The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Описание системных переменных sysctl

05.05.2005 09:30

Интересный проект по созданию базы описаний назначения системных sysctl-переменных для нескольких операционных систем.

На сайте есть возможность добавления новых описаний, поиск по имеющимся и список рассылки.

На текущий момент представлены sysctl для FreeBSD:

  • security.bsd.* - управление моделью безопасности
    • security.bsd.see_other_uids, security.bsd.see_other_gids - если 1, то пользователи (группы) могут видеть чужие процессы, сокеты и т.д. через ps, netstat, procfs;
    • security.bsd.conservative_signals - если 1, то некоторые сигналы запрещается посылать setuid/setgid процессам;
    • security.bsd.unprivileged_proc_debug - если 1, то пользовательский процесс можно отлаживать через ptrace, procfs, ktrace и т.д..
    • security.bsd.unprivileged_read_msgbuf - если 1, то пользовательский процесс может читать из системного консольного буфера сообщений;
    • security.bsd.hardlink_check_uid, security.bsd.hardlink_check_gid - если 1, то пользователи могут делать hardlink только на собственные файлы;
    • security.bsd.unprivileged_get_quota - если 1, пользователи могут просматривать информацию по установленным для них квотам.
  • security.jail.* - ограничения для jail
    • security.jail.set_hostname_allowed - если 1, то внутри jail можно поменять имя хоста;
    • security.jail.socket_unixiproute_only - если 1 , то сокет в jail можно создать только для доменов PF_LOCAL, PF_INET или PF_ROUTE, иначе, возвращается ошибка;
    • security.jail.sysvipc_allowed - если 1, то то в jail можно получить доступ к глобальному System V IPC;
    • security.jail.getfsstatroot_only - если 1, то в jail можно получить информацию (df)только о той файловой системе на которой создан jail;
    • security.jail.allow_raw_sockets - если 1, то в jail можно создавать raw sockets;
    • security.jail.chflags_allow - если 1, то процессы в jail могут модифицировать флаги ФС.
  • net.link.ether.bridge_ipfw - если 1 и ядро собрано с опциями IPFIREWALL и BRIDGE, то позволяет использовать ipfw для трафика внутри бриджа;
  • net.link.ether.ipfw - если 1, то ipfw2 позволяет фильтровать по MAC адресам;
  • kern.geom.debugflags, для работы boot0cfg и подобных утилит нужно установить в 16;
  • net.inet.tcp.icmp_may_rst, если 1, то TCP соединения со статусом SYN_SENT, могут быть оборваны посредством сообщения "ICMP unreachable";
  • net.inet.ip.redirect - если 0, то нет реакции на ICMP REDIRECT пакеты;
  • net.inet.icmp.log_redirect - если 1, то все ICMP REDIRECT пакеты отражаются в логе;
  • net.inet.icmp.drop_redirect - если 1, то ICMP REDIRECT пакеты игнорируются;
  • net.inet.tcp.icmp_may_rst - если 1, то игнорируются ICMP сообщения от блокировки пакета по пути;
  • security.bsd.see_other_uids - если 0, пользователь может видеть только свои процессы;
  • net.inet.tcp.log_in_vain, net.inet.udp.log_in_vain - если 1, отражаем в логе попытки соединения к портам, для которых нет активных сервисов;
  • net.inet.tcp.blackhole - если 1, то SYN пакеты пришедшие на порты для которых нет активных сервисов, остаются без RST ответа, если 2, то на любые пакеты нет ответа (затрудняет сканирования портов);
  • kern.ipc.nmbclusters - если по "netstat -m" mbufs в "peak" приближается к "max", то число сетевых буферов нужно увеличить (kern.ipc.nmbclusters=N в /boot/locader.conf);
  • net.inet.ip.forwarding - если 1, то машина может форвадить пакеты между интерфейсами;
  • net.inet.icmp.bmcastecho - для защиты от SMURF атак (ICMP echo request на broadcast адрес) нудно поставить 0;
  • net.inet.tcp.sack.enable - если 1, то включен TCP Selective Acknowledgements (SACK, RFC 2018) позволяющий увеличить производительность системы в ситуации большой потери пакетов;

    1. Главная ссылка к новости (http://sysctl.enderunix.org/...)
    2. FreeBSD 4 Sysctl Mechanism
    3. Handbook: Настройка с помощью sysctl
    4. Переменные Sysctl для оптимизации дисков
    5. Ограничения на Файлы/Процессы через sysctl
    Автор новости: butcher
    Лицензия: CC BY 3.0
    Короткая ссылка: https://opennet.ru/5424-sysctl
    Ключевые слова: sysctl, freebsd
    При перепечатке указание ссылки на opennet.ru обязательно


    Обсуждение (12) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, toor99 (ok), 11:02, 05/05/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Давно пора. Авторам респект.
     
  • 1.2, Moralez (??), 11:09, 05/05/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    пока что не лучше того, что говорит: sysctl -d :(
    вот бы коммиттера туда заманить, чтобы всё рассказал... но не верится (иначе бы и в sysctl -d это было) :(
     
     
  • 2.3, Банзай (??), 13:20, 05/05/2005 [^] [^^] [^^^] [ответить]  
  • +/
    объема комментирования исходников.
     

  • 1.4, edwin (??), 13:27, 05/05/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Автору низкий поклон за труд.
    Этот проэкт будет очень полезен админам.
     
  • 1.5, Аноним (5), 13:54, 05/05/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    будет ли описание sysctl для Linux?
     
     
  • 2.6, MVictorL (ok), 14:07, 05/05/2005 [^] [^^] [^^^] [ответить]  
  • +/
    sysctl -A

    Интуитивно понятно... :-)

     
  • 2.7, uldus (ok), 14:39, 05/05/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >будет ли описание sysctl для Linux?

    /usr/src/linux/Documentation/sysctl/
    /usr/src/linux/Documentation/filesystems/proc.txt

     
     
  • 3.9, HFSC (ok), 15:27, 05/05/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Out-of-date
     

  • 1.10, Аноним (-), 18:16, 05/05/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Есть sysctl -ad. Полезной может быть информация о переменных для которых в -d нет описания, а также подробные описания поведения системы при изменении некоторых переменных, когда оно неочевидно. Пока, информация представлена на уровне перевода sysctl -ad через какой-нибудь убогий prompt и абсолютно бесполезна.
     
     
  • 2.14, klalafuda (?), 08:17, 06/05/2005 [^] [^^] [^^^] [ответить]  
  • +/

    нууу, как сказать..

    $ sysctl -ad | wc -l
          21
    $ sysctl -a | wc -l  
         240

    не очень густо, правда? :)

    // wbr

     
     
  • 3.17, Аноним (-), 10:26, 06/05/2005 [^] [^^] [^^^] [ответить]  
  • +/
    У вас неправильный sysctl.

    % sysctl -ad | wc -l
        1169
    % sysctl -a | wc -l
        1191

    Они не равны только потому, что некоторые переменные многострочные.
    Другое дело, что (без описаний):

    % sysctl -ad | grep -v ': $' | wc -l
         356

    Так что надо дописать описания к этим sysctl, и закоммитить. А не заниматься никому не нужным кривым переводом sysctl'й при помощи prompt'а и прочей пионерией.

     

  • 1.15, edwin (??), 09:27, 06/05/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Насчет sysctl -ad
    далеко не ко всем переменным есть комментарии
    К примеру:
    vm.stats.vm.v_vnodepgsin: Vnodein pages
    vm.stats.vm.v_vnodepgsout: Vnodeout pages
    vm.stats.vm.v_intrans: In transit page blocking
    vm.stats.vm.v_reactivated: Reactivated pages
    vm.stats.vm.v_pdwakeups: Pagedaemon wakeups
    vm.stats.vm.v_pdpages: Pagedaemon page scans
    vm.stats.vm.v_dfree:
    vm.stats.vm.v_pfree:
    vm.stats.vm.v_tfree:
    vm.stats.vm.v_page_size:
    vm.stats.vm.v_page_count:
    vm.stats.vm.v_free_reserved:
    vm.stats.vm.v_free_target:
    vm.stats.vm.v_free_min:
    vm.stats.vm.v_free_count:
    vm.stats.vm.v_wire_count:
    vm.stats.vm.v_active_count:
    vm.stats.vm.v_inactive_target:
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру