kernel Security Level-atyu30-ChinaUnix博客

OpenBSD

首页　| 　博文目录　| 　关于我

atyu30

博客访问： 3335262
博文数量： 815
博客积分： 12898
博客等级：上将
技术积分： 7883
用户组：普通用户
注册时间： 2006-12-25 09:57

文章分类

全部博文（815）

YY（10）
RHEL（15）
OpenBSD（10）
Oracle（27）
Database（107）
Linux（76）
虚拟化（14）
OpenBSD_03（56）
Leisure（151）
LDAP（21）
OpenBSD_02（90）
OpenBSD_01（91）
Mail（60）
Script（76）
未分配的博文（11）

文章存档

2014年（1）

2011年（46）

2010年（192）

2009年（121）

2008年（70）

2007年（385）

我的朋友

相关博文

kernel Security Level

分类： BSD

2007-07-24 12:48:57

FreeBSD 中有所谓的 Security Level，它掌控了系统核心的行为运作。只有超级使用者可以使用指令提高 Secruity Level，但不能降低它。如果要降低它必须在 rc.conf 中设定，并重开机。以下为各 Secruity Level 的意义：

-1：永远不安全模式。这是默认值，如果设为 -1，它将永远以 level 0 的模式执行。
0：不安全模式。使用者或 root 可以使用 chflags 来移除「不可更动 ( immutable)」及「只能附加 (append-only)」的 flags。所有的装置只能依其权限来存取。
1：安全模式。不可以移除「不可更动 ( immutable)」及「只能附加 (append-only)」的 flags。不可以手动加载或移除 LKM，使用, /dev/mem, and /dev/kmem 只能为只读，且不能 newfs 已挂上的档案系统。
2：高度安全模式。除了和安全模式同样的限制外，不管硬盘是否挂上，都不可以 newfs。另外，kernel time 的改变限制在一秒内，如果超过，会记录 "Time adjustment clamped to +1 second"。
3：网络安全模式。除了和安全模式同样的限制外，还有 IP 封包过滤的规则 (参考 ipfw 及 ipfirewall)，而且不可以调整 dummynet 的设定。

我们可以使用 sysctl 来显示或设定 Security Level：

# sysctl kern.securelevel

如果要将 Security Level 设为 1：

# sysctl -w kern.securelevel=1

当我们将 Security Level 设为 1 以上时，我们会发现没有办法安装新的 kernel (因为不能移除 schg flag)，也没有办法使用 big5con 、X Window 等软件。如果我们的 FreeBSD 只作为服务器，而不使用 big5con 或 X Window 的话，可以将 Security Level 的值调高一点。

如果要在开机时设定 Security Level，可以在 /etc/rc.conf 中以下面二行来设定：

kern_securelevel_enable="YES" # 是否启动 Security Level

kern_securelevel="1" # level 从 -1 到 3

阅读(1944) | 评论(1) | 转发(0) |

上一篇：刻录

下一篇：网络函数

给主人留下些什么吧！~~

chinaunix网友2008-05-09 17:02:45

很不错，通俗易懂

回复 | 举报

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6