sysctl.conf加强freebsd安全
2009-05-13 11:39:48来源:未知 阅读 ()
我贴一下自己的sysctl.conf,应付一般的worm没问题,但对特殊的DOS,没实验过,请参考: net.inet.tcp.sendspace=65536
net.inet.tcp.recvspace=65536
kern.ipc.somaxconn=4096
kern.ipc.maxsockbuf=2097152
net.inet.icmp.drop_redirect=1
net.inet.icmp.log_redirect=1
net.inet.ip.redirect=0
net.inet6.ip6.redirect=0
net.inet.icmp.icmplim=100
net.inet.tcp.always_keepalive=1
net.inet.tcp.delayed_ack=1
net.inet.udp.sendspace=65535
net.inet.udp.maxdgram=65535
net.local.stream.sendspace=65535
kern.maxfiles=65536
kern.securelevel=0
net.inet.tcp.log_in_vain=1
net.inet.udp.log_in_vain=1
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
net.inet.udp.checksum=1
net.inet.icmp.bmcastecho=0
######this new add 20041021###########
net.inet.tcp.recvspace=65535
net.inet.tcp.sendspace=65535
net.inet.ip.forwarding=1
net.inet.tcp.strict_rfc1948=1
########for sys flood attack######
net.inet.tcp.msl=7500
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
net.inet.icmp.icmplim=50
kern.ipc.somaxconn=32768
net.inet.tcp.syncookies=1
原文
http://bbs.chinaunix.net/viewthread.php?tid=1029881&extra=page%3D1%26amp%3Bfilter%3Ddigest
网上关于sysctl.conf的优化方案有各种版本,大多都是抄来抄去的,让新人看了很迷茫。为解决此问题,经过两天的整理,查了N多资料,将大家常用的总结如下,很多默认的不需要修改的暂未涉及,今后将逐步把所有的项目都有个翻译、讲解、修改建议,如有修改,将以此文为准,其他地方的内容,本人不负责更新。因此转载请注明链接地址:
http://www.bsdlover.cn/security/2007/1216/article_8.html
如果您有补充或修订意见,请于本文后评论或邮件联系
cujxtm@gmail.com
,万分感谢!
###################
所有rfc相关的选项都是默认启用的,因此网上的那些还自己写rfc支持的都可以扔掉了:)
###############################
net.inet.ip.sourceroute=0
net.inet.ip.accept_sourceroute=0
#############################
通过源路由,攻击者可以尝试到达内部IP地址 --包括RFC1918中的地址,所以
不接受源路由信息包可以防止你的内部网络被探测。
#################################
net.inet.tcp.drop_synfin=1
###################################
安全参数,编译内核的时候加了options TCP_DROP_SYNFIN才可以用,可以阻止某些OS探测。
##################################
kern.maxvnodes=8446
#################
http://www.bsdlover.cn
#########
vnode 是对文件或目录的一种内部表达。 因此, 增加可以被操作系统利用的 vnode 数量将降低磁盘的 I/O。
一般而言, 这是由操作系统自行完成的,也不需要加以修改。但在某些时候磁盘 I/O 会成为瓶颈,
而系统的 vnode 不足, 则这一配置应被增加。此时需要考虑是非活跃和空闲内存的数量。
要查看当前在用的 vnode 数量:
# sysctl vfs.numvnodes
vfs.numvnodes: 91349
要查看最大可用的 vnode 数量:
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
上一篇:BSD启动时间
下一篇:用一张网卡pppoe拨号共享上网
- netbsd启动gnome失败! 2009-05-13
- 请问在FreeBSD6.2下如何编写监控脚本!!!!!!!!!!! 2009-05-13
- 再次记录FreeBSD7.1中安装Acrobat reader8问题 2009-05-13
- 让Apache上传不安全-php.rar 2009-05-13
- 【转载】freebsd sysctl.conf配置说明 2009-05-13
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
