FreeBSD安全级别

FreeBSD有个比较强的功能，就是能够定义系统内核的安全等级，主要是为了防止内核后门专门定制的，能通过不同的等级限制对内核的访问和对防火墙等的修改。我们首先要开启系统的安全等级，然后设定安全等级，我们打开 /etc/rc.conf：
# ee /etc/rc.conf
加入下面的内容：
kern_securelevel_enable="YES"
kern_securelevel="-1"
第一句是打开安全等级，第二句是定义等级。它一共五个等级，下面说说不同之处。
* kern_securelevel -1：这是系统默认级别，没有提供任何内核的保护错误；
* kern_securelevel  0：基本上作用不多，当你的系统刚启动就是0级别的，当进入多用户模式的时候就自动变成1级了。
* kern_securelevel  1：在这个级别上，有如下几个限制：
a. 不能通过kldload或者kldunload加载或者卸载可加载内核模块；
b. 应用程序不能通过/dev/mem或者/dev/kmem直接写内存；
c. 不能直接往已经装在(mounted)的磁盘写东西，也就是不能格式化磁盘，但是可以通过标准的内核接口执行写操作；
d. 不能启动X-windows，同时不能使用chflags来修改文件属性；
* kern_securelevel  2：在 1 级别的基础上还不能写没装载的磁盘，而且不能在1秒之内制造多次警告，这个是防止DoS控制台的；
* kern_securelevel  3：在 2 级别的级别上不允许修改IPFW防火墙的规则。
如果你已经装了防火墙，并且把规则设好了，不轻易改动，那么建议使用3级别，如果你没有装防火墙，而且还准备装防火墙的话，不建议使用。我们这里推荐使用 2 级别，能够避免比较多对内核攻击。


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/11818/showart_427827.html

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有