0：基本上作用不多，当你的系统刚启动就是0级别的，当进入多用户模式的时候就自动变成1级了。

　　1：在这个级别上，有如下几个限制：

　　a. 不能通过kldload或者kldunload加载或者卸载可加载内核模块；

　　b. 应用程序不能通过/dev/mem或者/dev/kmem直接写内存；

　　c. 不能直接往已经装在(mounted)的磁盘写东西，也就是不能格式化磁盘，但是可以通过标准的内核接口执行写操作；

　　d. 不能启动X-Windows，同时不能使用chflags来修改文件属性；

　　2：在 1 级别的基础上还不能写没装载的磁盘，而且不能在1秒之内制造多次警告，这个是防止Dos控制台的；

　　3：在 2 级别的级别上不允许修改IPFW防火墙的规则。

　　如果你已经装了防火墙，并且把规则设好了，不轻易改动，那么建议使用3级别，如果你没有装防火墙，而且还准备装防火墙的话，不建议使用。

　　我们这里推荐使用 2 级别，能够避免比较多对内核攻击。

　　####################################

　　kern.maxfilesperproc: 1735

　　#################http://www.bsdlover.cn#########

　　每个进程能够同时打开的最大文件数量，网上很多资料写的是32768

　　除非用异步I/O或大量线程，打开这么多的文件恐怕是不太正常的。

　　我个人建议不做修改，保留默认。

　　####################################

　　kern.ipc.maxsockbuf: 262144

　　#################http://www.bsdlover.cn#########

　　最大的套接字缓冲区，网上有建议设置为2097152（2M）、8388608（8M）的。

　　我个人倒是建议不做修改，保持默认的256K即可，缓冲区大了可能造成碎片、阻塞或者丢包。

　　####################################

标签：