Natlive's blog

網上關于sysctl.conf的優(yōu)化方案有各種版本，大多都是抄來抄去的，讓新人看了很迷茫。為解決此問題，經過兩天的整理，查了N多資料，將大家常用的總結如下，很多默認的不需要修改的暫未涉及，今后將逐步把所有的項目都有個翻譯、講解、修改建議，如有修改，將以此文為準，其他地方的內容，本人不負責更新。因此轉載請注明鏈接地址：http://www.bsdlover.cn/security/2007/1216/article_8.html如果您有補充或修訂意見，請于本文后評論或郵件聯(lián)系cujxtm@gmail.com，萬分感謝！

###################
所有rfc相關的選項都是默認啟用的，因此網上的那些還自己寫rfc支持的都可以扔掉了:)
###############################

net.inet.ip.sourceroute=0
net.inet.ip.accept_sourceroute=0
#############################
通過源路由，攻擊者可以嘗試到達內部IP地址 --包括RFC1918中的地址，所以
不接受源路由信息包可以防止你的內部網絡被探測。
#################################

net.inet.tcp.drop_synfin=1
###################################
安全參數(shù)，編譯內核的時候加了options TCP_DROP_SYNFIN才可以用，可以阻止某些OS探測。
##################################

kern.maxvnodes=8446
#################http://www.bsdlover.cn#########
vnode 是對文件或目錄的一種內部表達。 因此， 增加可以被操作系統(tǒng)利用的 vnode 數(shù)量將降低磁盤的 I/O。
一般而言， 這是由操作系統(tǒng)自行完成的，也不需要加以修改。但在某些時候磁盤 I/O 會成為瓶頸，
而系統(tǒng)的 vnode 不足， 則這一配置應被增加。此時需要考慮是非活躍和空閑內存的數(shù)量。
要查看當前在用的 vnode 數(shù)量：
# sysctl vfs.numvnodes
vfs.numvnodes: 91349
要查看最大可用的 vnode 數(shù)量：
# sysctl kern.maxvnodes
kern.maxvnodes: 100000
如果當前的 vnode 用量接近最大值，則將 kern.maxvnodes 值增大 1,000 可能是個好主意。
您應繼續(xù)查看 vfs.numvnodes 的數(shù)值， 如果它再次攀升到接近最大值的程度，
仍需繼續(xù)提高 kern.maxvnodes。 在 top(1) 中顯示的內存用量應有顯著變化，
更多內存會處于活躍 (active) 狀態(tài)。
####################################


kern.maxproc: 964
#################http://www.bsdlover.cn#########
Maximum number of processes
####################################
kern.maxprocperuid: 867
#################http://www.bsdlover.cn#########
Maximum processes allowed per userid
####################################
因為我的maxusers設置的是256，20+16*maxusers＝4116。
maxprocperuid至少要比maxproc少1，因為init(8) 這個系統(tǒng)程序絕對要保持在運作狀態(tài)。
我給它設置的2068。


kern.maxfiles: 1928
#################http://www.bsdlover.cn#########
系統(tǒng)中支持最多同時開啟的文件數(shù)量，如果你在運行數(shù)據(jù)庫或大的很吃描述符的進程，那么應該設置在20000以上，
比如kde這樣的桌面環(huán)境，它同時要用的文件非常多。
一般推薦設置為32768或者65536。
####################################

kern.argmax: 262144
#################http://www.bsdlover.cn#########
maximum number of bytes (or characters) in an argument list.
命令行下最多支持的參數(shù)，比如你在用find命令來批量刪除一些文件的時候
find . -name "*.old" -delete，如果文件數(shù)超過了這個數(shù)字，那么會提示你數(shù)字太多的。
可以利用find . -name "*.old" -ok rm {} \;來刪除。
默認的參數(shù)已經足夠多了，因此不建議再做修改。
####################################

kern.securelevel: -1
#################http://www.bsdlover.cn#########
-1：這是系統(tǒng)默認級別，沒有提供任何內核的保護錯誤；
0：基本上作用不多，當你的系統(tǒng)剛啟動就是0級別的，當進入多用戶模式的時候就自動變成1級了。
1：在這個級別上，有如下幾個限制：
　　a. 不能通過kldload或者kldunload加載或者卸載可加載內核模塊；
　　b. 應用程序不能通過/dev/mem或者/dev/kmem直接寫內存；
　　c. 不能直接往已經裝在(mounted)的磁盤寫東西，也就是不能格式化磁盤，但是可以通過標準的內核接口執(zhí)行寫操作；
　　d. 不能啟動X-windows，同時不能使用chflags來修改文件屬性；
2：在 1 級別的基礎上還不能寫沒裝載的磁盤，而且不能在1秒之內制造多次警告，這個是防止DoS控制臺的；
3：在 2 級別的級別上不允許修改IPFW防火墻的規(guī)則。
　　如果你已經裝了防火墻，并且把規(guī)則設好了，不輕易改動，那么建議使用3級別，如果你沒有裝防火墻，而且還準備裝防火墻的話，不建議使用。
我們這里推薦使用 2 級別，能夠避免比較多對內核攻擊。
####################################

kern.maxfilesperproc: 1735
#################http://www.bsdlover.cn#########
每個進程能夠同時打開的最大文件數(shù)量，網上很多資料寫的是32768
除非用異步I/O或大量線程，打開這么多的文件恐怕是不太正常的。
我個人建議不做修改，保留默認。
####################################


kern.ipc.maxsockbuf: 262144
#################http://www.bsdlover.cn#########
最大的套接字緩沖區(qū)，網上有建議設置為2097152（2M）、8388608（8M）的。
我個人倒是建議不做修改，保持默認的256K即可，緩沖區(qū)大了可能造成碎片、阻塞或者丟包。
####################################


kern.ipc.somaxconn: 128
#################http://www.bsdlover.cn#########
最大的等待連接完成的套接字隊列大小，即并發(fā)連接數(shù)。
高負載服務器和受到Dos攻擊的系統(tǒng)也許會因為這個隊列被塞滿而不能提供正常服務。
默認為128，推薦在1024-4096之間，根據(jù)機器和實際情況需要改動，數(shù)字越大占用內存也越大。
####################################


kern.ipc.nmbclusters: 4800
#################http://www.bsdlover.cn#########
這個值用來調整系統(tǒng)在開機后所要分配給網絡 mbufs 的 cluster 數(shù)量，
由于每個 cluster 大小為 2K，所以當這個值為 1024 時，也是會用到 2MB 的核心內存空間。
假設我們的網頁同時約有 1000 個聯(lián)機，而 TCP 傳送及接收的暫存區(qū)大小都是 16K，
則最糟的情況下，我們會需要 (16K+16K) * 1024，也就是 32MB 的空間，
然而所需的 mbufs 大概是這個空間的二倍，也就是 64MB，所以所需的 cluster 數(shù)量為 64MB/2K，也就是 32768。
對于內存有限的機器，建議值是 1024 到 4096 之間，而當擁有海量存儲器空間時，我們可以將它設定為 4096 到 32768 之間。
我們可以使用 netstat 這個指令并加上參數(shù) -m 來查看目前所使用的 mbufs 數(shù)量。
要修改這個值必須在一開機就修改，所以只能在 /boot/loader.conf 中加入修改的設定
kern.ipc.nmbclusters=32768
####################################


kern.ipc.shmmax: 33554432
#################http://www.bsdlover.cn#########
共享內存和信號燈("System VIPC")如果這些過小的話，有些大型的軟件將無法啟動
安裝xine和mplayer提示的設置為67108864，即64M，
如果內存多的話，可以設置為134217728，即128M
####################################


kern.ipc.shmall: 8192
#################http://www.bsdlover.cn#########
共享內存和信號燈("System VIPC")如果這些過小的話，有些大型的軟件將無法啟動
安裝xine和mplayer提示的設置為32768
####################################

kern.ipc.shm_use_phys: 0
#################http://www.bsdlover.cn#########
如果我們將它設成 1，則所有 System V 共享內存 (share memory，一種程序間溝通的方式)部份都會被留在實體的內存 (physical memory) 中，
而不會被放到硬盤上的 swap 空間。我們知道物理內存的存取速度比硬盤快許多，而當物理內存空間不足時，
部份數(shù)據(jù)會被放到虛擬的內存上，從物理內存和虛擬內存之間移轉的動作就叫作 swap。如果時常做 swap 的動作，
則需要一直對硬盤作 I/O，速度會很慢。因此，如果我們有大量的程序 (數(shù)百個) 需要共同分享一個小的共享內存空間，
或者是共享內存空間很大時，我們可以將這個值打開。
這一項，我個人建議不做修改，除非你的內存非常大。
####################################


kern.ipc.shm_allow_removed: 0
#################http://www.bsdlover.cn#########
共享內存是否允許移除？這項似乎是在fb下裝vmware需要設置為1的，否則會有加載SVGA出錯的提示
作為服務器，這項不動也罷。
####################################

kern.ipc.numopensockets: 12
#################http://www.bsdlover.cn#########
已經開啟的socket數(shù)目，可以在最繁忙的時候看看它是多少，然后就可以知道m(xù)axsockets應該設置成多少了。
####################################

kern.ipc.maxsockets: 1928
#################http://www.bsdlover.cn#########
這是用來設定系統(tǒng)最大可以開啟的 socket 數(shù)目。如果您的服務器會提供大量的 FTP 服務，
而且常快速的傳輸一些小檔案，您也許會發(fā)現(xiàn)常傳輸?shù)揭话刖椭袛唷Ｒ驗?FTP 在傳輸檔案時，
每一個檔案都必須開啟一個 socket 來傳輸，但關閉 socket 需要一段時間，如果傳輸速度很快，
而檔案又多，則同一時間所開啟的 socket 會超過原本系統(tǒng)所許可的值，這時我們就必須把這個值調大一點。
除了 FTP 外，也許有其它網絡程序也會有這種問題。
然而，這個值必須在系統(tǒng)一開機就設定好，所以如果要修改這項設定，我們必須修改 /boot/loader.conf 才行
kern.ipc.maxsockets="16424"
####################################

kern.ipc.nsfbufs: 1456
#################http://www.bsdlover.cn#########
經常使用 sendfile(2) 系統(tǒng)調用的繁忙的服務器，
有必要通過 NSFBUFS 內核選項或者在 /boot/loader.conf (查看 loader(8) 以獲得更多細節(jié)) 中設置它的值來調節(jié) sendfile(2) 緩存數(shù)量。
這個參數(shù)需要調節(jié)的普通原因是在進程中看到 sfbufa 狀態(tài)。sysctl kern.ipc.nsfbufs 變量在內核配置變量中是只讀的。
這個參數(shù)是由 kern.maxusers 決定的，然而它可能有必要因此而調整。
在/boot/loader.conf里加入
kern.ipc.nsfbufs="2496"
####################################


kern.maxusers: 59
#################http://www.bsdlover.cn#########
maxusers 的值決定了處理程序所容許的最大值，20+16*maxusers 就是你將得到的所容許處理程序。
系統(tǒng)一開機就必須要有 18 個處理程序 (process)，即便是簡單的執(zhí)行指令 man 又會產生 9 個 process，
所以將這個值設為 64 應該是一個合理的數(shù)目。
如果你的系統(tǒng)會出現(xiàn) proc table full 的訊息的話，可以就把它設大一點，例如 128。
除非您的系統(tǒng)會需要同時開啟很多檔案，否則請不要設定超過 256。

可以在 /boot/loader.conf 中加入該選項的設定，
kern.maxusers=256
####################################

kern.coredump: 1
#################http://www.bsdlover.cn#########
如果設置為0，則程序異常退出時不會生成core文件，作為服務器，不建議這樣。
####################################

kern.corefile: %N.core
#################http://www.bsdlover.cn#########
可設置為kern.corefile="/data/coredump/%U-%P-%N.core"
其中 %U是UID，%P是進程ID，%N是進程名，當然/data/coredump必須是一個實際存在的目錄
####################################


vm.swap_idle_enabled: 0
vm.swap_idle_threshold1: 2
vm.swap_idle_threshold2: 10
#########################
在有很多用戶進入、離開系統(tǒng)和有很多空閑進程的大的多用戶系統(tǒng)中很有用。
可以讓進程更快地進入內存，但它會吃掉更多的交換和磁盤帶寬。
系統(tǒng)默認的頁面調度算法已經很好了，最好不要更改。
########################


vfs.ufs.dirhash_maxmem: 2097152
#########################
默認的dirhash最大內存,默認2M
增加它有助于改善單目錄超過100K個文件時的反復讀目錄時的性能
建議修改為33554432（32M）
#############################


vfs.vmiodirenable: 1
#################
這個變量控制目錄是否被系統(tǒng)緩存。大多數(shù)目錄是小的，在系統(tǒng)中只使用單個片斷(典型的是1K)并且在緩存中使用的更小 (典型的是512字節(jié))。
當這個變量設置為關閉 (0) 時，緩存器僅僅緩存固定數(shù)量的目錄，即使您有很大的內存。
而將其開啟 (設置為1) 時，則允許緩存器用 VM 頁面緩存來緩存這些目錄，讓所有可用內存來緩存目錄。
不利的是最小的用來緩存目錄的核心內存是大于 512 字節(jié)的物理頁面大小(通常是 4k)。
我們建議如果您在運行任何操作大量文件的程序時保持這個選項打開的默認值。
這些服務包括 web 緩存，大容量郵件系統(tǒng)和新聞系統(tǒng)。
盡管可能會浪費一些內存，但打開這個選項通常不會降低性能。但還是應該檢驗一下。
####################


vfs.hirunningspace: 1048576
############################
這個值決定了系統(tǒng)可以將多少數(shù)據(jù)放在寫入儲存設備的等候區(qū)。通常使用默認值即可，
但當我們有多顆硬盤時，我們可以將它調大為 4MB 或 5MB。
注意這個設置成很高的值(超過緩存器的寫極限)會導致壞的性能。
不要盲目的把它設置太高！高的數(shù)值會導致同時發(fā)生的讀操作的遲延。
#############################


vfs.write_behind: 1
#########################
這個選項預設為 1，也就是打開的狀態(tài)。在打開時，在系統(tǒng)需要寫入數(shù)據(jù)在硬盤或其它儲存設備上時，
它會等到收集了一個 cluster 單位的數(shù)據(jù)后再一次寫入，否則會在一個暫存區(qū)空間有寫入需求時就立即寫到硬盤上。
這個選項打開時，對于一個大的連續(xù)的文件寫入速度非常有幫助。但如果您遇到有很多行程延滯在等待寫入動作時，您可能必須關閉這個功能。
############################

net.local.stream.sendspace: 8192
##################################
本地套接字連接的數(shù)據(jù)發(fā)送空間
建議設置為65536
###################################
net.local.stream.recvspace: 8192
##################################
本地套接字連接的數(shù)據(jù)接收空間
建議設置為65536
###################################


net.inet.ip.portrange.lowfirst: 1023
net.inet.ip.portrange.lowlast: 600
net.inet.ip.portrange.first: 49152
net.inet.ip.portrange.last: 65535
net.inet.ip.portrange.hifirst: 49152
net.inet.ip.portrange.hilast: 65535
###################
以上六項是用來控制TCP及UDP所使用的port范圍，這個范圍被分成三個部份，低范圍、預設范圍、及高范圍。
這些是你的服務器主動發(fā)起連接時的臨時端口的范圍，預設的已經1萬多了，一般的應用就足夠了。
如果是比較忙碌的FTP server，一般也不會同時提供給1萬多人訪問的，
當然如果很不幸，你的服務器就要提供很多，那么可以修改first的值，比如直接用1024開始
#########################


net.inet.ip.redirect: 1
#########################
設置為0，屏蔽ip重定向功能
###########################

net.inet.ip.rtexpire: 3600
net.inet.ip.rtminexpire: 10
########################
很多apache產生的CLOSE_WAIT狀態(tài)，這種狀態(tài)是等待客戶端關閉，但是客戶端那邊并沒有正常的關閉，于是留下很多這樣的東東。
建議都修改為2
#########################


net.inet.ip.intr_queue_maxlen: 50
########################
Maximum size of the IP input queue，如果下面的net.inet.ip.intr_queue_drops一直在增加，
那就說明你的隊列空間不足了，那么可以考慮增加該值。
##########################
net.inet.ip.intr_queue_drops: 0
####################
Number of packets dropped from the IP input queue,如果你sysctl它一直在增加，
那么增加net.inet.ip.intr_queue_maxlen的值。
#######################


net.inet.ip.fastforwarding: 0
#############################
如果打開的話每個目標地址一次轉發(fā)成功以后它的數(shù)據(jù)都將被記錄進路由表和arp數(shù)據(jù)表，節(jié)約路由的計算時間
但會需要大量的內核內存空間來保存路由表。
如果內存夠大，打開吧，呵呵
#############################


net.inet.ip.random_id: 0
#####################
默認情況下，ip包的id號是連續(xù)的，而這些可能會被攻擊者利用，比如可以知道你nat后面帶了多少主機。
如果設置成1，則這個id號是隨機的，嘿嘿。
#####################

net.inet.icmp.maskrepl: 0
############################
防止廣播風暴，關閉其他廣播探測的響應。默認即是，無須修改。
###############################

net.inet.icmp.icmplim: 200
##############################
限制系統(tǒng)發(fā)送ICMP速率，改為100吧，或者保留也可，并不會給系統(tǒng)帶來太大的壓力。
###########################
net.inet.icmp.icmplim_output: 1
###################################
如果設置成0，就不會看到提示說Limiting icmp unreach response from 214 to 200 packets per second 等等了
不過禁止輸出容易讓我們忽視攻擊的存在。這個自己看著辦吧。
######################################

net.inet.icmp.drop_redirect: 0
net.inet.icmp.log_redirect: 0
###################################
設置為1，屏蔽ICMP重定向功能
###################################
net.inet.icmp.bmcastecho: 0
############################
防止廣播風暴，關閉廣播ECHO響應，默認即是，無須修改。
###############################


net.inet.tcp.mssdflt: 512
net.inet.tcp.minmss: 216
###############################
數(shù)據(jù)包數(shù)據(jù)段最小值，以上兩個選項最好不動！或者只修改mssdflt為1460，minmss不動。
原因詳見http://www.bsdlover.cn/security/2007/1211/article_4.html
#############################


net.inet.tcp.keepidle: 7200000
######################
TCP的套接字的空閑時間，默認時間太長，可以改為600000（10分鐘）。
##########################

net.inet.tcp.sendspace: 32768
#################http://www.bsdlover.cn#########
最大的待發(fā)送TCP數(shù)據(jù)緩沖區(qū)空間，應用程序將數(shù)據(jù)放到這里就認為發(fā)送成功了，系統(tǒng)TCP堆棧保證數(shù)據(jù)的正常發(fā)送。
####################################
net.inet.tcp.recvspace: 65536
###################################
最大的接受TCP緩沖區(qū)空間，系統(tǒng)從這里將數(shù)據(jù)分發(fā)給不同的套接字，增大該空間可提高系統(tǒng)瞬間接受數(shù)據(jù)的能力以提高性能。
###################################
這二個選項分別控制了網絡 TCP 聯(lián)機所使用的傳送及接收暫存區(qū)的大小。預設的傳送暫存區(qū)為 32K，而接收暫存區(qū)為 64K。
如果需要加速 TCP 的傳輸，可以將這二個值調大一點，但缺點是太大的值會造成系統(tǒng)核心占用太多的內存。
如果我們的機器會同時服務數(shù)百或數(shù)千個網絡聯(lián)機，那么這二個選項最好維持默認值，否則會造成系統(tǒng)核心內存不足。
但如果我們使用的是 gigabite 的網絡，將這二個值調大會有明顯效能的提升。
傳送及接收的暫存區(qū)大小可以分開調整，
例如，假設我們的系統(tǒng)主要做為網頁服務器，我們可以將接收的暫存區(qū)調小一點，并將傳送的暫存區(qū)調大，如此一來，我們就可以避免占去太多的核心內存空間。

net.inet.udp.maxdgram: 9216
#########################
最大的發(fā)送UDP數(shù)據(jù)緩沖區(qū)大小，網上的資料大多都是65536，我個人認為沒多大必要，
如果要調整，可以試試24576。
##############################
net.inet.udp.recvspace: 42080
##################
最大的接受UDP緩沖區(qū)大小，網上的資料大多都是65536，我個人認為沒多大必要，
如果要調整，可以試試49152。
#######################
以上四項配置通常不會導致問題，一般說來網絡流量是不對稱的，因此應該根據(jù)實際情況調整，并觀察其效果。
如果我們將傳送或接收的暫存區(qū)設為大于 65535，除非服務器本身及客戶端所使用的操作系統(tǒng)都支持 TCP 協(xié)議的 windows scaling extension (請參考 RFC 1323 文件)。
FreeBSD默認已支持 rfs1323 (即 sysctl 的 net.inet.tcp.rfc1323 選項)。
###################################################


net.inet.tcp.log_in_vain: 0
##################
記錄下任何TCP連接，這個一般情況下不應該更改。
####################

net.inet.tcp.blackhole: 0
##################################
建議設置為2，接收到一個已經關閉的端口發(fā)來的所有包，直接drop，如果設置為1則是只針對TCP包
#####################################

net.inet.tcp.delayed_ack: 1
###########################
當一臺計算機發(fā)起TCP連接請求時，系統(tǒng)會回應ACK應答數(shù)據(jù)包。
該選項設置是否延遲ACK應答數(shù)據(jù)包，把它和包含數(shù)據(jù)的數(shù)據(jù)包一起發(fā)送。
在高速網絡和低負載的情況下會略微提高性能，但在網絡連接較差的時候，
對方計算機得不到應答會持續(xù)發(fā)起連接請求，反而會讓網絡更加擁堵，降低性能。
因此這個值我建議您看情況而定，如果您的網速不是問題，可以將封包數(shù)量減少一半
如果網絡不是特別好，那么就設置為0，有請求就先回應，這樣其實浪費的網通、電信的帶寬速率而不是你的處理時間:)
############################


net.inet.tcp.inflight.enable: 1
net.inet.tcp.inflight.debug: 0
net.inet.tcp.inflight.rttthresh: 10
net.inet.tcp.inflight.min: 6144
net.inet.tcp.inflight.max: 1073725440
net.inet.tcp.inflight.stab: 20
###########################
限制 TCP 帶寬延遲積和 NetBSD 的 TCP/Vegas 類似。
它可以通過將 sysctl 變量 net.inet.tcp.inflight.enable 設置成 1 來啟用。
系統(tǒng)將嘗試計算每一個連接的帶寬延遲積，并將排隊的數(shù)據(jù)量限制在恰好能保持最優(yōu)吞吐量的水平上。
這一特性在您的服務器同時向使用普通調制解調器，千兆以太網，乃至更高速度的光與網絡連接 (或其他帶寬延遲積很大的連接) 的時候尤為重要，
特別是當您同時使用滑動窗縮放，或使用了大的發(fā)送窗口的時候。
如果啟用了這個選項，您還應該把 net.inet.tcp.inflight.debug 設置為 0 (禁用調試)，
對于生產環(huán)境而言， 將 net.inet.tcp.inflight.min 設置成至少 6144 會很有好處。
然而， 需要注意的是，這個值設置過大事實上相當于禁用了連接帶寬延遲積限制功能。
這個限制特性減少了在路由和交換包隊列的堵塞數(shù)據(jù)數(shù)量，也減少了在本地主機接口隊列阻塞的數(shù)據(jù)的數(shù)量。
在少數(shù)的等候隊列中、交互式連接，尤其是通過慢速的調制解調器，也能用低的 往返時間操作。
但是，注意這只影響到數(shù)據(jù)發(fā)送 (上載/服務端)。對數(shù)據(jù)接收(下載)沒有效果。
調整 net.inet.tcp.inflight.stab 是 不 推薦的。
這個參數(shù)的默認值是 20，表示把 2 個最大包加入到帶寬延遲積窗口的計算中。
額外的窗口似的算法更為穩(wěn)定，并改善對于多變網絡環(huán)境的相應能力，
但也會導致慢速連接下的 ping 時間增長 (盡管還是會比沒有使用 inflight 算法低許多)。
對于這些情形， 您可能會希望把這個參數(shù)減少到 15， 10， 或 5；
并可能因此而不得不減少 net.inet.tcp.inflight.min (比如說， 3500) 來得到希望的效果。
減少這些參數(shù)的值， 只應作為最后不得已時的手段來使用。
############################

net.inet.tcp.syncookies: 1
#########################
SYN cookies是一種用于通過選擇加密的初始化TCP序列號，可以對回應的包做驗證來降低SYN'洪水'攻擊的影響的技術。
默認即是，不需修改
########################


net.inet.tcp.msl: 30000
#######################
這個值網上很多文章都推薦的7500，
還可以改的更小一些(如2000或2500)，這樣可以加快不正常連接的釋放過程(三次握手2秒、FIN_WAIT4秒)。
#########################
net.inet.tcp.always_keepalive: 1
###########################
幫助系統(tǒng)清除沒有正常斷開的TCP連接，這增加了一些網絡帶寬的使用，但是一些死掉的連接最終能被識別并清除。
死的TCP連接是被撥號用戶存取的系統(tǒng)的一個特別的問題，因為用戶經常斷開modem而不正確的關閉活動的連接。
#############################

net.inet.udp.checksum: 1
#########################
防止不正確的udp包的攻擊，默認即是，不需修改
##############################

net.inet.udp.log_in_vain: 0
#######################
記錄下任何UDP連接,這個一般情況下不應該修改。
#######################

net.inet.udp.blackhole: 0
####################
建議設置為1，接收到一個已經關閉的端口發(fā)來的所有UDP包直接drop
#######################


net.inet.raw.maxdgram: 8192
#########################
Maximum outgoing raw IP datagram size
很多文章建議設置為65536，好像沒多大必要。
######################################
net.inet.raw.recvspace: 8192
######################
Maximum incoming raw IP datagram size
很多文章建議設置為65536，好像沒多大必要。
#######################

net.link.ether.inet.max_age: 1200
####################
調整ARP清理的時間，通過向IP路由緩沖填充偽造的ARP條目可以讓惡意用戶產生資源耗竭和性能減低攻擊。
這項似乎大家都未做改動，我建議不動或者稍微減少，比如300（HP-UX默認的5分鐘）
#######################

net.inet6.ip6.redirect: 1
###############################
設置為0，屏蔽ipv6重定向功能
###########################


net.isr.direct: 0
#################http://www.bsdlover.cn#########
所有MPSAFE的網絡ISR對包做立即響應,提高網卡性能，設置為1。
####################################


hw.ata.wc: 1
#####################
這個選項用來打開 IDE 硬盤快取。當打開時，如果有數(shù)據(jù)要寫入硬盤時，硬盤會假裝已完成寫入，并將數(shù)據(jù)快取起來。
這種作法會加速硬盤的存取速度，但當系統(tǒng)異常關機時，比較容易造成數(shù)據(jù)遺失。
不過由于關閉這個功能所帶來的速度差異實在太大，建議還是保留原本打開的狀態(tài)吧，不做修改。
###################


security.bsd.see_other_uids: 1
security.bsd.see_other_gids: 1
#####################
不允許用戶看到其他用戶的進程,因此應該改成0，
#######################