😄
😄
😄
😄
FreeBSD 手册 2022
Search…
FreeBSD 手册
FreeBSD 手册
概述
前言
目标受众
相对于第三版的改动
相对于第二版的改动 (2004)
相对于第一版的改动 (2001)
本书的组织结构
本书中使用的一些约定
致谢
第一部分:快速开始
第1章 简介
1.1.概述
1.2.欢迎来到 FreeBSD!
1.3.关于 FreeBSD 项目
第2章 安装 FreeBSD
2.1.概述
2.2.最低硬件要求
2.3.安装前的准备工作
2.4.开始安装
2.5.使用 bsdinstall
2.6.分配磁盘空间
2.7.获取安装文件
2.8.账户、时区、服务和安全
2.9.网络接口
2.10.故障排除
2.11.使用 Live CD
第3章 FreeBSD 基础
3.1.概述
3.2.虚拟控制台和终端
3.3.用户和基本账户管理
3.4.权限
3.5.目录结构
3.6.磁盘组织
3.7.文件系统的挂载与卸载
3.8.进程和守护进程
3.9.Shell
3.10.文本编辑器
3.11.设备和设备节点
3.12.手册页
第4章 安装应用程序: Package 和 Port
4.1.概述
4.2.软件安装的概述
4.3.寻找所需的应用程序
4.4.使用 pkg 进行二进制包管理
4.5.使用 Ports Collection
4.6.使用 Poudriere 构建软件包
4.7.安装后的注意事项
4.8.如何处理损坏的 port
第5章 X Window 系统
5.1.概述
5.2.术语
5.3.安装 Xorg
5.4.Xorg 配置
5.5.在 X11 中使用字体
5.6.X 显示管理器
5.7.桌面环境
5.8.使用 Compiz Fusion
5.9.故障排除
5.10.FreeBSD 中的 Wayland
第二部分:常见任务
第6章 桌面应用程序
6.1.概述
6.2.浏览器
6.3.生产力工具
6.4.文档阅读器
6.5.财务
第7章 多媒体
7.1.概述
7.2.设置声卡
7.3.MP3 音频
7.4.视频回放
7.5.电视卡
7.6.MythTV
7.7.图像扫描仪
第8章 配置 FreeBSD 内核
8.1.概述
8.2.为什么要构建自定义内核
8.3.浏览系统硬件
8.5.构建与安装自定义内核
8.6.如果发生了一些错误
第9章 打印
9.1.快速入门
9.2.打印机连接
9.3.常见的页面描述语言
9.4.直接打印
9.5.LPD(行式打印机程序)
9.6.其他打印系统
第10章 Linux 二进制兼容层
10.1.概述
10.2.配置 Linux 二进制兼容层
10.3.从 FreeBSD 软件包安装 CentOS 基础系统
10.4.使用 debootstrap(8) 构建 Debian / Ubuntu 基本系统
10.5. 高级主题
第11章 wine
11.1.概述
11.2.WINE 概述和概念
11.3.在 FreeBSD 上安装 WINE
11.4.在 FreeBSD 上运行第一个 WINE 程序
11.5.配置 WINE 安装
11.6.WINE 图形管理用户界面
11.7.FreeBSD 多用户与 WINE
11.8.WINE 与 FreeBSD FAQ
第三部分:系统管理
第12章 设置和调整
12.1.概述
12.2.启动服务
12.3.配置 cron(8)
12.4.管理 FreeBSD 中的服务
12.5.设置网卡
12.6.虚拟主机
12.7.配置系统日志
12.8.配置文件
12.9.使用 sysctl(8) 进行调整
12.10.调整磁盘
12.11.调整内核限制
12.12.添加交换空间
12.13.电源和资源管理
第13章 FreeBSD 的启动过程
13.1.概述
13.2.FreeBSD 的启动过程
13.3.Device Hints
13.4.关机顺序
第14章 安全
14.1.概述
14.2.介绍
14.3.一次性密码
14.4.TCP Wrapper
14.5.Kerberos
14.6.OpenSSL
14.7.IPsec 上的 VPN
14.8.OpenSSH
14.9.文件系统访问控制表
14.10.监测第三方安全问题
14.11.FreeBSD 安全公告
14.12.进程审计
14.13.资源配额
14.14.使用 sudo 管理权限
14.15.使用 doas 作为 sudo 的替代品
第15章 Jail
15.1.概述
15.2.与 Jail 有关的术语
15.3.建立和控制 Jail
15.4.微调和管理
15.5.更新多个 Jail
15.6.使用 ezjail 管理 Jail
第16章 强制访问控制
16.1.概述
16.2.关键术语
16.3.了解 MAC 标签
16.4.规划安全配置
16.5.可用的 MAC 策略
16.6.用户锁定
16.7.MAC Jail 中的 Nagios
16.8.MAC 框架的故障排除
第17章 安全事件审计
17.1.概述
17.2.关键术语
17.3.审计配置
17.4.使用审计追踪
第18章 存储
18.1.概述
18.2.添加磁盘
18.3.调整和增加磁盘大小
18.4.USB 存储设备
18.5.创建和使用 CD 媒体
18.6.创建和使用 DVD 媒体
18.7.创建和使用软盘
18.8.使用 NTFS 磁盘
18.9.备份基础
18.10.内存盘
18.11.文件系统快照
18.12.磁盘配额
18.13.加密磁盘分区
18.14.加密交换分区
18.15.高可用性存储(HAST)
第19章 GEOM: 模块化磁盘转换框架
19.1.概述
19.2.RAID0 - 条带
19.3.RAID1 - 镜像
19.4.RAID3 - 带有专用奇偶校验的字节级条带
19.5.软件 RAID 设备
19.6.GEOM Gate 网络设备
19.7.为磁盘设备添加卷标
19.8.通过 GEOM 实现 UFS 日志
第20章 Z 文件系统 (ZFS)
20.1.什么使 ZFS 与众不同
20.2.快速入门指南
20.3.zpool 管理
20.4.zfs 管理
20.5.委托管理
20.6.高级主题
20.7.更多资源
20.8.ZFS 特性和术语
第21章 其他文件系统
21.1.概述
21.2.Linux® 文件系统
第22章 虚拟化
22.1.概述
22.2.使用 macOS® 上的 Parallels Desktop 安装 FreeBSD
22.3.使用 macOS® 上的 VMware Fusion 安装 FreeBSD
22.4.使用 VirtualBox™ 安装 FreeBSD
22.5.在 FreeBSD 上安装 VirtualBox™
22.6.使用 FreeBSD 上的 bhyve 虚拟机
22.7.使用 FreeBSD 上的 Xen™ 虚拟机
第23章 本地化 - i18n/L10n 的使用和设置
23.1.概述
23.2.使用本地化
23.3.寻找 i18n 应用程序
23.4.特定语言的地域配置
第24章 更新与升级 FreeBSD
24.1.概述
24.2.FreeBSD 更新
24.3.更新文档集
24.4.追踪开发分支
24.5.从源代码更新 FreeBSD
24.6.多台机器的升级
第25章 DTrace
25.1.概述
25.2.实现上的差异
25.3.开启 DTrace 支持
25.4.使用 DTrace
第26章 USB Device 模式 / USB OTG
26.1.概述
26.2.USB 虚拟串行端口
26.3.USB Device 模式网络接口
26.4.USB 虚拟存储设备
第四部分:网络通讯
第27章 串行通信
27.1.概述
27.2.串行术语和硬件
27.3.终端机
27.4.拨入服务
27.5.拨出服务
27.6.设置串行控制台
第28章 PPP
28.1.概述
28.2.配置 PPP
28.3.PPP 连接的故障排除
28.4.使用以太网 PPP(PPPoE)
28.5.使用 ATM 上的 PPP (PPPoA)
第29章:电子邮件
29.1.概述
29.2.邮件组件
29.3.sendmail 配置文件
29.4.改变邮件传输代理
29.5.故障排除
29.6.高级主题
29.7.设置为仅发送
29.8.在拨号连接中使用邮件
29.9.SMTP 认证
29.10.邮件用户代理
29.11.使用 fetchmail
29.12.使用 procmail
第30章 网络服务器
30.1.概述
30.2.inetd 超级服务器
30.3.网络文件系统(NFS)
30.4.网络信息系统(NIS)
30.5.轻型目录访问协议(LDAP)
30.6.动态主机设置协议(DHCP)
30.7.域名系统(DNS)
30.8.Apache HTTP 服务器
30.9.文件传输协议(FTP)
30.10.用于 Microsoft® Windows® 客户端的文件和打印服务(Samba)
30.11.用 NTP 进行时钟同步
30.12.iSCSI 启动器和目标机器配置
第31章 防火墙
31.1.概述
31.2.防火墙的概念
31.3.PF
31.4.IPFW
31.5.IPFILTER (IPF)
31.6.黑名单
第32章 高级网络
32.1.概述
32.2.网关和路由
32.3.无线网络
32.4.USB Tethering
32.5.蓝牙
32.6.桥接
32.7.链接聚合和故障转移
32.8.使用 PXE 进行无盘操作
32.9.IPv6
32.10.共用地址冗余协议((CARP))
32.11.VLAN
第五部分:附录
附录 A. 获取 FreeBSD
A.1.镜像站
A.2.使用 Git
A.3.使用 Subversion
A.4.CD 和 DVD 套装
附录 B. 书目
B.1.FreeBSD 相关书籍
B.2.用户指南
B.3.管理指南
B.4.开发指南
B.6.安全性参考文献
B.5.深入操作系统
B.7.硬件参考文献
B.8.UNIX® 历史
B.9.期刊和杂志
附录 C. 网络资源
C.1.网站
C.2.邮件列表
C.3.Usenet 新闻组
附录 D. OpenPGP 密钥
D.1.官方成员
术语表
签名
Powered By GitBook
14.13.资源配额
FreeBSD 为管理员提供了几种方法来限制个人可以使用的系统资源量。磁盘配额限制用户可用的磁盘空间量。磁盘配额 中讨论了配额。
对其他资源(如 CPU 和内存)的限制可以使用平面文件或命令来配置资源限制数据库。传统方法通过编辑 /etc/login.conf 来定义登录类。虽然仍然支持此方法,但任何更改都需要多步骤过程:编辑此文件、重建资源数据库、对 /etc/master.passwd 进行必要的更改以及重建密码数据库。这可能会变得非常耗时,具体取决于要配置的用户数。
rctl 可用于提供更细粒度的方法来控制资源限制。此命令支持的不仅仅是用户限制,因为它还可用于设置进程和 jail 的资源约束。
本节演示控制资源的两种方法(从传统方法开始)。

14.13.1. 配置登录类

在传统方法中,登录类和应用于登录类的资源限制在 /etc/login.conf 中定义。每个用户账户都可以被分配到一个登录类别,其中 default 是默认的登录类别。每个登录类都有一组与之相关的登录能力。一个登录能力是一个 name=value 对,其中 name 是一个众所周知的标识符,value 是一个任意的字符串,会根据名称进行相应的处理。
注意
每当编辑 /etc/login.conf 时,必须通过执行以下命令更新 /etc/login.conf.db
1
# cap_mkdb /etc/login.conf
Copied!
资源限制在两个方面与默认登录功能不同。首先,对于每个限制,都有一个 限制和 限制。软限制可以由用户或应用程序调整,但不能设置为高于硬限制。硬限制可以由用户降低,但只能由超级用户提高。其次,大多数资源限制适用于特定用户的每个进程。
登录类资源限制 列出了最常用的资源限制。所有可用的资源限制和功能都在 login.conf(5) 中有详细描述。
资源限制
描述
核心转储大小
程序生成的核心文件大小限制从属于磁盘使用的其他限制,例如 filesize 或磁盘配额。此限制通常用作控制磁盘空间消耗的不太严格的方法。由于用户不生成核心文件,并且通常不会删除它们,因此在大型程序崩溃时,此设置可能会使它们免于磁盘空间不足。
cputime
用户进程可能消耗的最大 CPU 时间量。有问题的进程将被内核杀死。这是对所用 CPU 时间 的限制,而不是 topps 生成的某些字段中显示的 CPU 百分比。
文件大小
用户可能拥有的文件的最大大小。与磁盘配额(磁盘配额)不同,此限制是对单个文件强制执行的,而不是用户拥有的所有文件集。
最大过程
用户可以运行的前台和后台进程的最大数目。此限制不得大于 kern.maxproc 指定的系统限制。将此限制设置得太小可能会妨碍用户的工作效率,因为某些任务(如编译大型程序)会启动许多进程。
内存锁定
使用 mlock(2) 可以请求将进程锁定到主内存中的最大内存量。一些系统关键型程序,如 amd(8),锁定到主内存中。这样,如果系统开始交换。它们不会导致磁盘抖动。
内存使用
进程在任何给定时间可能消耗的最大内存量。它包括核心内存和交换使用。这不是限制内存消耗的包罗万象的限制,但这是一个良好的开端。
打开的文件
进程可能已打开的最大文件数。在 FreeBSD 中,文件用于表示套接字和 IPC 通道。所以要小心不要设置得太低。系统范围的限制由 kern.maxfiles 定义。
sbsize
对用户可能消耗的网络内存量的限制。这通常可用于限制网络通信。
堆栈大小
进程堆栈的最大大小。仅凭这一点不足以限制程序可能使用的内存量,因此应将其与其他限制结合使用。
设置资源限制时,还需要记住其他一些事项:
  • 在系统启动时由 /etc/rc 启动的进程将分配给 daemon 登录类。
  • 尽管对于大多数限制,默认的 /etc/login.conf 是合理值的良好来源,但它们可能并不适合每个系统。将限制设置得太高可能会使系统容易被滥用,而将其设置得太低可能会给生产力带来压力。
  • Xorg 占用大量资源,并鼓励用户同时运行更多程序。
  • 许多限制适用于单个进程,而不是整个用户。例如,设置 openfiles50 意味着用户运行的每个进程最多可以打开 50 个文件。一个用户可以打开的文件总量是 openfiles 的值乘以 maxproc 的值。这也适用于内存消耗。
有关资源限制以及登录类和功能的更多信息,请参阅 cap.mkdb(1)、getrlimit(2)login.conf(5)

14.13.2. 启用和配置资源限制

可调参数 kern.racct.enable 必须设置为非零值。自定义内核需要特定配置:
1
options RACCT
2
options RCTL
Copied!
一旦系统重新引导到新内核中,rctl 可用于为系统设置规则。
通过使用主题、使用者 ID、资源和操作来控制规则语法,如以下示例规则所示:
1
user:trhodes:maxproc:deny=10/user
Copied!
在这个规则中,主体是 user,主体 ID 是 trhodes,资源 maxproc 是最大进程数,动作是 deny,它阻止任何新进程的创建。这意味着,用户 trhodes 将被限制在不超过10个进程的范围内。其他可能的动作包括向控制台记录,向 devd(8) 传递通知,或者向进程发送一个 sigterm。
在添加规则时必须注意一些问题。由于这个用户被限制为10个进程,这个例子将阻止用户在登录和执行 screen 会话后执行其他任务。一旦达到资源限制,将打印出一个错误,如本例。
1
% man test
2
/usr/bin/man: Cannot fork: Resource temporarily unavailable
3
eval: Cannot fork: Resource temporarily unavailable
Copied!
作为另一个示例,可以防止 jail 超过内存限制。此规则可以写为:
1
# rctl -a jail:httpd:memoryuse:deny=2G/jail
Copied!
如果规则已添加到 /etc/rctl.conf 中,则这些规则将在重新启动后持续存在。格式是一个规则,没有前面的命令。例如,可以将前面的规则添加为:
1
# Block jail from using more than 2G memory:
2
jail:httpd:memoryuse:deny=2G/jail
Copied!
要删除规则,请使用 rctl 将其从列表中删除:
1
# rctl -r user:trhodes:maxproc:deny=10/user
Copied!
删除所有规则的方法记录在 rctl(8) 中。但是,如果需要删除单个用户的所有规则,则可能会发出以下命令:
1
# rctl -r user:trhodes
Copied!
还有许多其他的资源,可以用来对各种主题进行额外的控制。参见 rctl(8) 来了解它们。
第14章 安全 - Previous
14.12.进程审计
Next - 第14章 安全
14.14.使用 sudo 管理权限
Last modified 21d ago
Copy link
Edit on GitHub
Contents
14.13.1. 配置登录类
14.13.2. 启用和配置资源限制