iptables -P[117665] устанавливает политику для цепочки.
Только встроенные (не определяемые пользователем) цепочки могут иметь политику, и ни встроенные, ни определяемые пользователем цепочки не могут быть целями политики.
Большая разница с точки зрения структуры заключается в следующем: [117660]DROP[117661]): Если определенная пользователем цепочка достигает своего конца без явного решения, то управляющий поток возвращается обратно в вызывающую цепочку, с точки зрения которой переход в вызываемую цепочку был таким же, как и любое другое правило, которое либо совпадает, либо не совпадает[117369].
Редактируемый файл - это всего лишь запись конфигурации ядра, когда оно было скомпилировано. Единственный способ изменения здесь будет работать, если вы подготовите свою систему к компиляции нового ядра и скопируете файл из /boot
в дерево исходных текстов ядра, чтобы использовать его в качестве опций ядра в процессе компиляции.
Конфигурационный файл просто используется для принятия решения о сборке ядра и передачи нескольких опций (таких как CONFIG_LOCALVERSION
). Например, первая строка в моем текущем конфигурационном файле:
CONFIG_64BIT=y
, которая говорит процессу сборки ядра для 64-битного компьютера. Если вы просмотрите файл, то увидите много опций, которые включают (y
) или отключают (n
) опцию и для драйверов позволяют собирать как загружаемый модуль (m
).
Файл, таким образом, не находится в ядре - он определяет ядро во время сборки. Ничего больше, ничего меньше. После компиляции ядра файл фактически переделывается. Они хранятся в /boot
, так что подобное ядро может быть перестроено позже, без проработки каждого отдельного параметра и принятия решения об их значениях с нуля. В моём текущем конфигурационном файле 4448 строк начинаются с CONFIG
- решение по каждой из них было бы довольно трудоёмким и предрасположенным к ошибкам. Вместо этого, я мог бы скопировать этот файл в дерево сборки ядра и изменить те несколько настроек, которые мне нужно изменить, а затем пересобрать ядро.
Так как CONFIG_LOCALVERSION
жестко закодирована во время компиляции, ее нельзя изменить. Ее можно прочитать только командой uname
, или, как сказал g4ur4v, из файловой системы proc по адресу /proc/sys/kernel
.
uname -r
принимает данные из / proc / sys / jernel / asrelease
.
Вы не можете изменить этот файл.
/ BOOT
Используется, когда вы хотите компилировать новое ядро, поэтому изменяющий файл не влияет на текущее ядро.