Параметры ядра

Имя пакета: astra-systemsettings
Версия пакета: 4:5.27.8-1astra12+ci10 и выше
Условия работы: вход в сессию с правами администратора

Общие сведения

Просмотр и изменение параметров ядра ОС.

Параметры ядра задаются совокупностью конфигурационных файлов. Каждый конфигурационный файл содержит набор параметров ядра и их значения. Изменение параметров ядра заключается в создании, редактировании и удалении конфигурационных файлов.

Запуск

Модуль запускается:

в графическом интерфейсе:
- через меню Пуск — Параметры — Ограничения программной среды — Параметры ядра;
- через классическое меню Пуск — Параметры системы, в окне Параметры системы перейти в раздел Ограничения программной среды — Параметры ядра;
из терминала — выполнить команду:

astra-systemsettings astra_kcm_kernel_parameters

Просмотр конфигурационных файлов

Совокупность параметров ядра во всех конфигурационных файлах определяет текущие параметры ядра (см. Текущие параметры ядра).

Список конфигурационных файлов, содержащих параметры ядра, отображается в главном окне модуля в виде таблицы со следующими столбцами:

Имя — название конфигурационного файла;
Путь — путь к конфигурационному файлу;
Системный — наличие отметки о том, что конфигурационный файл является системным. Системный конфигурационный файл невозможно отредактировать или удалить.

По умолчанию таблица отсортирована по столбцу Путь (т.е. по полному пути и названию файла) в порядке возрастания, т.к. приоритет конфигурационного файла определяется его расположением и названием. Приоритет важен, если несколько конфигурационных файлов задают разные значения для одного и того же параметра (см. Текущие параметры ядра).

Для сортировки по другому столбцу необходимо нажать на заголовок столбца, для сортировки в обратном порядке — нажать повторно.

Для поиска конфигурационного файла в таблице по имени можно воспользоваться фильтром. Режим работы фильтра можно выбрать из выпадающего списка:

Подстановка — позволяет использовать специальные символы и последовательности:
- «?» — на месте специального символа может быть не более одного любого символа (например, «?id» будет совпадать с «id», «uid» и «gid»);
- «*» — на месте специального символа может быть любое количество любых символов (например, «s*e» будет совпадать с «space» и «scope»);
- «[ ]» — в квадратных скобках перечисляются символы (буквы, цифры, знаки препинания, пробел и другие), которые могут быть на этом месте в любом количестве и в любой последовательности. При перечислении не используются пробелы и разделяющие знаки;
Регулярное выражение — позволяет использовать регулярные выражения на основе языка Perl;
Строка — выполняет посимвольное сравнение с введенной строкой.

Для просмотра конфигурационного файла необходимо дважды нажать на соответствующей строке в таблице. Будет отображен список содержащихся в конфигурационном файле параметров и их значения (перечень основных параметров ядра см. Примеры параметров ядра).

Просматриваемый конфигурационный файл можно отредактировать (см. Редактирование конфигурационного файла).

Для возврата к таблице конфигурационных файлов необходимо нажать [Назад].

Текущие параметры ядра

Для просмотра текущих параметров ядра необходимо установить флаг Текущие параметры ядра, при этом будет отображена таблица, содержащая следующие столбцы:

Ключ — название параметра;
Значение — значение параметра;
Источник — название конфигурационного файла, содержащего параметр.

ВНИМАНИЕ! Если несколько конфигурационных файлов задают для одного и того же параметра разные значения, то будет использовано значение из конфигурационного файла, идущего последним при упорядочивании таблицы по столбцу Путь в порядке возрастания (см. Просмотр конфигурационных файлов).

Перечень и описание параметров ядра по умолчанию см. Примеры параметров ядра.

Для возврата к таблице конфигурационных файлов необходимо нажать [Назад] или снять флаг Текущие параметры ядра.

Изменить текущие параметры ядра можно следующими способами:

создать новый конфигурационный файл (см. Создание конфигурационного файла);
отредактировать конфигурационный файл (см. Редактирование конфигурационного файла);
удалить конфигурационный файл (см. Удаление конфигурационного файла).

Создание конфигурационного файла

Для создания конфигурационного файла необходимо:

нажать правой кнопкой мыши в таблице конфигурационных файлов и в контекстном меню выбрать Создать;
в поле Шаблон указать название конфигурационного файла.

Затем необходимо сформировать список параметров в созданном конфигурационном файле (см. Редактирование конфигурационного файла).

Для сохранения конфигурационного файла необходимо нажать [Применить], при необходимости ввести пароль администратора. Конфигурационный файл будет сохранен в каталоге /etc/sysctl.d/ с именем, указанным в поле Шаблон, и расширением *.conf. Для применения изменений требуется перезагрузка.

Редактирование конфигурационного файла

Для редактирования конфигурационного файла необходимо дважды нажать на соответствующей строке в таблице конфигурационных файлов. Будет отображен список содержащихся в конфигурационном файле параметров с их значениями (см. Просмотр конфигурационных файлов).

Добавить параметры в конфигурационный файл можно одним из следующих способов:

импортировать из существующего конфигурационного файла:
- нажать [Импорт параметров];

- в открывшемся окне навигации перейти в каталог расположения нужного конфигурационного файла, выбрать конфигурационный файл и нажать [Открыть];
добавить вручную:
- нажать [Добавить параметр];

- нажать на поле Ключ (при необходимости ввести пароль администратора) и из отобразившегося выпадающего списка выбрать параметр;
- нажать на поле Значение (при необходимости ввести пароль администратора) и ввести значение параметра.

Для редактирования параметра необходимо в соответствующей строке:

нажать на поле Ключ (при необходимости ввести пароль администратора) и из отобразившегося выпадающего списка выбрать параметр;
нажать на поле Значение (при необходимости ввести пароль администратора) и ввести значение параметра.

Для удаления параметра из конфигурационного файла необходимо выбрать параметр и нажать [Удалить параметр].

Для удаления всех параметров из конфигурационного файла необходимо нажать [Удалить все параметры].

При необходимости можно изменить название конфигурационного файла, отредактировав поле Шаблон.

Для сохранения изменений нажать [Применить], при необходимости ввести пароль администратора. Для применения изменений требуется перезагрузка.

Удаление конфигурационного файла

Для удаления конфигурационного файла необходимо:

нажать правой кнопкой мыши на конфигурационный файл в таблице конфигурационных файлов;
в контекстном меню выбрать Удалить;
в открывшемся окне нажать [Да] для подтверждения.

Конфигурационный файл будет удален из таблицы, а также из каталога /etc/sysctl.d/.

Обновление конфигурационных файлов

Если конфигурационные файлы были изменены в другой программе, то для отображения этих изменений в модуле необходимо нажать [Обновить].

Для обновления отдельного конфигурационного файла необходимо вызвать контекстное меню соответствующей строки в таблице конфигурационных файлов и выбрать [Обновить].

Отмена несохраненных изменений

Для отмены всех несохраненных изменений (например, при создании конфигурационных файлов или параметров) необходимо нажать [Сбросить].

Примеры параметров ядра

Перечень параметров ядра, заданных по умолчанию в конфигурационных файлах, их краткое описание и возможные значения приведены в таблице.

Параметр	Описание	Значения
fs.suid_dumpable	Создание дампа ядра для исполняемых файлов с установленным битом `SUID` и файлов, для которых установлены права только на выполнение	`0` — запретить создание дампа ядра; `1` — разрешить создание дампа ядра; `2` — разрешить создание дампа ядра, но чтение дампа разрешить только учетной записи `root`
kernel.randomize_va_space	Рандомизация адресного пространства для защиты от атак на переполнение буфера	`0` — отключить рандомизацию адресного пространства; `1` — включить рандомизацию адресного пространства; `2` — дополнительно включить рандомизацию кучи
kernel.sysrq	Блокировка клавиши <SysRq>	`0` — блокировать клавишу <SysRq>; `1` — не блокировать клавишу <SysRq>
kernel.yama.ptrace_scope	Режим работы модуля Yama, ограничивающего использование механизма `ptrace` для отладки процессов	`0` — разрешить подключение с помощью `ptrace` ко всем процессам, запущенным от имени текущего пользователя; 1 — разрешить подключение только к дочерним процессам, за исключением случаев явного указания текущим процессом возможного процесса-отладчика через вызов `prctl` с параметром `PR_SET_PTRACER`, задав pid процесса-отладчика (когда любые процессы, связанные с конкретной службой, должны отлаживаться специально выделенным для этого процессом), или с параметром `PR_SET_PTRACER_ANY` (для разрешения любому процессу отлаживать текущий процесс); 2 — возможно подключение к любым процессам с использованием `PTRACE_TRACEME` или `PTRACE_ATTACH`, но только при наличии у процесса-отладчика привилегии `CAP_SYS_PTRACE`; `3` — запретить подключение к другим процессам с помощью `ptrace`
net.ipv4.conf.all.rp_filter	Фильтрация обратного пути у всех интерфейсов	`0` — отключить фильтрацию обратного пути у всех интерфейсов; `1` — включить фильтрацию обратного пути у всех интерфейсов
net.ipv4.conf.default.rp_filter	Фильтрация обратного пути по умолчанию	`0` — не использовать фильтрацию обратного пути по умолчанию; `1` — использовать фильтрацию обратного пути по умолчанию