|
Интересный проект по созданию базы описаний назначения системных sysctl-переменных для нескольких операционных систем.
На сайте есть возможность добавления новых описаний, поиск по имеющимся и список рассылки.
На текущий момент представлены sysctl для FreeBSD:
security.bsd.* - управление моделью безопасности
- security.bsd.see_other_uids, security.bsd.see_other_gids - если 1, то пользователи (группы) могут видеть чужие процессы, сокеты и т.д. через ps, netstat, procfs;
- security.bsd.conservative_signals - если 1, то некоторые сигналы запрещается посылать setuid/setgid процессам;
- security.bsd.unprivileged_proc_debug - если 1, то пользовательский процесс можно отлаживать через ptrace, procfs, ktrace и т.д..
- security.bsd.unprivileged_read_msgbuf - если 1, то пользовательский процесс может читать из системного консольного буфера сообщений;
- security.bsd.hardlink_check_uid, security.bsd.hardlink_check_gid - если 1, то пользователи могут делать hardlink только на собственные файлы;
- security.bsd.unprivileged_get_quota - если 1, пользователи могут просматривать информацию по установленным для них квотам.
security.jail.* - ограничения для jail
- security.jail.set_hostname_allowed - если 1, то внутри jail можно поменять имя хоста;
- security.jail.socket_unixiproute_only - если 1 , то сокет в jail можно создать только для доменов PF_LOCAL, PF_INET или PF_ROUTE, иначе, возвращается ошибка;
- security.jail.sysvipc_allowed - если 1, то то в jail можно получить доступ к глобальному System V IPC;
- security.jail.getfsstatroot_only - если 1, то в jail можно получить информацию (df)только о той файловой системе на которой создан jail;
- security.jail.allow_raw_sockets - если 1, то в jail можно создавать raw sockets;
- security.jail.chflags_allow - если 1, то процессы в jail могут модифицировать флаги ФС.
net.link.ether.bridge_ipfw - если 1 и ядро собрано с опциями IPFIREWALL и BRIDGE, то позволяет использовать ipfw для трафика внутри бриджа;
net.link.ether.ipfw - если 1, то ipfw2 позволяет фильтровать по MAC адресам;
kern.geom.debugflags, для работы boot0cfg и подобных утилит нужно установить в 16;
net.inet.tcp.icmp_may_rst, если 1, то TCP соединения со статусом SYN_SENT, могут быть оборваны посредством сообщения "ICMP unreachable";
net.inet.ip.redirect - если 0, то нет реакции на ICMP REDIRECT пакеты;
net.inet.icmp.log_redirect - если 1, то все ICMP REDIRECT пакеты отражаются в логе;
net.inet.icmp.drop_redirect - если 1, то ICMP REDIRECT пакеты игнорируются;
net.inet.tcp.icmp_may_rst - если 1, то игнорируются ICMP сообщения от блокировки пакета по пути;
security.bsd.see_other_uids - если 0, пользователь может видеть только свои процессы;
net.inet.tcp.log_in_vain, net.inet.udp.log_in_vain - если 1, отражаем в логе попытки соединения к портам, для которых нет активных сервисов;
net.inet.tcp.blackhole - если 1, то SYN пакеты пришедшие на порты для которых нет активных сервисов, остаются без RST ответа, если 2, то на любые пакеты нет ответа (затрудняет сканирования портов);
kern.ipc.nmbclusters - если по "netstat -m" mbufs в "peak" приближается к "max", то число сетевых буферов нужно увеличить (kern.ipc.nmbclusters=N в /boot/locader.conf);
net.inet.ip.forwarding - если 1, то машина может форвадить пакеты между интерфейсами;
net.inet.icmp.bmcastecho - для защиты от SMURF атак (ICMP echo request на broadcast адрес) нудно поставить 0;
net.inet.tcp.sack.enable - если 1, то включен TCP Selective Acknowledgements (SACK, RFC 2018) позволяющий увеличить производительность системы в ситуации большой потери пакетов;
|
