- Главная... arrow - Статьи... arrow | - BSD arrow sysctl переменные для FreeBSD

#Записки о Unix/Linux/BSD/Solaris

sysctl переменные для FreeBSD
Автор H@wk!   
06:04:2009 г.

sysctl - это интерфейс, позволяющий вам вносить изменения в работающую систему FreeBSD. Эти изменения касаются многих опций стека TCP/IP и виртуальной памяти; опытный системный администратор может использовать их для существенного увеличения производительности. Более пяти тысяч системных переменных могут быть прочитаны и записаны с помощью sysctl.

По своей сути, sysctl выполняет две функции: чтение и изменение настроек системы.

Для просмотра всех доступных для чтения переменных:

% sysctl -a


handbook

Далее привожу список некоторых переменных sysctl:

----------------------------------------------------------------------------
security.bsd.* - управление моделью безопасности

----------------------------------------------------------------------------

security.bsd.see_other_uids, security.bsd.see_other_gids

- если 1, то пользователи (группы) могут видеть чужие процессы, сокеты и т.д. через ps, netstat, procfs;

security.bsd.conservative_signals

- если 1, то некоторые сигналы запрещается посылать setuid/setgid процессам;

security.bsd.unprivileged_proc_debug

- если 1, то пользовательский процесс можно отлаживать через ptrace, procfs, ktrace и т.д..

security.bsd.unprivileged_read_msgbuf

- если 1, то пользовательский процесс может читать из системного консольного буфера сообщений;

security.bsd.hardlink_check_uid, security.bsd.hardlink_check_gid

- если 1, то пользователи могут делать hardlink только на собственные файлы;

security.bsd.unprivileged_get_quota

- если 1, пользователи могут просматривать информацию по установленным для них квотам.

----------------------------------------------------------------------------
security.jail.* - ограничения для jail
----------------------------------------------------------------------------

security.jail.set_hostname_allowed

- если 1, то внутри jail можно поменять имя хоста;

security.jail.socket_unixiproute_only

- если 1 , то сокет в jail можно создать только для доменов PF_LOCAL, PF_INET или PF_ROUTE, иначе, возвращается ошибка;

security.jail.sysvipc_allowed

- если 1, то то в jail можно получить доступ к глобальному System V IPC;

security.jail.getfsstatroot_only

- если 1, то в jail можно получить информацию (df)только о той файловой системе на которой создан jail;

security.jail.allow_raw_sockets

- если 1, то в jail можно создавать raw sockets;

security.jail.chflags_allow

- если 1, то процессы в jail могут модифицировать флаги ФС.

----------------------------------------------------------------------------

net.link.ether.bridge_ipfw

- если 1 и ядро собрано с опциями IPFIREWALL и BRIDGE, то позволяет использовать ipfw для трафика внутри бриджа;

net.link.ether.ipfw

- если 1, то ipfw2 позволяет фильтровать по MAC адресам;

kern.geom.debugflags

, для работы boot0cfg и подобных утилит нужно установить в 16;

net.inet.tcp.icmp_may_rst

, если 1, то TCP соединения со статусом SYN_SENT, могут быть оборваны посредством сообщения "ICMP unreachable";

net.inet.ip.redirect

- если 0, то нет реакции на ICMP REDIRECT пакеты;

net.inet.icmp.log_redirect

- если 1, то все ICMP REDIRECT пакеты отражаются в логе;

net.inet.icmp.drop_redirect

- если 1, то ICMP REDIRECT пакеты игнорируются;

net.inet.tcp.icmp_may_rst

- если 1, то игнорируются ICMP сообщения от блокировки пакета по пути;

security.bsd.see_other_uids

- если 0, пользователь может видеть только свои процессы;

net.inet.tcp.log_in_vain, net.inet.udp.log_in_vain

- если 1, отражаем в логе попытки соединения к портам, для которых нет активных сервисов;

net.inet.tcp.blackhole

- если 1, то SYN пакеты пришедшие на порты для которых нет активных сервисов, остаются без RST ответа, если 2, то на любые пакеты нет ответа (затрудняет сканирования портов);

kern.ipc.nmbclusters

- если по "netstat -m" mbufs в "peak" приближается к "max", то число сетевых буферов нужно увеличить (kern.ipc.nmbclusters=N в /boot/locader.conf);

net.inet.ip.forwarding

- если 1, то машина может форвадить пакеты между интерфейсами;

net.inet.icmp.bmcastecho

- для защиты от SMURF атак (ICMP echo request на broadcast адрес) нудно поставить 0;

net.inet.tcp.sack.enable

- если 1, то включен TCP Selective Acknowledgements (SACK, RFC 2018) позволяющий увеличить производительность системы в ситуации большой потери пакетов;

net.inet.ip.fw.autoinc_step

- задается число на которое увеличивается счетчик при добавления нового ipfw правила, когда явно не указан его номер;

net.inet.ip.fw.debug

- если 1, то в логи помещается дополнительная отладочная информация по работе ipfw;

net.inet.ip.fw.verbose

- если 0, то не отображать работу "log" правил в syslog;

net.inet.ip.fw.one_pass

- если 1, то просмотр правил ipfw прекращается сразу после подпадание под queue или pipe правило. Если 0, то продолжается обработка далее идущих правил;

vfs.usermount

- если 1, то непривилегированный пользователь может монтировать и размонтировать FS, если для устройства выставлены "rw" права и пользователь является владельцем точки монтирования.

PS: Значения переменных sysctl, можно посмотреть:
[1] [2] [3]


//H@wk!


Добавить коментарий
Имя:
E-mail
Коментарий:



Код:* Code


Просмотров: 5080

  Ваш коментарий будет первым
RSS комментарии
 
« FreeBSD: Limiting closed port RST response from 214 to 200 packets per second   FreeBSD обновляем порты »

#COMMENT

Блокируем Ylmf-pc на Exim, Bru...
Благодарю за кучу уцелевших нервов:) постоянно приходилось б...
30/05/17 00:02 More...
By Mus

Установка даты и времени в кон...
Спасибо
12/05/17 17:49 More...
By dushka

Раскладка в rdesktop
Огромное спасибо!
28/04/17 14:01 More...
By Виктор

Аутентификация средствами Apac...
подскажите как писать пороль цифры ?пж! :sigh
28/03/17 13:06 More...
By Лиза

Logwatch - мониторинг журналов...
Отлично, очень не хватало. Автору большое спасибо, пиши еще.
25/01/17 02:44 More...
By Gregg