Ниже в таблице приведено описание некоторых параметров sysctl. По мере возможности таблица будет обновляться (дополняться) новыми параметрами.
Наименование |
Тип данных |
Изменяемый |
Описание |
hw.acpi.disable_on_reboot |
целочисленный |
да |
выключать ACPI при перезагрузке/выключении операционной системы. |
hw.machine |
строковый |
нет |
класс компьютера |
hw.model |
строковый |
нет |
модель процессора |
hw.ncpu |
целочисленный |
нет |
количество активных процессоров/ядер |
hw.byteorder |
целочисленный |
нет |
порядок байт, используемый в системе |
hw.physmem |
целочисленный |
нет |
объем физической памяти в байтах |
hw.usermem |
целочисленный |
нет |
объем физической памяти, доступный для использования |
hw.pagesize |
целочисленный |
нет |
размер страницы памяти в байтах |
hw.floatingpoint |
целочисленный |
нет |
наличие/отсутствие блока FPU |
hw.machine_arch |
строковый |
нет |
архитектура системы |
kern.ostype |
строковый |
нет |
тип операционной системы |
kern.osrelease |
строковый |
нет |
релиз операционной системы |
kern.osrevision |
целочисленный |
нет |
ревизия операционной системы |
kern.version |
строковый |
нет |
версия операционной системы |
kern.maxvnodes |
целочисленный |
да |
максимальное количество vnodes |
kern.maxproc |
целочисленный |
нет |
максимальное количество одновременно работающих процессов |
kern.maxprocperuid |
целочисленный |
да |
максимальное количество одновременно запущенных процессов, разрешенное пользователю |
kern.maxfiles |
целочисленный |
да |
максимальное количество дескрипторов открытых файлов. |
kern.maxfilesperproc |
целочисленный |
да |
максимальное количество одновременно открытых файлов на процесс |
kern.securelevel |
целочисленный |
да (только на повышение) |
устанавливает уровень безопасности в системе. Любой процесс с правами суперпользователя может поднять уровень безопасности, но не существует такого процесса, который мог бы опустить его (только перезагрузка). Возможные значения:
- -1 — преимущественно небезопасный режим. Система всегда запускается с данным уровнем безопасности. Значение по умолчанию.
- 0 — небезопасный режим. С данным уровнем безопасности возможно снятие immutable (флаг неизменности) и append-only флагов, а также возможен доступ ко всем устройствам в рамках прав доступа к ним.
- 1 — безопасный режим. С данным уровнем безопасности: невозможно снятие системных immutable (флаг неизменности) и append-only флагов; невозможен прямой доступ (на запись) к подмонтированным (подключенным) блочным устройствам, /dev/mem и /dev/kmem; ограничен доступ к устройству /dev/io (если присутствует в системе); запрещена загрузка/выгрузка модулей ядра.
- 2 — очень безопасный режим. Включает ограничения первого уровня безопасности с дополнительным ограничением следующего: блочные устройства недоступны для прямого доступа (на запись) (кроме ранее, то есть до установки данного уровня безопасности, смонтированных командой mount), независимо от того - смонтированы они или нет; невозможно подмонтировать или отмонтировать устройства в системе. Дополнительно вводится ограничение на смену системного времени более чем на одну секунду в любую сторону (при фиксировании системой попытки смены времени более чем на одну секунду в лог будет записано следующее: "Time adjustment clamped to +1 second").
- 3 — режим сетевой безопасности (драконий режим). Включает ограничения второго уровня безопасности с дополнительным ограничением следующего: невозможно изменить правила любого фаервола; невозможно изменить параметры dummynet.
|
kern.timecounter.hardware |
строковый |
да |
используемый аппаратный таймер (доступные аппаратные таймеры можно просмотреть, например, такой командой: sysctl -a | grep timer). |
kern.features.ufs_acl |
целочисленный |
нет |
значение 1 выставляется в случае, если ядро поддерживает ACL для UFS |
kern.features.ufs_gjournal |
целочисленный |
нет |
значение 1 выставляется в случае, если ядро поддерживает журналирование через GEOM (gjournal) для UFS |
kern.features.ufs_quota |
целочисленный |
нет |
значение 1 выставляется в случае, если ядро поддерживает квоты для UFS |
kern.features.ufs_quota64 |
целочисленный |
нет |
значение 1 выставляется в случае, если ядро поддерживает 64-х битные квоты для UFS |
kern.ipc.somaxconn |
целочисленный |
да |
размер очереди подключений. |
kern.ipc.shmall |
целочисленный |
да |
максимальное количество страниц памяти, доступное для разделяемой памяти (shared memory). |
kern.ipc.shmmax |
целочисленный |
да |
максимальный размер сегмента, который можно выделить в разделяемой памяти (shared memory). |
kern.ipc.semmap |
целочисленный |
да |
максимальное количество записей в таблице семафоров. |
net.inet.tcp.log_in_vain |
целочисленный |
да |
писать в лог информацию о попытках подключения к сетевым портам, на которых не запущен прослушивающий сокет. При значении 1 в лог записываются только SYN пакеты. При значении 2 в лог записываются любые пакеты, пришедшие на закрытый порт. Любое другое значение отключает запись данной информации в лог (по умолчанию 0, то есть выключено) |
net.inet.tcp.msl |
целочисленный |
да |
максимальное время жизни сегмента (MSL) в миллисекундах |
net.inet.tcp.keepinit |
целочисленный |
да |
таймаут в миллисекундах для новых, но не установленных (non-established), TCP соединений |
net.inet.tcp.keepidle |
целочисленный |
да |
время простоя соединения (в миллисекундах), по истечению которого будут посылаться keepalive запросы (если включены) |
net.inet.tcp.keepintvl |
целочисленный |
да |
интервал (в миллисекундах) посылки keepalive запросов удаленным хостам |
net.inet.tcp.keepcnt |
целочисленный |
да |
лимит keepalive запросов, оставшихся без ответа, по исчерпанию которого соединение с удаленным хостом будет разорвано |
net.inet.tcp.always_keepalive |
целочисленный |
да |
при значении 1 подразумевается, что опция SO_KEEPALIVE задана для всех сокетов (если конечно она явно не выключена), то есть ядро ОС будет посылать keepalive запросы на всех соединениях |
net.inet.tcp.path_mtu_discovery |
целочисленный |
да |
включить/отключить поддержку стандарта Path MTU Discovery (RFC 1191) |
net.inet.tcp.blackhole |
целочисленный |
да |
по стандартам, ОС при получении пакета на закрытый порт должна отвечать RST пакетом, что в некоторых случаях не есть хорошо (такой порядок работы наблюдается при значении 0). При значении 1 будут отбрасываться только SYN пакеты, пришедшие на закрытый порт. При значении 2 отбрасываются любые пакеты, пришедшие на закрытый порт (то есть ОС не будет отвечать RST пакетом на подобные запросы). |
net.inet.udp.blackhole |
целочисленный |
да |
при значении 1 будут отбрасываться любые пакеты, пришедшие на закрытый порт |
security.bsd.see_other_uids |
целочисленный |
да |
запрещаем пользователям просматривать чужие процессы. |
security.bsd.see_other_gids |
целочисленный |
да |
запрещаем пользователям из разных групп просматривать чужие процессы. |
net.inet.icmp.drop_redirect |
целочисленный |
да |
отбрасывать ICMP (тип 5 ICMP - redirect) пакеты. |
net.inet.icmp.log_redirect |
целочисленный |
да |
записывать в лог информацию при получении ICMP (тип 5 ICMP - redirect) пакетов. |
net.inet.icmp.icmplim |
целочисленный |
да |
максимальное количество ответов в секунду на ICMP запросы. |
net.inet.ip.random_id |
целочисленный |
да |
использовать непредсказуемые ip_id значения |
net.link.tap.up_on_open |
целочисленный |
да |
включать (не включать), то есть переводить в состояние UP, интерфейс tap при его открытии каким-либо приложением. |
net.inet.ip.portrange.reservedlow |
целочисленный |
да |
нижняя граница диапазона портов, в котором непривилегированным процессам запрещено создавать прослушивающие сокеты. |
net.inet.ip.portrange.reservedhigh |
целочисленный |
да |
верхняя граница диапазона портов, в котором непривилегированным процессам запрещено создавать прослушивающие сокеты. |
security.bsd.hardlink_check_uid |
целочисленный |
да |
разрешить/запретить непривилегированному процессу создавать жесткие ссылки на файлы принадлежащие другим пользователям. |
security.bsd.hardlink_check_gid |
целочисленный |
да |
разрешить/запретить непривилегированному процессу создавать жесткие ссылки на файлы принадлежащие другим группам. |
security.bsd.map_at_zero |
целочисленный |
да |
разрешить/запретить процессам подключать (map,ать) объекты на виртуальный адрес 0 |
security.bsd.unprivileged_mlock |
целочисленный |
да |
разрешить/запретить обычным пользователям системы использовать процедуру mlock |
security.bsd.unprivileged_get_quota |
целочисленный |
да |
разрешить/запретить обычным процессам получать информацию о квотах других пользователей системы |
security.jail.jailed |
целочисленный |
нет |
значение 1 выставляется в случае, если приложение запущено в клетке |
security.jail.sysvipc_allowed |
целочисленный |
да |
разрешить/запретить использование IPC механизмов в клетках (jail) |
security.jail.allow_raw_sockets |
целочисленный |
да |
разрешить/запретить создание "сырых" сокетов в клетках (jail) |
security.jail.chflags_allowed |
целочисленный |
да |
разрешить/запретить в клетках (jail) выполнение команды chflags |
security.jail.mount_allowed |
целочисленный |
да |
разрешить/запретить выполнение команды mount в клетках (jail) |
|
|
|
|
Последние комментарии
Может кто…