FreeBSD安全级别

FreeBSD有个比较强的功能，就是能够定义系统内核的安全等级，主要是为了防止内核后门专门定制的，能通过不同的等级限制对内核的访问和对防火墙等的修改。我们首先要开启系统的安全等级，然后设定安全等级，我们打开 /etc/rc.conf：

# ee /etc/rc.conf

加入下面的内容：

kern_securelevel_enable="YES"

kern_securelevel="-1"

第一句是打开安全等级，第二句是定义等级。它一共五个等级，下面说说不同之处。

* kern_securelevel -1：这是系统默认级别，没有提供任何内核的保护错误；

* kern_securelevel  0：基本上作用不多，当你的系统刚启动就是0级别的，当进入多用户模式的时候就自动变成1级了。

* kern_securelevel  1：在这个级别上，有如下几个限制：

a. 不能通过kldload或者kldunload加载或者卸载可加载内核模块；

b. 应用程序不能通过/dev/mem或者/dev/kmem直接写内存；

c. 不能直接往已经装在(mounted)的磁盘写东西，也就是不能格式化磁盘，但是可以通过标准的内核接口执行写操作；

d. 不能启动X-windows，同时不能使用chflags来修改文件属性；

* kern_securelevel  2：在 1 级别的基础上还不能写没装载的磁盘，而且不能在1秒之内制造多次警告，这个是防止DoS控制台的；

* kern_securelevel  3：在 2 级别的级别上不允许修改IPFW防火墙的规则。

如果你已经装了防火墙，并且把规则设好了，不轻易改动，那么建议使用3级别，如果你没有装防火墙，而且还准备装防火墙的话，不建议使用。我们这里推荐使用 2 级别，能够避免比较多对内核攻击。