Chinaunix首页 | 论坛 | 博客
  • 博客访问: 938731
  • 博文数量: 102
  • 博客积分: 8134
  • 博客等级: 中将
  • 技术积分: 1072
  • 用 户 组: 普通用户
  • 注册时间: 2007-11-21 15:30
文章分类

全部博文(102)

文章存档

2019年(1)

2018年(1)

2014年(1)

2013年(2)

2012年(1)

2011年(2)

2010年(5)

2009年(9)

2008年(10)

2007年(70)

分类: BSD

2007-11-21 17:27:24

FreeBSD有个比较强的功能,就是能够定义系统内核的安全等级,主要是为了防止内核后门专门定制的,能通过不同的等级限制对内核的访问和对防火墙等的修改。我们首先要开启系统的安全等级,然后设定安全等级,我们打开 /etc/rc.conf:

# ee /etc/rc.conf

加入下面的内容:

kern_securelevel_enable="YES"

kern_securelevel="-1"

第一句是打开安全等级,第二句是定义等级。它一共五个等级,下面说说不同之处。

* kern_securelevel -1:这是系统默认级别,没有提供任何内核的保护错误;

* kern_securelevel  0:基本上作用不多,当你的系统刚启动就是0级别的,当进入多用户模式的时候就自动变成1级了。

* kern_securelevel  1:在这个级别上,有如下几个限制:

a. 不能通过kldload或者kldunload加载或者卸载可加载内核模块;

b. 应用程序不能通过/dev/mem或者/dev/kmem直接写内存;

c. 不能直接往已经装在(mounted)的磁盘写东西,也就是不能格式化磁盘,但是可以通过标准的内核接口执行写操作;

d. 不能启动X-windows,同时不能使用chflags来修改文件属性;

* kern_securelevel  2:在 1 级别的基础上还不能写没装载的磁盘,而且不能在1秒之内制造多次警告,这个是防止DoS控制台的;

* kern_securelevel  3:在 2 级别的级别上不允许修改IPFW防火墙的规则。

如果你已经装了防火墙,并且把规则设好了,不轻易改动,那么建议使用3级别,如果你没有装防火墙,而且还准备装防火墙的话,不建议使用。我们这里推荐使用 2 级别,能够避免比较多对内核攻击。
阅读(757) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~