Chinaunix首页 | 论坛 | 博客

NEOLKC 的学习与生活neolkc.blog.chinaunix.net

首页 |  博文目录 |  关于我

neolkc

  • 博客访问: 952810
  • 博文数量: 102
  • 博客积分: 8134
  • 博客等级: 中将
  • 技术积分: 1072
  • 用 户 组: 普通用户
  • 注册时间: 2007-11-21 15:30
文章分类

全部博文(102)

文章存档

2019年(1)

2018年(1)

2014年(1)

2013年(2)

2012年(1)

2011年(2)

2010年(5)

2009年(9)

2008年(10)

2007年(70)

我的朋友
最近访客
推荐博文
相关博文
FreeBSD安全级别

分类: BSD

2007-11-21 17:27:24

FreeBSD有个比较强的功能,就是能够定义系统内核的安全等级,主要是为了防止内核后门专门定制的,能通过不同的等级限制对内核的访问和对防火墙等的修改。我们首先要开启系统的安全等级,然后设定安全等级,我们打开 /etc/rc.conf:

# ee /etc/rc.conf

加入下面的内容:

kern_securelevel_enable="YES"

kern_securelevel="-1"

第一句是打开安全等级,第二句是定义等级。它一共五个等级,下面说说不同之处。

* kern_securelevel -1:这是系统默认级别,没有提供任何内核的保护错误;

* kern_securelevel  0:基本上作用不多,当你的系统刚启动就是0级别的,当进入多用户模式的时候就自动变成1级了。

* kern_securelevel  1:在这个级别上,有如下几个限制:

a. 不能通过kldload或者kldunload加载或者卸载可加载内核模块;

b. 应用程序不能通过/dev/mem或者/dev/kmem直接写内存;

c. 不能直接往已经装在(mounted)的磁盘写东西,也就是不能格式化磁盘,但是可以通过标准的内核接口执行写操作;

d. 不能启动X-windows,同时不能使用chflags来修改文件属性;

* kern_securelevel  2:在 1 级别的基础上还不能写没装载的磁盘,而且不能在1秒之内制造多次警告,这个是防止DoS控制台的;

* kern_securelevel  3:在 2 级别的级别上不允许修改IPFW防火墙的规则。

如果你已经装了防火墙,并且把规则设好了,不轻易改动,那么建议使用3级别,如果你没有装防火墙,而且还准备装防火墙的话,不建议使用。我们这里推荐使用 2 级别,能够避免比较多对内核攻击。
阅读(801) | 评论(0) | 转发(0) |
0

上一篇:FreeBSD Portupgrade软件更新中文指南

下一篇:FreeBSD ipfw 防火墙基础指南

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6