00000030.htm

一份很好的linux入门资料

&nbsp;&nbsp;在&nbsp;log&nbsp;档里面没看到任何东西的话,&nbsp;记得重新启动&nbsp;inetd&nbsp;和&nbsp;syslogd:&nbsp;<BR>
&nbsp;<BR>
#&nbsp;kill&nbsp;-HUP&nbsp;`cat&nbsp;/var/run/syslog.pig`&nbsp;`cat&nbsp;/var/run/inetd.pid`&nbsp;<BR>
&nbsp;<BR>
o&nbsp;Filesystem&nbsp;<BR>
&nbsp;<BR>
&nbsp;&nbsp;既然&nbsp;Unix&nbsp;把什麽东西都当作档案来看待,&nbsp;好好的保护你的档案系统便是很重要的事。&nbsp;<BR>
&nbsp;&nbsp;有件事是在你安装作业系统前便要完成的:&nbsp;必须要计划并设计好你的&nbsp;partition&nbsp;该怎&nbsp;<BR>
&nbsp;&nbsp;麽切割。有几个很重要的原因让你要这麽做:&nbsp;一个是你可以&nbsp;mount&nbsp;不同的档案系统以&nbsp;<BR>
&nbsp;&nbsp;赋与不同的选项&nbsp;(下面有几个例子)。别一个是,如果你想要把你的&nbsp;filesystem&nbsp;export&nbsp;<BR>
&nbsp;&nbsp;出去,&nbsp;你须要更加细微的控制。如果你是一个从&nbsp;Linux&nbsp;转入&nbsp;FreeBSD&nbsp;的使用者,&nbsp;你会&nbsp;<BR>
&nbsp;&nbsp;发现&nbsp;Linux&nbsp;是把任何东西都往&nbsp;root&nbsp;partition&nbsp;&quot;/&quot;&nbsp;塞,&nbsp;而&nbsp;FreeBSD&nbsp;预设便要&nbsp;&quot;/&quot;,&nbsp;<BR>
&nbsp;&nbsp;&quot;/usr&quot;,&nbsp;和&nbsp;&quot;/var&quot;。这也使得要使用如&nbsp;dump&nbsp;般的工具较容易。且让我们来讨论&nbsp;se-&nbsp;<BR>
&nbsp;&nbsp;curity&nbsp;吧!&nbsp;有一件事我通常会做的是,&nbsp;我会把一般&nbsp;users&nbsp;可以写入的&nbsp;partition&nbsp;分&nbsp;<BR>
&nbsp;&nbsp;开来割,&nbsp;而这些&nbsp;partitons&nbsp;便可以用&nbsp;&quot;nosuid&quot;&nbsp;的方式来&nbsp;mount。从&nbsp;mount&nbsp;的&nbsp;man&nbsp;<BR>
&nbsp;&nbsp;page&nbsp;可以知道:&nbsp;<BR>
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;nosuid&nbsp;&nbsp;Do&nbsp;not&nbsp;allow&nbsp;set-user-identifier&nbsp;or&nbsp;set-group-identifier&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;bits&nbsp;to&nbsp;take&nbsp;effect.&nbsp;&nbsp;Note:&nbsp;this&nbsp;option&nbsp;is&nbsp;worthless&nbsp;if&nbsp;a&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;public&nbsp;available&nbsp;suid&nbsp;or&nbsp;sgid&nbsp;wrapper&nbsp;like&nbsp;suidperl&nbsp;is&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;installed&nbsp;on&nbsp;your&nbsp;system.&nbsp;<BR>
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;让&nbsp;suid&nbsp;或&nbsp;sgid&nbsp;bit&nbsp;失效。又:&nbsp;对於像&nbsp;suidperl&nbsp;这些公开使用&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;的程式,&nbsp;设这个选项便没用。&nbsp;<BR>
&nbsp;<BR>
&nbsp;&nbsp;因此你会有个&nbsp;partition&nbsp;给一般使用者使用:&nbsp;/home&nbsp;或&nbsp;/usr/home。然後你可以另外&nbsp;<BR>
&nbsp;&nbsp;开个&nbsp;partion&nbsp;给&nbsp;/var/tmp&nbsp;然後再把你的&nbsp;/tmp&nbsp;指到这里:&nbsp;<BR>
&nbsp;<BR>
#&nbsp;rm&nbsp;-rf&nbsp;/tmp&nbsp;<BR>
#&nbsp;ln&nbsp;-s&nbsp;/var/tmp&nbsp;/tmp&nbsp;<BR>
&nbsp;<BR>
&nbsp;&nbsp;你可以叁考这个例子:&nbsp;<BR>
&nbsp;<BR>
#&nbsp;cat&nbsp;/etc/fstab&nbsp;<BR>
#&nbsp;Device&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Mountpoint&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;FStype&nbsp;&nbsp;Options&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Dump&nbsp;&nbsp;&nbsp;&nbsp;Pass#&nbsp;<BR>
/dev/sd0s1b&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;none&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;swap&nbsp;&nbsp;&nbsp;&nbsp;sw&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;0&nbsp;<BR>
/dev/sd0s1a&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;/&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;ufs&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;rw&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;1&nbsp;<BR>
/dev/sd0s1g&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;/usr&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;ufs&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;rw&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;2&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;2&nbsp;<BR>
/dev/sd0s1h&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;/usr/home&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;ufs&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;rw&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;2&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;2&nbsp;<BR>
/dev/sd0s1f&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;/var&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;ufs&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;rw&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;2&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;2&nbsp;<BR>
/dev/sd0s1e&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;/var/tmp&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;ufs&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;rw,nosuid&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;2&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;2&nbsp;<BR>
proc&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;/proc&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;procfs&nbsp;&nbsp;rw&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;0&nbsp;<BR>
&nbsp;<BR>
&nbsp;&nbsp;现在你可以确定一般&nbsp;users&nbsp;可以写入的目录不是以&nbsp;&quot;-nosuid&quot;&nbsp;的方式被&nbsp;mount,&nbsp;就是&nbsp;<BR>
&nbsp;&nbsp;没有可以写入。现在你还要关心的就是&nbsp;/var/spool/uucppublic&quot;。&nbsp;<BR>
&nbsp;&nbsp;你可以把&nbsp;&quot;/var&quot;&nbsp;以&nbsp;&quot;-nosuid&quot;&nbsp;的方式来&nbsp;mount&nbsp;,&nbsp;或下这个命令:&nbsp;<BR>
&nbsp;<BR>
#&nbsp;chmod&nbsp;o-w&nbsp;/var/spool/uucppublic&nbsp;<BR>
&nbsp;<BR>
&nbsp;&nbsp;如果你想要找出你所有的可写入目录,&nbsp;下这个命令:&nbsp;<BR>
&nbsp;<BR>
#&nbsp;find&nbsp;/&nbsp;-perm&nbsp;-0777&nbsp;-type&nbsp;d&nbsp;-ls&nbsp;<BR>
&nbsp;<BR>
&nbsp;&nbsp;如同&nbsp;man&nbsp;page&nbsp;指出的,&nbsp;具有&nbsp;suid/sgid&nbsp;的程式会让你的&nbsp;nosuid&nbsp;失效。找出那些程&nbsp;<BR>
&nbsp;&nbsp;式是&nbsp;suid&nbsp;或&nbsp;sgid&nbsp;的吧:&nbsp;<BR>
&nbsp;<BR>
#&nbsp;find&nbsp;/&nbsp;-perm&nbsp;-2000&nbsp;-ls&nbsp;<BR>
#&nbsp;find&nbsp;/&nbsp;-perm&nbsp;-4000&nbsp;-ls&nbsp;<BR>
&nbsp;<BR>
&nbsp;&nbsp;同时你不止可以用&nbsp;&quot;-ls&quot;&nbsp;而只是知道有那些程式。你可以把不是很有用的程式&nbsp;&quot;chmod&nbsp;<BR>
&nbsp;&nbsp;000&quot;。像是&nbsp;uustat,&nbsp;uucico&nbsp;等,&nbsp;如果你从来不碰&nbsp;uucp&nbsp;的话。或是&nbsp;ppp&nbsp;和&nbsp;pppd,&nbsp;如&nbsp;<BR>
&nbsp;&nbsp;果你绝不会用到他们。又,&nbsp;你不会去用到印表机的话,&nbsp;把&nbsp;lpr&nbsp;lprd&nbsp;也&nbsp;chmod&nbsp;000&nbsp;吧!&nbsp;<BR>
&nbsp;&nbsp;也许改天会有个人写个&nbsp;shell&nbsp;script&nbsp;来问你那些东西要&nbsp;chmod&nbsp;000&nbsp;掉。&nbsp;<BR>
&nbsp;<BR>
&nbsp;&nbsp;现在你也许想问,&nbsp;有什麽方式可以防止攻击者重新以非&nbsp;&quot;-nosuid&quot;&nbsp;的方式&nbsp;mount&nbsp;你的&nbsp;<BR>
&nbsp;&nbsp;filesystem&nbsp;?&nbsp;Well,&nbsp;没有,&nbsp;除非你改变你的&nbsp;securelevel。&nbsp;<BR>
&nbsp;<BR>
o&nbsp;securelevel&nbsp;<BR>
&nbsp;<BR>
&nbsp;&nbsp;FreeBSD&nbsp;kernel&nbsp;有个观念叫&nbsp;securelevel。当还有人在争论这是不是够完美时,这个&nbsp;<BR>
&nbsp;&nbsp;机制已经够防止大部份的&nbsp;&quot;script&nbsp;kiddiez&quot;。Securelevel&nbsp;是指你的&nbsp;kernel&nbsp;在执行时&nbsp;<BR>
&nbsp;&nbsp;的安全等级。每一个等级具有不同的保护和检查机制。这些是&nbsp;init(8)&nbsp;的&nbsp;man&nbsp;page:&nbsp;<BR>
&nbsp;<BR>
&nbsp;&nbsp;The&nbsp;kernel&nbsp;runs&nbsp;with&nbsp;four&nbsp;different&nbsp;levels&nbsp;of&nbsp;security.&nbsp;&nbsp;Any&nbsp;superuser&nbsp;<BR>
&nbsp;&nbsp;process&nbsp;can&nbsp;raise&nbsp;the&nbsp;security&nbsp;level,&nbsp;but&nbsp;only&nbsp;init&nbsp;can&nbsp;lower&nbsp;it.&nbsp;&nbsp;The&nbsp;<BR>
&nbsp;&nbsp;security&nbsp;levels&nbsp;are:&nbsp;<BR>
&nbsp;&nbsp;Kernel&nbsp;可以以四种不同的安全等级来执行。任何&nbsp;superuser&nbsp;process&nbsp;可以提高安全&nbsp;<BR>
&nbsp;&nbsp;等级,&nbsp;但是只有&nbsp;init&nbsp;可以降低它。这四种等级分别是:&nbsp;<BR>
&nbsp;<BR>
&nbsp;&nbsp;-1&nbsp;&nbsp;&nbsp;&nbsp;Permanently&nbsp;insecure&nbsp;mode&nbsp;-&nbsp;always&nbsp;run&nbsp;the&nbsp;system&nbsp;in&nbsp;level&nbsp;0&nbsp;mode.&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;永远不安全模式&nbsp;-&nbsp;切换到&nbsp;level&nbsp;0&nbsp;吧!&nbsp;<BR>
&nbsp;<BR>
&nbsp;&nbsp;0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Insecure&nbsp;mode&nbsp;-&nbsp;immutable&nbsp;and&nbsp;append-only&nbsp;flags&nbsp;may&nbsp;be&nbsp;turned&nbsp;off.&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;All&nbsp;devices&nbsp;may&nbsp;be&nbsp;read&nbsp;or&nbsp;written&nbsp;subject&nbsp;to&nbsp;their&nbsp;permissions.&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;不安全模式&nbsp;-&nbsp;&quot;不可更动&quot;和&quot;只能附加&quot;这两个旗标(flag)可以被改变。所有的&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;devices&nbsp;可以照着它们的读写权限被读写。&nbsp;<BR>
&nbsp;<BR>
&nbsp;&nbsp;1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Secure&nbsp;mode&nbsp;-&nbsp;the&nbsp;system&nbsp;immutable&nbsp;and&nbsp;system&nbsp;append-only&nbsp;flags&nbsp;may&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;not&nbsp;be&nbsp;turned&nbsp;off;&nbsp;disks&nbsp;for&nbsp;mounted&nbsp;filesystems,&nbsp;/dev/mem,&nbsp;and&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;/dev/kmem&nbsp;may&nbsp;not&nbsp;be&nbsp;opened&nbsp;for&nbsp;writing.&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;安全模式&nbsp;-&nbsp;&quot;不可更动&quot;和&quot;只能附加&quot;&nbsp;的旗标不能被取消;&nbsp;mount&nbsp;上来的档案系&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;统,&nbsp;/dev/mem,&nbsp;和&nbsp;/dev/kmem&nbsp;不能写入。&nbsp;<BR>
&nbsp;<BR>
&nbsp;&nbsp;2&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Highly&nbsp;secure&nbsp;mode&nbsp;-&nbsp;same&nbsp;as&nbsp;secure&nbsp;mode,&nbsp;plus&nbsp;disks&nbsp;may&nbsp;not&nbsp;be&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;opened&nbsp;for&nbsp;writing&nbsp;(except&nbsp;by&nbsp;mount(2))&nbsp;&nbsp;whether&nbsp;mounted&nbsp;or&nbsp;not.&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;his&nbsp;level&nbsp;precludes&nbsp;tampering&nbsp;with&nbsp;filesystems&nbsp;by&nbsp;unmounting&nbsp;them,&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;but&nbsp;also&nbsp;inhibits&nbsp;running&nbsp;newfs(8)&nbsp;while&nbsp;the&nbsp;system&nbsp;is&nbsp;&nbsp;multi-user.&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;高安全模式&nbsp;-&nbsp;和安全模式一样,&nbsp;又多加了不管硬碟有没有被&nbsp;mount&nbsp;起来,&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;除了&nbsp;mount(2)&nbsp;之外都不能写入。它防止一个档案系统在&nbsp;umount&nbsp;的时候被&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;搞乱。而且在这个等级也禁止在&nbsp;multi-user&nbsp;时执行&nbsp;newfs(8)。&nbsp;<BR>
&nbsp;<BR>
&nbsp;&nbsp;如果安全等级最初是&nbsp;-1,&nbsp;那麽&nbsp;init&nbsp;就会保持原状。否则在&nbsp;single&nbsp;user&nbsp;mode&nbsp;时,&nbsp;<BR>
&nbsp;&nbsp;init&nbsp;会把安全等级调到&nbsp;0,&nbsp;而在&nbsp;multiuser&nbsp;mode&nbsp;时会以&nbsp;1&nbsp;来跑。如果你希望在&nbsp;<BR>
&nbsp;&nbsp;multiuser&nbsp;模式是以等级&nbsp;2&nbsp;在跑,&nbsp;你可以先进入&nbsp;single&nbsp;user&nbsp;mode,&nbsp;编辑&nbsp;/etc/rc,&nbsp;<BR>
&nbsp;&nbsp;使用&nbsp;sysctl&nbsp;来更动。&nbsp;<BR>
&nbsp;<BR>
&nbsp;&nbsp;若是你的系统只拿来跑&nbsp;web&nbsp;server&nbsp;之类的,&nbsp;你可以放心的将&nbsp;securelevel调高到2。&nbsp;<BR>
&nbsp;&nbsp;但若是你要跑&nbsp;X&nbsp;server,&nbsp;把你的&nbsp;securelevel&nbsp;调至&nbsp;1&nbsp;或更高会导致一些问题。因为&nbsp;<BR>
&nbsp;&nbsp;X&nbsp;server&nbsp;必须要写入&nbsp;/dev/mem&nbsp;和&nbsp;/dev/kmem,&nbsp;而&nbsp;securelevel&nbsp;1&nbsp;不允许你这麽做。&nbsp;<BR>
&nbsp;&nbsp;有一个解决的方法是,&nbsp;在启动&nbsp;X&nbsp;server&nbsp;後再调高&nbsp;securelevel。但我的意见是,&nbsp;如果&nbsp;<BR>
&nbsp;&nbsp;你跑&nbsp;X&nbsp;server&nbsp;的话,&nbsp;你已经有了其它的安全问题须要考量,&nbsp;而不止是&nbsp;securelevel。&nbsp;<BR>
&nbsp;&nbsp;以下这个指令会显示出你目前的&nbsp;securelevel&nbsp;设定值。&nbsp;<BR>
&nbsp;<BR>
#&nbsp;sysctl&nbsp;kern.securelevel&nbsp;<BR>
&nbsp;<BR>
&nbsp;<BR>
&nbsp;&nbsp;如果要提高你的&nbsp;securelevel:&nbsp;<BR>
#&nbsp;sysctl&nbsp;-w&nbsp;kern.securelevel=X&nbsp;<BR>
&nbsp;&nbsp;X&nbsp;可以是&nbsp;0,&nbsp;1&nbsp;或&nbsp;2。&nbsp;<BR>
&nbsp;<BR>
&nbsp;&nbsp;又在&nbsp;securelevel&nbsp;是&nbsp;1&nbsp;的话,&nbsp;你在&nbsp;&quot;make&nbsp;world&quot;&nbsp;时也会有些问题。因为&nbsp;&quot;make&nbsp;<BR>
&nbsp;&nbsp;install&quot;&nbsp;时会在&nbsp;kernel&nbsp;上加上&nbsp;immutable&nbsp;flag:&nbsp;<BR>
&nbsp;<BR>
#&nbsp;ls&nbsp;-lo&nbsp;/kernel&nbsp;<BR>
-r-xr-xr-x&nbsp;&nbsp;1&nbsp;root&nbsp;&nbsp;wheel&nbsp;&nbsp;schg&nbsp;1061679&nbsp;Jun&nbsp;30&nbsp;01:27&nbsp;/kernel&nbsp;<BR>
&nbsp;<BR>
&nbsp;&nbsp;&quot;schg&quot;&nbsp;flag&nbsp;会防止你安装新的&nbsp;kernel:&nbsp;<BR>
&nbsp;<BR>
nfr#&nbsp;id&nbsp;<BR>
uid=0(root)&nbsp;gid=0(wheel)&nbsp;groups=0(wheel),&nbsp;2(kmem)&nbsp;<BR>
&nbsp;<BR>
nfr#&nbsp;sysctl&nbsp;kern.securelevel&nbsp;<BR>
kern.securelevel:&nbsp;2&nbsp;<BR>
&nbsp;<BR>
nfr#&nbsp;rm&nbsp;-rf&nbsp;/kernel&nbsp;<BR>
rm:&nbsp;/kernel:&nbsp;Operation&nbsp;not&nbsp;permitted&nbsp;<BR>
&nbsp;<BR>
nfr#&nbsp;mv&nbsp;/kernel&nbsp;/tmp/&nbsp;<BR>
mv:&nbsp;rename&nbsp;/kernel&nbsp;to&nbsp;/tmp//kernel:&nbsp;Operation&nbsp;not&nbsp;permitted&nbsp;<BR>
&nbsp;<BR>
&nbsp;&nbsp;如果你在&nbsp;securelevel&nbsp;1&nbsp;或&nbsp;2,&nbsp;那麽&nbsp;schg&nbsp;flag&nbsp;是不能被改变的。&nbsp;<BR>
&nbsp;<BR>
#&nbsp;chflags&nbsp;noschg&nbsp;/kernel&nbsp;<BR>
chflags:&nbsp;/kernel:&nbsp;Operation&nbsp;not&nbsp;permitted&nbsp;<BR>
&nbsp;<BR>
&nbsp;&nbsp;值得留意的是,&nbsp;/boot.config&nbsp;可以改变你开机时的系统设定,要预防有心人篡改&nbsp;<BR>
&nbsp;&nbsp;你应该这麽做:&nbsp;<BR>