Securelevel

Securelevels sind Sicherheitskonfigurationen, die im Kernel gesetzt werden. Durch das Ändern der Securelevels wird definiert, wie restriktiv das System in Bezug auf Systemänderungen sein soll.

Aktivieren Sie die Securelevels beim Booten, indem Sie die folgende Zeile in /etc/rc.conf einfügen:

kern_securelevel_enable="YES"

Es existieren fünf Securelevels, zwischen denen Sie wechseln können. Je höher der Securelevel Ihres Systems ist, desto mehr Sicherheitsfunktionen werden hinzugefügt. Definieren Sie den Securelevel durch Hinzufügen von kern_securelevel=2 in rc.conf. Hier wurde er auf Securelevel 2 konfiguriert. Nach einem Systemneustart ist die Änderung aktiv.

Nachfolgend sind die Folgen für das System beschrieben, die der jeweilige Securelevel mit sich bringt:

-1: Standard, keine zusätzliche Kernel-Sicherheit.

0: Ein System, das auf den Securelevel "0" eingestellt ist, bootet nur mit dem Securelevel "-1" und wechselt automatisch auf den Securelevel "1", wenn es den Multi-User-Mode (Standard-Betriebsmodus) erreicht. Dies ist empfehlenswert, wenn Autostart-Skripte verwendet werden, deren Ausführung bei Securelevel 1 verboten wäre.

1: Bietet einige grundlegende Sicherheitsfunktionen:

• File-Flags können nicht einfach abgeschaltet werden (Siehe: File-Flags).
• Der Benutzer kann keine Kernel-Module laden und entladen.
• Programme können nicht über Devicenodes (/dev/mem und /dev/kmem) in den Speicher schreiben.
• Devicenode /dev/io kann nicht angesprochen werden.
• Debuggen und Panic des Systems über das Programm sysctl ist deaktiviert.
• Schreiben auf Raw-Disk-Devices ist untersagt.

2: Eigenschaften von "1" mit zusätzlichen Eigenschaften:

• Benutzer kann nicht über Devicenode auf Raw-Disk-Geräte schreiben.
• Es ist verboten, die Systemzeit um mehr als eine Sekunde zu verändern

3: Beinhaltet die Funktionen der Sicherheitsstufen 1 und 2 und bietet zusätzliche Netzwerksicherheit:

• Das Editieren von Firewall-Regeln ist deaktiviert.

Passendes Securelevel auswählen

Die Wahl des Securelevels hängt von Ihren Bedürfnissen ab. Wenn Sie ständig Änderungen vornehmen und ein flexibles System benötigen, ändern Sie nichts und lassen Sie das voreingestellte Securelevel (-1) aktiv. Sollten Sie kaum noch Konfigurationen am System vornehmen müssen und soll das System in Produktivumgebung eingesetzt werden, empfiehlt es sich das Securelevel höher zu setzen. Für Systeme in Produktivumgebung, die keine weiteren Systemänderungen benötigen, ist Sicherheitsstufe 2 empfehlenswert. Wenn auch Ihr Netzwerk bereits eingestellt ist und keine weiteren Firewall-Änderungen erforderlich sind, können Sie den Securelevel auf 3 erhöhen.