😄
😄
😄
😄
FreeBSD 手册 2022
Search…
FreeBSD 手册
FreeBSD 手册
概述
前言
目标受众
相对于第三版的改动
相对于第二版的改动 (2004)
相对于第一版的改动 (2001)
本书的组织结构
本书中使用的一些约定
致谢
第一部分:快速开始
第1章 简介
1.1.概述
1.2.欢迎来到 FreeBSD!
1.3.关于 FreeBSD 项目
第2章 安装 FreeBSD
2.1.概述
2.2.最低硬件要求
2.3.安装前的准备工作
2.4.开始安装
2.5.使用 bsdinstall
2.6.分配磁盘空间
2.7.获取安装文件
2.8.账户、时区、服务和安全
2.9.网络接口
2.10.故障排除
2.11.使用 Live CD
第3章 FreeBSD 基础
3.1.概述
3.2.虚拟控制台和终端
3.3.用户和基本账户管理
3.4.权限
3.5.目录结构
3.6.磁盘组织
3.7.文件系统的挂载与卸载
3.8.进程和守护进程
3.9.Shell
3.10.文本编辑器
3.11.设备和设备节点
3.12.手册页
第4章 安装应用程序: Package 和 Port
4.1.概述
4.2.软件安装的概述
4.3.寻找所需的应用程序
4.4.使用 pkg 进行二进制包管理
4.5.使用 Ports Collection
4.6.使用 Poudriere 构建软件包
4.7.安装后的注意事项
4.8.如何处理损坏的 port
第5章 X Window 系统
5.1.概述
5.2.术语
5.3.安装 Xorg
5.4.Xorg 配置
5.5.在 X11 中使用字体
5.6.X 显示管理器
5.7.桌面环境
5.8.使用 Compiz Fusion
5.9.故障排除
5.10.FreeBSD 中的 Wayland
第二部分:常见任务
第6章 桌面应用程序
6.1.概述
6.2.浏览器
6.3.生产力工具
6.4.文档阅读器
6.5.财务
第7章 多媒体
7.1.概述
7.2.设置声卡
7.3.MP3 音频
7.4.视频回放
7.5.电视卡
7.6.MythTV
7.7.图像扫描仪
第8章 配置 FreeBSD 内核
8.1.概述
8.2.为什么要构建自定义内核
8.3.浏览系统硬件
8.5.构建与安装自定义内核
8.6.如果发生了一些错误
第9章 打印
9.1.快速入门
9.2.打印机连接
9.3.常见的页面描述语言
9.4.直接打印
9.5.LPD(行式打印机程序)
9.6.其他打印系统
第10章 Linux 二进制兼容层
10.1.概述
10.2.配置 Linux 二进制兼容层
10.3.从 FreeBSD 软件包安装 CentOS 基础系统
10.4.使用 debootstrap(8) 构建 Debian / Ubuntu 基本系统
10.5. 高级主题
第11章 wine
11.1.概述
11.2.WINE 概述和概念
11.3.在 FreeBSD 上安装 WINE
11.4.在 FreeBSD 上运行第一个 WINE 程序
11.5.配置 WINE 安装
11.6.WINE 图形管理用户界面
11.7.FreeBSD 多用户与 WINE
11.8.WINE 与 FreeBSD FAQ
第三部分:系统管理
第12章 设置和调整
12.1.概述
12.2.启动服务
12.3.配置 cron(8)
12.4.管理 FreeBSD 中的服务
12.5.设置网卡
12.6.虚拟主机
12.7.配置系统日志
12.8.配置文件
12.9.使用 sysctl(8) 进行调整
12.10.调整磁盘
12.11.调整内核限制
12.12.添加交换空间
12.13.电源和资源管理
第13章 FreeBSD 的启动过程
13.1.概述
13.2.FreeBSD 的启动过程
13.3.Device Hints
13.4.关机顺序
第14章 安全
14.1.概述
14.2.介绍
14.3.一次性密码
14.4.TCP Wrapper
14.5.Kerberos
14.6.OpenSSL
14.7.IPsec 上的 VPN
14.8.OpenSSH
14.9.文件系统访问控制表
14.10.监测第三方安全问题
14.11.FreeBSD 安全公告
14.12.进程审计
14.13.资源配额
14.14.使用 sudo 管理权限
14.15.使用 doas 作为 sudo 的替代品
第15章 Jail
15.1.概述
15.2.与 Jail 有关的术语
15.3.建立和控制 Jail
15.4.微调和管理
15.5.更新多个 Jail
15.6.使用 ezjail 管理 Jail
第16章 强制访问控制
16.1.概述
16.2.关键术语
16.3.了解 MAC 标签
16.4.规划安全配置
16.5.可用的 MAC 策略
16.6.用户锁定
16.7.MAC Jail 中的 Nagios
16.8.MAC 框架的故障排除
第17章 安全事件审计
17.1.概述
17.2.关键术语
17.3.审计配置
17.4.使用审计追踪
第18章 存储
18.1.概述
18.2.添加磁盘
18.3.调整和增加磁盘大小
18.4.USB 存储设备
18.5.创建和使用 CD 媒体
18.6.创建和使用 DVD 媒体
18.7.创建和使用软盘
18.8.使用 NTFS 磁盘
18.9.备份基础
18.10.内存盘
18.11.文件系统快照
18.12.磁盘配额
18.13.加密磁盘分区
18.14.加密交换分区
18.15.高可用性存储(HAST)
第19章 GEOM: 模块化磁盘转换框架
19.1.概述
19.2.RAID0 - 条带
19.3.RAID1 - 镜像
19.4.RAID3 - 带有专用奇偶校验的字节级条带
19.5.软件 RAID 设备
19.6.GEOM Gate 网络设备
19.7.为磁盘设备添加卷标
19.8.通过 GEOM 实现 UFS 日志
第20章 Z 文件系统 (ZFS)
20.1.什么使 ZFS 与众不同
20.2.快速入门指南
20.3.zpool 管理
20.4.zfs 管理
20.5.委托管理
20.6.高级主题
20.7.更多资源
20.8.ZFS 特性和术语
第21章 其他文件系统
21.1.概述
21.2.Linux® 文件系统
第22章 虚拟化
22.1.概述
22.2.使用 macOS® 上的 Parallels Desktop 安装 FreeBSD
22.3.使用 macOS® 上的 VMware Fusion 安装 FreeBSD
22.4.使用 VirtualBox™ 安装 FreeBSD
22.5.在 FreeBSD 上安装 VirtualBox™
22.6.使用 FreeBSD 上的 bhyve 虚拟机
22.7.使用 FreeBSD 上的 Xen™ 虚拟机
第23章 本地化 - i18n/L10n 的使用和设置
23.1.概述
23.2.使用本地化
23.3.寻找 i18n 应用程序
23.4.特定语言的地域配置
第24章 更新与升级 FreeBSD
24.1.概述
24.2.FreeBSD 更新
24.3.更新文档集
24.4.追踪开发分支
24.5.从源代码更新 FreeBSD
24.6.多台机器的升级
第25章 DTrace
25.1.概述
25.2.实现上的差异
25.3.开启 DTrace 支持
25.4.使用 DTrace
第26章 USB Device 模式 / USB OTG
26.1.概述
26.2.USB 虚拟串行端口
26.3.USB Device 模式网络接口
26.4.USB 虚拟存储设备
第四部分:网络通讯
第27章 串行通信
27.1.概述
27.2.串行术语和硬件
27.3.终端机
27.4.拨入服务
27.5.拨出服务
27.6.设置串行控制台
第28章 PPP
28.1.概述
28.2.配置 PPP
28.3.PPP 连接的故障排除
28.4.使用以太网 PPP(PPPoE)
28.5.使用 ATM 上的 PPP (PPPoA)
第29章:电子邮件
29.1.概述
29.2.邮件组件
29.3.sendmail 配置文件
29.4.改变邮件传输代理
29.5.故障排除
29.6.高级主题
29.7.设置为仅发送
29.8.在拨号连接中使用邮件
29.9.SMTP 认证
29.10.邮件用户代理
29.11.使用 fetchmail
29.12.使用 procmail
第30章 网络服务器
30.1.概述
30.2.inetd 超级服务器
30.3.网络文件系统(NFS)
30.4.网络信息系统(NIS)
30.5.轻型目录访问协议(LDAP)
30.6.动态主机设置协议(DHCP)
30.7.域名系统(DNS)
30.8.Apache HTTP 服务器
30.9.文件传输协议(FTP)
30.10.用于 Microsoft® Windows® 客户端的文件和打印服务(Samba)
30.11.用 NTP 进行时钟同步
30.12.iSCSI 启动器和目标机器配置
第31章 防火墙
31.1.概述
31.2.防火墙的概念
31.3.PF
31.4.IPFW
31.5.IPFILTER (IPF)
31.6.黑名单
第32章 高级网络
32.1.概述
32.2.网关和路由
32.3.无线网络
32.4.USB Tethering
32.5.蓝牙
32.6.桥接
32.7.链接聚合和故障转移
32.8.使用 PXE 进行无盘操作
32.9.IPv6
32.10.共用地址冗余协议((CARP))
32.11.VLAN
第五部分:附录
附录 A. 获取 FreeBSD
A.1.镜像站
A.2.使用 Git
A.3.使用 Subversion
A.4.CD 和 DVD 套装
附录 B. 书目
B.1.FreeBSD 相关书籍
B.2.用户指南
B.3.管理指南
B.4.开发指南
B.6.安全性参考文献
B.5.深入操作系统
B.7.硬件参考文献
B.8.UNIX® 历史
B.9.期刊和杂志
附录 C. 网络资源
C.1.网站
C.2.邮件列表
C.3.Usenet 新闻组
附录 D. OpenPGP 密钥
D.1.官方成员
术语表
签名
Powered By GitBook
14.6.OpenSSL
OpenSSL 是 SSL 和 TLS 协议的开源实现。它在普通通信层之上提供了一个加密传输层,它可与许多网络应用程序和服务交织在一起。
FreeBSD 中包含的 OpenSSL 版本支持传输层安全性 1.0/1.1/1.2/1.3 (TLSv1/TLSv1.1/TLSv1.2/TLSv1.3) 网络安全协议,可以用作通用加密库。
OpenSSL 通常用于加密邮件客户端的身份验证,并保护基于 Web 的交易,如信用卡支付。一些 ports ,如 www/apache24databases/postgresql11-server,包括一个编译选项,用于使用 OpenSSL 进行构建。如果选定该端口,该端口将从基本系统添加使用 OpenSSL 的支持。要让端口从 security/openssl 端口针对 OpenSSL 进行编译,请将以下内容添加到 /etc/make.conf
1
DEFAULT_VERSIONS+= ssl=openssl
Copied!
OpenSSL 的另一个常见用途是提供用于软件应用程序的证书。证书可用于验证公司或个人的凭据。如果证书尚未由外部 证书颁发机构 (CA) 签名(如 http://www.verisign.com ),则使用该证书的应用程序将生成警告。获取签名证书会产生相关费用,并且使用签名证书不是强制性的,因为证书可以是自签名的。但是,使用外部权限将防止出现警告,并且可以使用户放心。
本节将演示如何在 FreeBSD 系统上创建和使用证书。有关如何创建用于签署自己的证书的 CA 的示例,请参阅 "配置 LDAP 服务器"
有关 SSL 的更多信息,请阅读免费的 OpenSSL 说明书

14.6.1. 生成证书

若要生成将由外部 CA 签名的证书,请发出以下命令并输入在提示符下请求的信息。此输入信息将写入证书。在 Common Name 提示符下,输入将使用该证书的系统的完全限定名称。如果此名称与服务器不匹配,则验证证书的应用程序将向用户发出警告,使证书提供的验证变得无用。
1
# openssl req -new -nodes -out req.pem -keyout cert.key -sha256 -newkey rsa:2048
2
Generating a 2048 bit RSA private key
3
..................+++
4
.............................................................+++
5
writing new private key to 'cert.key'
6
-----
7
You are about to be asked to enter information that will be incorporated
8
into your certificate request.
9
What you are about to enter is what is called a Distinguished Name or a DN.
10
There are quite a few fields but you can leave some blank
11
For some fields there will be a default value,
12
If you enter '.', the field will be left blank.
13
-----
14
Country Name (2 letter code) [AU]:US
15
State or Province Name (full name) [Some-State]:PA
16
Locality Name (eg, city) []:Pittsburgh
17
Organization Name (eg, company) [Internet Widgits Pty Ltd]:My Company
18
Organizational Unit Name (eg, section) []:Systems Administrator
19
Common Name (eg, YOUR name) []:localhost.example.org
20
Email Address []:[email protected]
21
22
Please enter the following 'extra' attributes
23
to be sent with your certificate request
24
A challenge password []:
25
An optional company name []:Another Name
Copied!
创建证书时,可以使用其他选项,例如过期时间和备用加密算法。选项的完整列表在 openssl(1) 中描述。
此命令将在当前目录中创建两个文件。证书请求 req.pem 可以发送到 CA,CA 将验证输入的凭据,对请求进行签名,并返回签名的证书。第二个文件 cert.key 是证书的私钥,应存储在安全的位置。如果这落入他人手中,则可以使用它来模拟用户或服务器。
或者,如果不需要来自 CA 的签名,则可以创建自签名证书。首先,生成 RSA 密钥:
1
# openssl genrsa -rand -genkey -out cert.key 2048
2
0 semi-random bytes loaded
3
Generating RSA private key, 2048 bit long modulus
4
.............................................+++
5
.................................................................................................................+++
6
e is 65537 (0x10001)
Copied!
使用此密钥创建自签名证书。按照创建证书的常规提示进行操作:
1
# openssl req -new -x509 -days 365 -key cert.key -out cert.crt -sha256
2
You are about to be asked to enter information that will be incorporated
3
into your certificate request.
4
What you are about to enter is what is called a Distinguished Name or a DN.
5
There are quite a few fields but you can leave some blank
6
For some fields there will be a default value,
7
If you enter '.', the field will be left blank.
8
-----
9
Country Name (2 letter code) [AU]:US
10
State or Province Name (full name) [Some-State]:PA
11
Locality Name (eg, city) []:Pittsburgh
12
Organization Name (eg, company) [Internet Widgits Pty Ltd]:My Company
13
Organizational Unit Name (eg, section) []:Systems Administrator
14
Common Name (e.g. server FQDN or YOUR name) []:localhost.example.org
15
Email Address []:[email protected]
Copied!
这将在当前目录中创建两个新文件:私钥文件 cert.key 证书和证书本身 cert.crt。这些应该放在一个目录中,最好是在 /etc/ssl/ 下,只有 root 才可读。0700 的权限适合这些文件,可以使用 chmod 设置。

14.6.2. 使用证书

证书的一种用途是加密与 Sendmail 邮件服务器的连接,以防止使用明文身份验证。
注意
如果用户尚未安装证书的本地副本,某些邮件客户端将显示错误。有关证书安装的详细信息,请参阅软件附带的文档。
在 FreeBSD 10.0-RELEASE 及更高版本中。可以自动为 Sendmail 创建一个自签名证书。若要启用此功能,请将以下行添加到 /etc/rc.conf
1
sendmail_enable="YES"
2
sendmail_cert_create="YES"
3
sendmail_cert_cn="localhost.example.org"
Copied!
这将自动创建一个自签名证书,/etc/mail/certs/host.cert、签名密钥、/etc/mail/certs/host.key 和一个 CA 证书 /etc/mail/certs/cacert.pem。该证书将使用 sendmail_cert_cn 中指定的 Common Name。保存编辑内容后,重新启动 Sendmail 。
1
# service sendmail restart
Copied!
如果一切顺利,/var/log/maillog 中将不会出现错误消息。对于简单的测试,请使用 telnet 命令连接到邮件服务器的侦听端口:
1
# telnet example.com 25
2
Trying 192.0.34.166...
3
Connected to example.com.
4
Escape character is '^]'.
5
220 example.com ESMTP Sendmail 8.14.7/8.14.7; Fri, 18 Apr 2014 11:50:32 -0400 (EDT)
6
ehlo example.com
7
250-example.com Hello example.com [192.0.34.166], pleased to meet you
8
250-ENHANCEDSTATUSCODES
9
250-PIPELINING
10
250-8BITMIME
11
250-SIZE
12
250-DSN
13
250-ETRN
14
250-AUTH LOGIN PLAIN
15
250-STARTTLS
16
250-DELIVERBY
17
250 HELP
18
quit
19
221 2.0.0 example.com closing connection
20
Connection closed by foreign host.
Copied!
如果 STARTTLS 出现在输出中,则一切正常。
第14章 安全 - Previous
14.5.Kerberos
Next - 第14章 安全
14.7.IPsec 上的 VPN
Last modified 21d ago
Copy link
Edit on GitHub
Contents
14.6.1. 生成证书
14.6.2. 使用证书