###############################

　　net.inet.ip.sourceroute=0

　　net.inet.ip.accept_sourceroute=0

　　#############################

　　通过源路由，攻击者可以尝试到达内部IP地址 --包括RFC1918中的地址，所以

　　不接受源路由信息包可以防止你的内部网络被探测。

　　#################################

　　net.inet.tcp.drop_synfin=1

　　###################################

　　安全参数，编译内核的时候加了options TCP_DROP_SYNFIN才可以用，可以阻止某些OS探测。

　　##################################

　　kern.maxvnodes=8446

　　#################http://www.bsdlover.cn#########

　　vnode 是对文件或目录的一种内部表达。 因此， 增加可以被操作系统利用的 vnode 数量将降低磁盘的 I/O。

　　一般而言， 这是由操作系统自行完成的，也不需要加以修改。但在某些时候磁盘 I/O 会成为瓶颈，

　　而系统的 vnode 不足， 则这一配置应被增加。此时需要考虑是非活跃和空闲内存的数量。

　　要查看当前在用的 vnode 数量：

　　# sysctl vfs.numvnodes

　　vfs.numvnodes: 91349

　　要查看最大可用的 vnode 数量：

　　# sysctl kern.maxvnodes

　　kern.maxvnodes: 100000

　　如果当前的 vnode 用量接近最大值，则将 kern.maxvnodes 值增大 1,000 可能是个好主意。

　　您应继续查看 vfs.numvnodes 的数值， 如果它再次攀升到接近最大值的程度，

　　仍需继续提高 kern.maxvnodes。 在 top(1) 中显示的内存用量应有显著变化，

　　更多内存会处于活跃 (active) 状态。

　　####################################

　　kern.maxproc: 964

标签：