Некоторые полезные sysctl MIBS


vm.swap_idle_enabled: 0
Переключатель времени исполнения.

vm.swap_idle_threshold1: 2
Переменная времени исполнения.

vm.swap_idle_threshold2: 10
Переменная времени исполнения. Установка параметра swap_idle_enabled предпишет менеджеру виртуальной памяти помещать бездействующие процессы в пространство свопинга быстрее других процессов. Параметр threshold предписывает системе, сколько секунд надо ждать, прежде чем отнести процесс к бездействующим. Значения по умолчанию приемлемы в большинстве случаев; простое включение vm.swap_idle_enabled окажет влияние. Это может помочь некоторым системам остаться наплаву, когда у них очень мало памяти и в своп вытесняются процессы целиком.

vm.exec_map_entries: 16
Переключатель времени загрузки. Максимальное число процессов, которые можно запустить одновременно.

vfs.nfs.diskless_valid: 0
Только для чтения. Если установлено значение 0, эта система работает как обычная система с дисками. Если не 0 — система работает как бездисковая.

vfs.nfs.diskless_rootpath:
Только для чтения. Указывает путь к корневой файловой системе бездисковой машины.

vfs.nfs.diskless_rootaddr:
Только для чтения. Указывает IP-адрес корневой файловой системы бездисковой машины.

vfs.vmiodirenable: 1
Переключатель времени исполнения. Позволяет UFS использовать систему виртуальной памяти для кэширования результатов поиска в каталогах, что позволит увеличить производительность дисков.

vfs.usermount: 0
Переключатель времени исполнения. Если этот параметр установлен, пользователи смогут монтировать файловые системы в собственные точки монтирования. Это дает возможность непривилегированным пользователям монтировать дискеты и компакт-диски. Подробности в главе 8.

vfs.ffs.doasyncfree: 1
Переменная времени исполнения. Указывает UFS файловой системе асинхронно обновлять индексные дескрипторы и косвенные блоки после реорганизации дискового пространства. См. sysctl vfs.ffs.doreallocblks.

vfs.ffs.doreallocblks: 1
Переменная времени исполнения. По умолчанию FreeBSD реорганизует дисковое пространство так, чтобы файлы все время занимали непрерывные области. По сути, UFS постоянно дефрагментирует себя. Установите значение 0, чтобы отключить этот режим.

net.inet.ip.portrange.lowfirst: 1023
net.inet.ip.portrange.lowlast: 600

Переменные времени исполнения. Некоторым программам или протоколам требуется устанавливать исходящие соединения, используя порты с низкими номерами; это указывает, что они запущены привилегированными процессами. Не забывайте, что исходящие соединения TCP/IP используют порты на локальной системе. Кроме того, помните, что порты с номерами от 0 до 1023 могут быть открыты только пользователем root. Если входящее соединение исходит из порта с низким номером, теоретически это может означать, что приложение запущено с правами root. (При уверенности, что машина, которая инициализировала соединение, не была взломана.) FreeBSD использует номера портов между значениями net.inet.ip.portrange.lowfirst (по умолчанию 1023) и net.inet.ip.portrange.lowlast (по умолчанию 600). Я знаю только один случай, когда изменение этих значений имело смысл. Микропрограммы IPMI на некоторых сетевых картах Intel всегда перехватывают пакеты UDP, отправленные в порты 623 и 664. Если у вас используются другие сетевые карты, не изменяйте эти значения.

net.inet.ip.portrange.first: 49152
net.inet.ip.portrange.last: 65535

Переменные времени исполнения. Когда FreeBSD выделяет случайный порт исходящего соединения для непривилегированного процесса, она использует номера портов между net.inet.ip.portrange.first (по умолчанию 49152) и net.inet.ip.portrange.last (по умолчанию 65535).

net.inet.ip.portrange.hifirst: 49152
net.inet.ip.portrange.hilast: 65535

Переменные времени исполнения. Некоторым программам для соединения требуется порт с высоким номером. По умолчанию этот диапазон портов пересекается с портами, указанными net.inet.ip.portrange.first и net.inet.ip.portrange.last, но вы можете разделить эти диапазоны, используя параметры sysctl hifirst и hilast.

net.inet.ip.portrange.reservedhigh: 1023
net.inet.ip.portrange.reservedlow: 0

Переменные времени исполнения. Диапазон портов, которые могут быть открыты только пользователем root.

net.inet.ip.portrange.randomized: 1
Переменная времени исполнения. По умолчанию FreeBSD выделяет случайные номера портов в диапазоне, выделенном для этого типа соединений.

net.inet.ip.portrange.randomcps: 10
Переменная времени исполнения. Максимальное число случайно выделенных портов в течение одной секунды. Если необходимо большее количество портов, то FreeBSD переходит на последовательное выделение портов, чтобы не исчерпать источник случайности в системе.

net.inet.ip.forwarding: 0
Переключатель времени исполнения. Может потребоваться, чтобы система FreeBSD действовала как шлюз, маршрутизатор или брандмауэр. Если этот параметр установлен, система сможет осуществлять перенаправление пакетов.

net.inet.ip.redirect: 1
Переключатель времени исполнения. Если этот параметр установлен, система действует как маршрутизатор или шлюз, посылая пакеты переадресации ICMP другим системам в сети. Этот параметр не оказывает эффекта, если система не выполняет маршрутизацию.

net.inet.ip.ttl: 64
Переменная времени исполнения. Максимальное количество переходов (hops), которые сможет выполнить любой протокол, отличный от ICMP, в сети.

net.inet.ip.sourceroute: 0
Переключатель времени исполнения. Включает и выключает перенаправление пакетов от источника. Маршрутизация от источника в целом считается плохой идеей для открытого Интернета.

net.inet.ip.accept_sourceroute: 0
Переключатель времени исполнения. Позволяет принимать пакеты, маршрутизируемые от их источника. Если вы не знаете, что такое маршрутизация от источника, то, поверьте, лучше обойтись без нее.

net.inet.ip.fastforwarding: 0
Переключатель времени исполнения. Данный параметр sysctl значительно увеличивает скорость прохождения пакетов через маршрутизаторы и шлюзы. Это достигается за счет устранения проверок на наличие тривиальных ошибок в пакетах, а также за счет обхода правил фильтрации пакетов.

net.inet.ip.check_interface: 0
Переключатель времени исполнения. Обеспечит базовую защиту вашего сервера от подделки исходящих IP-адресов в пакетах (spoofing). Это полезно только для маршрутизаторов, шлюзов и брандмауэров. В большинстве случаев такую защиту лучше организовать на уровне брандмауэра.

net.inet.icmp.icmplim: 200
Переменная времени исполнения. Максимальное число запросов ICMP в секунду, на которые ответит система. Для систем, которые обрабатывают огромное количество запросов ICMP (главным образом, те, на которых работают средства обеспечения безопасности и поддержки сети, такие как Nessus, nmap и Nagios), необходимо увеличить это значение. Установите значение 0, чтобы вообще отключить возможность пакетов ICMP.

net.inet.icmp.drop_redirect: 0
Переключатель времени исполнения. Предписывает FreeBSD игнорировать пакеты переадресации ICMP. В большинстве случаев переадресация повышает производительность, но у меня были случаи, когда игнорирование переадресации помогло обеспечить нормальную работу в сети.

net.inet.icmp.log_redirect: 0
Переключатель времени исполнения. Включение этого параметра sysctl заставляет FreeBSD протоколировать любые переадресации пакетов ICMP на консоли. (Вам действительно не нужна консоль для чего-нибудь полезного, не так ли?)

net.inet.icmp.bmcastecho: 0
Переключатель времени исполнения. Позволяет системе отвечать на запросы по широковещательному адресу. Хотя это облегчало поиск неисправностей и было изначально необходимым условием соблюдения стандартов, ответы на широковещательные запросы вызывали проблемы с безопасностью. Поэтому по умолчанию эта возможность отключена на всех современных операционных системах.

net.inet.tcp.rfc1323: 1
net.inet.tcp.rfc3042: 1
net.inet.tcp.rfc3390: 1

Переключатели времени исполнения. Включают различные функции TCP, описанные в соответствующих RFC и достаточно безопасные. Если эти функции включены в вашей системе, некоторые другие очень-очень старые системы не смогут установить соединение с вашей системой, либо соединение окажется очень медленным.

net.inet.tcp.sendspace: 32768
net.inet.tcp.recvspace: 65536

Переменные времени исполнения. Начальный размер буфера по умолчанию для нового TCP/IP соединения. FreeBSD распределяет эти буферы динамически, как того требует пропускная способность удаленного хоста, тем не менее эти значения могут послужить неплохой отправной точкой. Во многих старых руководствах вам могут встретиться советы по изменению этих значений, но в наши дни их лучше не трогать.

net.inet.tcp.log_in_vain: 0
Переключатель времени исполнения. Разрешает протоколирование попыток подключения к любому порту TCP, который не прослушивает ни одна программа. В общедоступном Интернете это может породить огромный объем выводимой информации. Я рекомендую разрешить протоколирование на тестовой системе, только чтобы увидеть, сколько мусора летит из Интернета, и затем отключить его, чтобы снова можно было пользоваться консолью.

net.inet.tcp.blackhole: 0
Переключатель времени исполнения. По умолчанию TCP/IP возвращает код ошибки, когда пытается подключиться к закрытому порту. Это проявляется как ошибка «Connection reset by peer». Если присвоить этому параметру значение 1, то попытки подключения к порту TCP будут блокироваться, но сообщение об ошибке посылаться не будет. Это замедлит сканирование портов и может улучшить безопасность вашей системы. Однако это не может служить заменой фильтрации пакетов!

net.inet.tcp.delayed_ack: 1
Переключатель времени исполнения. Предписывает системе включать в пакеты данных информацию TCP ACK (подтверждение), а не посылать дополнительные пакеты, сигнализирующие о завершении соединения.

net.inet.tcp.recvbuf_auto: 1
Переключатель времени исполнения. Разрешает автоматическое изменение размеров приемного буфера.

net.inet.tcp.recvbuf_inc: 16384
Переменная времени исполнения. Шаг приращения, при автоматическом увеличении приемного буфера.

net.inet.tcp.recvbuf_max: 262144
Переменная времени исполнения. Максимальный размер любого приемного буфера в системе.

net.inet.tcp.slowstart_flightsize: 1
Переменная времени исполнения. Определяет число пакетов, которые можно послать во время медленного старта транзакции TCP в глобальной сети.

net.inet.tcp.local_slowstart_flightsize: 4
Переменная времени исполнения. Определяет число пакетов, которые можно послать во время медленного старта транзакции TCP в локальной сети.

net.inet.tcp.newreno: 1
Переключатель времени исполнения. Включает и выключает восстановление соединений согласно RFC 2582. Эта функция известна как TCP NewReno Algorithm.

net.inet.tcp.tso: 1
Переключатель времени исполнения. Некоторые сетевые аппаратные средства могут обрабатывать сетевые запросы, разбитые на пакеты, размер которых определяется средой передачи. Например, при использовании некоторых сетевых карт FreeBSD может просто вручить сетевой карте большой блок данных и потребовать от нее разбить этот блок на пакеты. Такая возможность позволяет оптимизировать взаимодействие с сетевой картой и уменьшить нагрузку на процессор. Предписывает FreeBSD использовать аппаратную сегментацию, если таковая поддерживается.

net.inet.tcp.sendbuf_auto: 1
Переключатель времени исполнения. Позволяет автоматически изменять размер выходного буфера ТСР-соединения.

net.inet.tcp.sendbuf_inc: 8192
Переменная времени исполнения. Определяет шаг автоматического увеличения или уменьшения размера выходного буфера TCP, когда это необходимо.

net.inet.tcp.sendbuf_max: 262144
Переменная времени исполнения. Максимальный размер одного выходного буфера TCP.

net.inet.tcp.sack.enable: 1
Переключатель времени исполнения. FreeBSD по умолчанию использует выборочное подтверждение АСК, но иногда, на старых хостах, эта особенность может приводить к появлению неприятностей.

net.inet.tcp.do_tcpdrain: 1
Переключатель времени исполнения. Предписывает системе выбрасывать пакеты из повторно собранной очереди, когда в системе ощущается нехватка mbufs. Теперь, когда FreeBSD автоматически распределяет mbufs из памяти ядра, этот параметр стал гораздо менее полезным, чем раньше.

net.inet.tcp.always_keepalive: 1
Переключатель времени исполнения. По умолчанию FreeBSD проверяет все соединения TCP с целью отыскать недействующие. Обычно, если соединение между двумя хостами разрывается, эти сообщения, подтверждающие активность соединения, предписывают системам закрыть его. Если этот режим отключен, FreeBSD не будет проверять наличие связи между хостами, система будет считать, что соединение активно, пока через него можно передавать данные.

net.inet.udp.log_in_vain: 0
Переключатель времени исполнения. Протоколирует попытки соединения с любыми портами UDP, которые не прослушивает ни одна программа.

net.inet.udp.blackhole: 0
Переключатель времени исполнения. Подобно TCP, UDP возвращает код ошибки при попытке подключиться к закрытому порту, который никто не прослушивает. Если присвоить этому параметру значение 1, попытки подключения к порту UDP будут блокироваться, но сообщение об ошибке посылаться не будет. Это замедлит сканирование портов.

net.link.log_link_state_change: 1
Переключатель времени исполнения. Если этот параметр установлен, FreeBSD будет протоколировать каждое включение и отключение сетевого интерфейса.

debug.debugger_on_panic: 1
Переключатель времени исполнения. Если установлено значение 1, FreeBSD будет запускать отладчик при возникновении паники.

debug.trace_on_panic: 0
Переключатель времени исполнения. Если этот параметр установлен, FreeBSD автоматически будет выводить трассировку стека при входе в отладчик после возникновения паники.

Комментарии запрещены.