Мини-защита FreeBSD с помощью sysctl.conf
Редактируем /etc/sysctl.conf
security.bsd.see_other_uids=0
security.bsd.see_other_gids=0запрещаем просмотр списка всех процессов произвольным пользователем — пригодится на случай взлома
security.bsd.see_other_uids=0
security.bsd.see_other_gids=0запрещаем редирект пакетов — зачастую используется в хакерских целях
net.inet.ip.redirect=0запрещаем редирект пакетов — зачастую используется в хакерских целях
net.inet.ip.sourceroute=0
net.inet.ip.accept_sourceroute=0запрещаем сорс-роутинг — зачастую используется в хакерских целях
net.inet.ip.forwarding=1поскольку машина с двумя интерфейсами, необходимо включить форвардинг пакетов между интерфейсами
net.inet.icmp.log_redirect=1
net.inet.icmp.drop_redirect=1
net.inet.icmp.bmcastecho=0
net.inet.icmp.maskrepl=0
net.inet.icmp.icmplim=50
net.inet.tcp.icmp_may_rst=1защищаемся от разного рода icmp-атак
net.inet.tcp.always_keepalive=1
net.inet.tcp.delayed_ack=0
net.inet.tcp.sendspace=131072
net.inet.tcp.recvspace=131072ускоряем сетевой стек
net.inet.tcp.rfc1323=0выключаем расширения TCP в целях обеспечения безопасности
net.link.ether.inet.log_arp_movements=1
net.link.ether.inet.log_arp_wrong_iface=1логируем попытки изменения arp-кеша
kern.coredump=0никак не влияет на безопасность, но избавляет от .core-файлов
kern.polling.enable=1на сетевых картах, поддерживающих поллинг заметно повышает производительность