Параметры sysctl

Ниже в таблице приведено описание некоторых параметров sysctl. По мере возможности таблица будет обновляться (дополняться) новыми параметрами.
Наименование Тип данных Изменяемый Описание
hw.acpi.disable_on_reboot целочисленный да выключать ACPI при перезагрузке/выключении операционной системы.
hw.machine строковый нет класс компьютера
hw.model строковый нет модель процессора
hw.ncpu целочисленный нет количество активных процессоров/ядер
hw.byteorder целочисленный нет порядок байт, используемый в системе
hw.physmem целочисленный нет объем физической памяти в байтах
hw.usermem целочисленный нет объем физической памяти, доступный для использования
hw.pagesize целочисленный нет размер страницы памяти в байтах
hw.floatingpoint целочисленный нет наличие/отсутствие блока FPU
hw.machine_arch строковый нет архитектура системы
kern.ostype строковый нет тип операционной системы
kern.osrelease строковый нет релиз операционной системы
kern.osrevision целочисленный нет ревизия операционной системы
kern.version строковый нет версия операционной системы
kern.maxvnodes целочисленный да максимальное количество vnodes
kern.maxproc целочисленный нет максимальное количество одновременно работающих процессов
kern.maxprocperuid целочисленный да максимальное количество одновременно запущенных процессов, разрешенное пользователю
kern.maxfiles целочисленный да максимальное количество дескрипторов открытых файлов.
kern.maxfilesperproc целочисленный да максимальное количество одновременно открытых файлов на процесс
kern.securelevel целочисленный да (только на повышение) устанавливает уровень безопасности в системе. Любой процесс с правами суперпользователя может поднять уровень безопасности, но не существует такого процесса, который мог бы опустить его (только перезагрузка). Возможные значения:
  • -1 — преимущественно небезопасный режим. Система всегда запускается с данным уровнем безопасности. Значение по умолчанию.
  • 0 — небезопасный режим. С данным уровнем безопасности возможно снятие immutable (флаг неизменности) и append-only флагов, а также возможен доступ ко всем устройствам в рамках прав доступа к ним.
  • 1 — безопасный режим. С данным уровнем безопасности: невозможно снятие системных immutable (флаг неизменности) и append-only флагов; невозможен прямой доступ (на запись) к подмонтированным (подключенным) блочным устройствам, /dev/mem и /dev/kmem; ограничен доступ к устройству /dev/io (если присутствует в системе); запрещена загрузка/выгрузка модулей ядра.
  • 2 — очень безопасный режим. Включает ограничения первого уровня безопасности с дополнительным ограничением следующего: блочные устройства недоступны для прямого доступа (на запись) (кроме ранее, то есть до установки данного уровня безопасности, смонтированных командой mount), независимо от того - смонтированы они или нет; невозможно подмонтировать или отмонтировать устройства в системе. Дополнительно вводится ограничение на смену системного времени более чем на одну секунду в любую сторону (при фиксировании системой попытки смены времени более чем на одну секунду в лог будет записано следующее: "Time adjustment clamped to +1 second").
  • 3 — режим сетевой безопасности (драконий режим). Включает ограничения второго уровня безопасности с дополнительным ограничением следующего: невозможно изменить правила любого фаервола; невозможно изменить параметры dummynet.
kern.timecounter.hardware строковый да используемый аппаратный таймер (доступные аппаратные таймеры можно просмотреть, например, такой командой: sysctl -a | grep timer).
kern.features.ufs_acl целочисленный нет значение 1 выставляется в случае, если ядро поддерживает ACL для UFS
kern.features.ufs_gjournal целочисленный нет значение 1 выставляется в случае, если ядро поддерживает журналирование через GEOM (gjournal) для UFS
kern.features.ufs_quota целочисленный нет значение 1 выставляется в случае, если ядро поддерживает квоты для UFS
kern.features.ufs_quota64 целочисленный нет значение 1 выставляется в случае, если ядро поддерживает 64-х битные квоты для UFS
kern.ipc.somaxconn целочисленный да размер очереди подключений.
kern.ipc.shmall целочисленный да максимальное количество страниц памяти, доступное для разделяемой памяти (shared memory).
kern.ipc.shmmax целочисленный да максимальный размер сегмента, который можно выделить в разделяемой памяти (shared memory).
kern.ipc.semmap целочисленный да максимальное количество записей в таблице семафоров.
net.inet.tcp.log_in_vain целочисленный да писать в лог информацию о попытках подключения к сетевым портам, на которых не запущен прослушивающий сокет. При значении 1 в лог записываются только SYN пакеты. При значении 2 в лог записываются любые пакеты, пришедшие на закрытый порт. Любое другое значение отключает запись данной информации в лог (по умолчанию 0, то есть выключено)
net.inet.tcp.msl целочисленный да максимальное время жизни сегмента (MSL) в миллисекундах
net.inet.tcp.keepinit целочисленный да таймаут в миллисекундах для новых, но не установленных (non-established), TCP соединений
net.inet.tcp.keepidle целочисленный да время простоя соединения (в миллисекундах), по истечению которого будут посылаться keepalive запросы (если включены)
net.inet.tcp.keepintvl целочисленный да интервал (в миллисекундах) посылки keepalive запросов удаленным хостам
net.inet.tcp.keepcnt целочисленный да лимит keepalive запросов, оставшихся без ответа, по исчерпанию которого соединение с удаленным хостом будет разорвано
net.inet.tcp.always_keepalive целочисленный да при значении 1 подразумевается, что опция SO_KEEPALIVE задана для всех сокетов (если конечно она явно не выключена), то есть ядро ОС будет посылать keepalive запросы на всех соединениях
net.inet.tcp.path_mtu_discovery целочисленный да включить/отключить поддержку стандарта Path MTU Discovery (RFC 1191)
net.inet.tcp.blackhole целочисленный да по стандартам, ОС при получении пакета на закрытый порт должна отвечать RST пакетом, что в некоторых случаях не есть хорошо (такой порядок работы наблюдается при значении 0). При значении 1 будут отбрасываться только SYN пакеты, пришедшие на закрытый порт. При значении 2 отбрасываются любые пакеты, пришедшие на закрытый порт (то есть ОС не будет отвечать RST пакетом на подобные запросы).
net.inet.udp.blackhole целочисленный да при значении 1 будут отбрасываться любые пакеты, пришедшие на закрытый порт
security.bsd.see_other_uids целочисленный да запрещаем пользователям просматривать чужие процессы.
security.bsd.see_other_gids целочисленный да запрещаем пользователям из разных групп просматривать чужие процессы.
net.inet.icmp.drop_redirect целочисленный да отбрасывать ICMP (тип 5 ICMP - redirect) пакеты.
net.inet.icmp.log_redirect целочисленный да записывать в лог информацию при получении ICMP (тип 5 ICMP - redirect) пакетов.
net.inet.icmp.icmplim целочисленный да максимальное количество ответов в секунду на ICMP запросы.
net.inet.ip.random_id целочисленный да использовать непредсказуемые ip_id значения
net.link.tap.up_on_open целочисленный да включать (не включать), то есть переводить в состояние UP, интерфейс tap при его открытии каким-либо приложением.
net.inet.ip.portrange.reservedlow целочисленный да нижняя граница диапазона портов, в котором непривилегированным процессам запрещено создавать прослушивающие сокеты.
net.inet.ip.portrange.reservedhigh целочисленный да верхняя граница диапазона портов, в котором непривилегированным процессам запрещено создавать прослушивающие сокеты.
security.bsd.hardlink_check_uid целочисленный да разрешить/запретить непривилегированному процессу создавать жесткие ссылки на файлы принадлежащие другим пользователям.
security.bsd.hardlink_check_gid целочисленный да разрешить/запретить непривилегированному процессу создавать жесткие ссылки на файлы принадлежащие другим группам.
security.bsd.map_at_zero целочисленный да разрешить/запретить процессам подключать (map,ать) объекты на виртуальный адрес 0
security.bsd.unprivileged_mlock целочисленный да разрешить/запретить обычным пользователям системы использовать процедуру mlock
security.bsd.unprivileged_get_quota целочисленный да разрешить/запретить обычным процессам получать информацию о квотах других пользователей системы
security.jail.jailed целочисленный нет значение 1 выставляется в случае, если приложение запущено в клетке
security.jail.sysvipc_allowed целочисленный да разрешить/запретить использование IPC механизмов в клетках (jail)
security.jail.allow_raw_sockets целочисленный да разрешить/запретить создание "сырых" сокетов в клетках (jail)
security.jail.chflags_allowed целочисленный да разрешить/запретить в клетках (jail) выполнение команды chflags
security.jail.mount_allowed целочисленный да разрешить/запретить выполнение команды mount в клетках (jail)