴板查看器

系统运行环境配置与安装说明

系统运行环境配置及安装说明 一、系统运行环境配置 本系统为网络版，在服务器上安装后，局域网内所有计算机都可以连接使用。安装后系统的数据库和应用程序分别存放在Microsoft SQL Server中和用户指定的磁盘上。 1.硬件环境 1.1网络环境 本系统需要运行在单位局域网上，要求服务器、客户端（档案室）计算机连接在此网络上。建议配置100M网络速度。 1.2满足系统运行的客户机、服务器的基本配置 CPU: PⅣ1.6G以上 内存：256M以上，建议512M 硬盘：40G以上 VGA：分辨率800*600或者更高 网卡：100M以上 其他：光驱、3.5英寸软驱、鼠标 2.软件环境 2.1服务器操作系统配置：Windows 2000 Server 或Windows 2000 Advanced Server 。 2.2服务器数据库配置：Microsoft SQL Server 7.0 或Microsoft SQL Server 2000 。 第一次在服务器上安装Microsoft SQL Server，在安装过程中会出现提示输入“连接客户端数”的窗口，请增加100个客户端。 服务器上已经安装了Microsoft SQL Server，请运行“开始”-->“程序”-->“管理工具”-->“授权”检查Microsoft SQL Server的许可连接数，如果其连接数为0或不足100，请设置为100个客户端连接。 2.3客户端浏览器配置：IE5.0以上。

二、系统安装说明 请插入“中国科学院院属单位综合档案管理系统”光盘，双击SETUP[2.50].EXE。按照系统提示的步骤安装到PC机或服务器上。用户只能将本系统安装在计算机的根目录下，如：C:\ 。 安装完成后请重新启动服务器。 三、数据库软件安装说明 本系统需要安装SQL SERVER 7.0或者SQL SERVER 2000数据库软件，安装具体步骤如下。 1.SQL SERVER 7.0的安装 把SQL SERVER 7.0数据库安装光盘放到光驱中，双击光盘盘符，进入光盘内容。打开光盘后，如图3.1-1。 图3.1-1 双击“AUTORUN.EXE”图标即可进入数据库的安装画面，如图3.1-2：

系统配置实用程序详解

系统配置实用程序詳解 2008-12-24 18:04 初学者在使用电脑过程中，肯定会碰到各种各样的问题：如怎么管理电脑的自启动程序、如何查看加载的系统服务、怎样从安装光盘提取丢失的系统文件等。为了解决类似问题，微软在系统中提供了一个实用工具——系统配置实用程序（Msconfig）。 以系统管理员身份登录系统后，单击“开始→运行”输入“Msconfig”回车后即可启动系统配置实用程序（图1）。下面笔者就结合几个应用实例来详细介绍Msconfig的使用（以WinXP为例）。 “一般”选项不一般 1．选择启动方式 默认情况下，Windows采用的是正常启动模式（即加载所有驱动和系统服务），但是有时候由于设备驱动程序遭到破坏或服务故障，常常会导致启动出现一些问题，这时可以利用Msconfig 的其它启动模式来解决问题。单击“一般”选项，在“启动模式”选择“诊断启动”（图2），这种启动模式有助于我们快速找到启动故障原因。此外，还可以选择“有选择的启动模式”，按提示勾选需要启动项目的即可。

小提示：诊断启动是指系统启动时仅加载基本设备驱动程序如显卡驱动，而不加载Modem、网卡等设备，服务也仅是系统必须的一些服务。这时系统是最干净的，如果启动没有问题，可以依次加载设备和服务来判断问题出在哪里。 2．从安装光盘提取丢失系统文件 虽然WinXP具备强大的文件保护功能，不过有时候由于安装/卸载软件或误操作，还是经常会造成系统文件的丢失。一般重要的系统文件，在系统安装光盘CAB文件中都可以找到。单击上图的“展开文件”，然后在弹出窗口中依次输入要还原的文件（填入丢失文件名）、还原自（单击“浏览自”，选择安装光盘的CAB压缩文件）、保存文件到（选择保存文件路径，WinXP/2000一般为c:windowssystem32，Win98则为c:windowssystem），最后单击“展开”（图3），系统会自动解压CAB文件，将系统文件从安装光盘提取到电脑。 小知识： 可以先用系统的SFC命令来扫描系统文件的改动，找出变化的系统文件，命令格式：SFC [/SCANNOW] [/SCANONCE] [/SCANBOOT] [/REVERT] [/PURGECACHE] [/CACHESIZE=x]

配置管理过程讲解

配置管理过程 版本：1.2 发布时间： 文件变更记录

本文档描述了软件开发项目的标准软件配置管理过程。该过程向软件开发项目中与配置管理有关的人员提供说明和行动指南，使开发人员、测试人员、项目管理者、质量保证人员以及客户能方便地通过软件配置管理获得有用的信息。 2.适用范围 2.1机构：质量部、产品部、开发部 2.2业务：软件项目的配置管理活动。 3.概述 本过程包括建立配置库设置访问权限、组建CCB、制定配置管理计划、发布基线、基线变更管理、配置状态记录、配置审计、备份配置库、产品发布、移交项目资产入资产库十个子过程。 本过程是描述项目如何计划配置管理活动，并在整个软件的生命周期中如何执行配置管理活动的。软件配置管理是CMMI的一个重要组成部分，其目在于建立和维护在项目的整个生命周期内软件项目产品的完整性。 4.名词术语 基线：已经通过正式的同级评审而获得认可，可以作为一个基本纲领为今后工作服务并且只能通过正式的变更控制过程才可改变的一个或多个软件配置项。 定义基线：在项目策划过程中，对基线的个数、时间和条件，以及包含工作产品的定义。 建立基线：根据项目计划中的定义，在实施过程中，经由评审组评审和软件配置控制委员会批准，建立起来的由特定工作产品组成的基线。 配置项：由配置管理视为一个单一整体而进行处理的工作产品（例如：在软件生存周期各阶段所产生的各种形式和各种版本的文档、程序、数据等）以及完成工作产品所需的软件工具和支持系统。 软件配置控制委员会：Configuration Control Board ，简称CCB，负责评价和批准（或不批准）建立基线，评价和批准（或不批准）对基线化配置项所提出的变更，并负责保证那些已批准的变更能得到实施的组。 物理配置审计：Physical audits authenticate ，简称PCA ，审计软件产品的完整性，以确保其包含全部应有的元素、文档与数据。 功能配置审计：Functional configuration audit ，简称FCA，审计软件产品的正确性，以确保其性能和基线化的需求相一致。

详解Win7系统下一些开机启动配置文件

详解Win7系统下一些开机启动配置文件 在我们使用的电脑Win7系统当中，拥有很多的一些系统开机启动配置文件，而我们经常会关注MSCONFIG下的开机启动，而没有去关注本身Win7中自带的一些开机启动文件，如果有人在其中做了一些手脚在上面，我们是很难发现的。所以今天小编就来给大家讲解下一些系统自带的启动配 下面我们就来详细的列举下一些Win7系统下开机启动的配置文件。 一、“开始”菜单中的“启动”选项 这个系统下开始菜单中的启动选项位置存在磁盘中的“C：\Documents andSettings\Administrator\“开始”菜单\程序\启动”和注册表中的“HKEY_CURRENT_USER\Software \Microsoft\Windows\CurrentVersion\Run”。 一些恶意隐蔽的启动程序往往就会放在这里，所以我们平时要注意看下这个位置有无可疑的启动程序存在。 二、众多周知的“Msconfig”系统配置实用程序 在“Msconfig”系统配置实用程序中包括：system.ini、win.ini、启动项目等。这三个配置文件里也是很多自启动程序入驻的地方。 1、System.ini 首先，在“运行”对话框中输入“msconfig”启动系统配置实用程序，找到system.ini 标签，里面的“shell=……”就可以用来加载特殊的程序。如果你的shell=后面不是默认的explorer.exe，或者说后面还有一个程序的名字，那你可要小心了，请仔细检查相应的程序是否安全！ 2、Win.ini 如果我们想加载一个程序：1.exe，这时我们就可以通过加载“Win.ini”来实现。 ［windows］ load=1.exe run=1.exe 这样就简单的完成了一个隐蔽的启动程序在系统里。所以我们平时要多关注这些隐蔽的启动配置项目。

小度写范文[MSCONFIG系统配置实用程序鲜为人知的功能]红树林鲜为人知的生态功能阅读答案模板

[ＭＳＣＯＮＦＩＧ系统配置实用程序鲜为人知的功能]红树林鲜为人知的生态功能阅读答 案 不论是平时配置系统自启动项，还是检查病毒的自启动项，msconfig.exe都是一个很有用的工具。msconfig一般位于C:\ WINDOWS \ pc health\help\ctrbinaries目录下，也可以位于system32目录下，有时候在dllcache目录下也能找到。在开始菜单，点击运行，输入msconfig并回车，就进入了msconfig系统配置实用程序界面。msconfig主要用来配置系统自启动项，在“启动”选项卡下，通过勾选或取消程序的自启动项，可以让程序跟随或禁止跟随系统一起启动。系统中毒时，通常使用这种方法禁止病毒自启动。不过，很多时候杀完毒后，病毒虽然早已逃之夭夭，注册表里面病毒的自启动项也被删除，但是，在msconfig启动项配置界面，仍然可以看到病毒程序的名字，看着就很不顺眼！如果不想看到病毒留下的踪迹，可以进入注册表，打开以下键项：HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Shared Tools\ MSConfig \ startup folder HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Shared Tools \ MSConfig \ startupreg 找到病毒创建的键项，删除。这样，在msconfig里面就再也看不到病毒的纪念品了！如果有其他程序的自启动项，不想让它出现在msconfig界面里面，也可以用这种方法删除。当然，msconfig的用处绝不止这些。比如：可以用来配置系统启动选项，在BOOT.INI选项卡下，勾选SAFEBOOT后，可以让系统以安全模式启动，SAFEBOOT后面还有几个选项，比如：NETWORK选项对应的是带网络的安全模式。在BOOT.INI选项卡下，“高级选项”里面还可以设置CPU和内存的使用数量，比如：勾选MAXMEM选项，可以设置系统可以使用的最大内存数量，不过，只允许降低上限，不许提高上限。如果要恢复原样，只需把MAXMEM前面的√取消，确定，重启后就恢复了。对于多核CPU或者多个CPU的系统来说，可以限制CPU使用数量，同样，只许降低CPU数量，不可增加CPU数量，如果要恢复，取消NUMPROC前面的“√”即可。我也弄不明白微软为什么要开发这个功能，因为大家都在追求多核CPU和大容量内存，很少有人觉得CPU太强或者内存太多需要限制。可能是有些很古老的应用程序，在古董级别的电脑里面寒碜惯了，突然跑到高配置的大户人家后，就觉得无所适从，因此微软想照顾一下那些老程序！另外，对于那些喜欢运行各种评测工具，对系统做各种对比测评的用户，这个功能倒是很符合他们胃口的，这样就不用拆机箱更换CPU、拔内存条了！对于CPU温度高、系统不稳定的场合，如果一时没有合适的散热器可更换，也可以暂时让多核CPU工作于单核模式下，提高系统的稳定性。msconfig还有一个功能很有用。点击“服务”标签，就可以看到系统里面所有的服务程序，就是运行services.msc 后看到的服务程序。在“服务”选项卡下，有一个选项“隐藏所有Microsoft服务”，在这个选项前打“√”后，就剩下少数几个由其他应用程序或病毒添加进来的服务项，从而，利用这个功能，可以快速找出那些伪装成系统服务启动的病毒或木马，比如灰鸽子木马。不管是正常程序的服务项，还是可疑的病毒服务项，只要不是系统服务项，都可以理直气壮地禁止它启动！这样对于减少系统进程、提高系统反应速度都有好处，特别是低配置电脑。(注意，杀毒软件一般都会在服务程序里面添加好几个服务项，如果禁用了，杀毒软件的功能会受到一些限制）。

Linux系统安全系统配置详解

Linux系统安全配置详解 1.为LILO增加开机口令 在/etc/lilo.conf文件中增加选项，从而使LILO启动时要求输入口令，以加强系统的安全性。具体设置如下： boot=/dev/hdamap=/boot/mapinstall=/boot/boot.btime-out=60 #等待1分钟promptdefault=linuxpassword=#口令设置image=/boot/vmlinuz-2.2.14-12label=linux initrd=/boot/initrd-2.2.14-12.img root=/dev/hda6 read-only 此时需注意，由于在LILO中口令是以明码方式存放的，所以还需要将 lilo.conf的文件属性设置为只有root可以读写。 # chmod 600 /etc/lilo.conf 当然，还需要进行如下设置，使lilo.conf的修改生效。 # /sbin/lilo -v 2.设置口令最小长度和 最短使用时间 口令是系统中认证用户的主要手段，系统安装时默认的口令最小长度通常为5，但为保证口令不易被猜测攻击，可增加口令的最小长度，至少等于8。为此，需修改文件/etc/login.defs 中参数PASS_MIN_LEN。同时应限制口令使用时间，保证定期更换口令，建议修改参数PASS_MIN_DAYS。 3.用户超时注销 如果用户离开时忘记注销账户，则可能给系统安全带来隐患。可修改/etc/profile文件，保证账户在一段时间没有操作后，自动从系统注销。 编辑文件/etc/profile，在“HISTFILESIZE=”行的下一行增加如下一行： TMOUT=600 则所有用户将在10分钟无操作后自动注销。 4.禁止访问重要文件