😄
😄
😄
😄
FreeBSD 手册 2022
Search…
FreeBSD 手册
FreeBSD 手册
概述
前言
目标受众
相对于第三版的改动
相对于第二版的改动 (2004)
相对于第一版的改动 (2001)
本书的组织结构
本书中使用的一些约定
致谢
第一部分:快速开始
第1章 简介
1.1.概述
1.2.欢迎来到 FreeBSD!
1.3.关于 FreeBSD 项目
第2章 安装 FreeBSD
2.1.概述
2.2.最低硬件要求
2.3.安装前的准备工作
2.4.开始安装
2.5.使用 bsdinstall
2.6.分配磁盘空间
2.7.获取安装文件
2.8.账户、时区、服务和安全
2.9.网络接口
2.10.故障排除
2.11.使用 Live CD
第3章 FreeBSD 基础
3.1.概述
3.2.虚拟控制台和终端
3.3.用户和基本账户管理
3.4.权限
3.5.目录结构
3.6.磁盘组织
3.7.文件系统的挂载与卸载
3.8.进程和守护进程
3.9.Shell
3.10.文本编辑器
3.11.设备和设备节点
3.12.手册页
第4章 安装应用程序: Package 和 Port
4.1.概述
4.2.软件安装的概述
4.3.寻找所需的应用程序
4.4.使用 pkg 进行二进制包管理
4.5.使用 Ports Collection
4.6.使用 Poudriere 构建软件包
4.7.安装后的注意事项
4.8.如何处理损坏的 port
第5章 X Window 系统
5.1.概述
5.2.术语
5.3.安装 Xorg
5.4.Xorg 配置
5.5.在 X11 中使用字体
5.6.X 显示管理器
5.7.桌面环境
5.8.使用 Compiz Fusion
5.9.故障排除
5.10.FreeBSD 中的 Wayland
第二部分:常见任务
第6章 桌面应用程序
6.1.概述
6.2.浏览器
6.3.生产力工具
6.4.文档阅读器
6.5.财务
第7章 多媒体
7.1.概述
7.2.设置声卡
7.3.MP3 音频
7.4.视频回放
7.5.电视卡
7.6.MythTV
7.7.图像扫描仪
第8章 配置 FreeBSD 内核
8.1.概述
8.2.为什么要构建自定义内核
8.3.浏览系统硬件
8.5.构建与安装自定义内核
8.6.如果发生了一些错误
第9章 打印
9.1.快速入门
9.2.打印机连接
9.3.常见的页面描述语言
9.4.直接打印
9.5.LPD(行式打印机程序)
9.6.其他打印系统
第10章 Linux 二进制兼容层
10.1.概述
10.2.配置 Linux 二进制兼容层
10.3.从 FreeBSD 软件包安装 CentOS 基础系统
10.4.使用 debootstrap(8) 构建 Debian / Ubuntu 基本系统
10.5. 高级主题
第11章 wine
11.1.概述
11.2.WINE 概述和概念
11.3.在 FreeBSD 上安装 WINE
11.4.在 FreeBSD 上运行第一个 WINE 程序
11.5.配置 WINE 安装
11.6.WINE 图形管理用户界面
11.7.FreeBSD 多用户与 WINE
11.8.WINE 与 FreeBSD FAQ
第三部分:系统管理
第12章 设置和调整
12.1.概述
12.2.启动服务
12.3.配置 cron(8)
12.4.管理 FreeBSD 中的服务
12.5.设置网卡
12.6.虚拟主机
12.7.配置系统日志
12.8.配置文件
12.9.使用 sysctl(8) 进行调整
12.10.调整磁盘
12.11.调整内核限制
12.12.添加交换空间
12.13.电源和资源管理
第13章 FreeBSD 的启动过程
13.1.概述
13.2.FreeBSD 的启动过程
13.3.Device Hints
13.4.关机顺序
第14章 安全
14.1.概述
14.2.介绍
14.3.一次性密码
14.4.TCP Wrapper
14.5.Kerberos
14.6.OpenSSL
14.7.IPsec 上的 VPN
14.8.OpenSSH
14.9.文件系统访问控制表
14.10.监测第三方安全问题
14.11.FreeBSD 安全公告
14.12.进程审计
14.13.资源配额
14.14.使用 sudo 管理权限
14.15.使用 doas 作为 sudo 的替代品
第15章 Jail
15.1.概述
15.2.与 Jail 有关的术语
15.3.建立和控制 Jail
15.4.微调和管理
15.5.更新多个 Jail
15.6.使用 ezjail 管理 Jail
第16章 强制访问控制
16.1.概述
16.2.关键术语
16.3.了解 MAC 标签
16.4.规划安全配置
16.5.可用的 MAC 策略
16.6.用户锁定
16.7.MAC Jail 中的 Nagios
16.8.MAC 框架的故障排除
第17章 安全事件审计
17.1.概述
17.2.关键术语
17.3.审计配置
17.4.使用审计追踪
第18章 存储
18.1.概述
18.2.添加磁盘
18.3.调整和增加磁盘大小
18.4.USB 存储设备
18.5.创建和使用 CD 媒体
18.6.创建和使用 DVD 媒体
18.7.创建和使用软盘
18.8.使用 NTFS 磁盘
18.9.备份基础
18.10.内存盘
18.11.文件系统快照
18.12.磁盘配额
18.13.加密磁盘分区
18.14.加密交换分区
18.15.高可用性存储(HAST)
第19章 GEOM: 模块化磁盘转换框架
19.1.概述
19.2.RAID0 - 条带
19.3.RAID1 - 镜像
19.4.RAID3 - 带有专用奇偶校验的字节级条带
19.5.软件 RAID 设备
19.6.GEOM Gate 网络设备
19.7.为磁盘设备添加卷标
19.8.通过 GEOM 实现 UFS 日志
第20章 Z 文件系统 (ZFS)
20.1.什么使 ZFS 与众不同
20.2.快速入门指南
20.3.zpool 管理
20.4.zfs 管理
20.5.委托管理
20.6.高级主题
20.7.更多资源
20.8.ZFS 特性和术语
第21章 其他文件系统
21.1.概述
21.2.Linux® 文件系统
第22章 虚拟化
22.1.概述
22.2.使用 macOS® 上的 Parallels Desktop 安装 FreeBSD
22.3.使用 macOS® 上的 VMware Fusion 安装 FreeBSD
22.4.使用 VirtualBox™ 安装 FreeBSD
22.5.在 FreeBSD 上安装 VirtualBox™
22.6.使用 FreeBSD 上的 bhyve 虚拟机
22.7.使用 FreeBSD 上的 Xen™ 虚拟机
第23章 本地化 - i18n/L10n 的使用和设置
23.1.概述
23.2.使用本地化
23.3.寻找 i18n 应用程序
23.4.特定语言的地域配置
第24章 更新与升级 FreeBSD
24.1.概述
24.2.FreeBSD 更新
24.3.更新文档集
24.4.追踪开发分支
24.5.从源代码更新 FreeBSD
24.6.多台机器的升级
第25章 DTrace
25.1.概述
25.2.实现上的差异
25.3.开启 DTrace 支持
25.4.使用 DTrace
第26章 USB Device 模式 / USB OTG
26.1.概述
26.2.USB 虚拟串行端口
26.3.USB Device 模式网络接口
26.4.USB 虚拟存储设备
第四部分:网络通讯
第27章 串行通信
27.1.概述
27.2.串行术语和硬件
27.3.终端机
27.4.拨入服务
27.5.拨出服务
27.6.设置串行控制台
第28章 PPP
28.1.概述
28.2.配置 PPP
28.3.PPP 连接的故障排除
28.4.使用以太网 PPP(PPPoE)
28.5.使用 ATM 上的 PPP (PPPoA)
第29章:电子邮件
29.1.概述
29.2.邮件组件
29.3.sendmail 配置文件
29.4.改变邮件传输代理
29.5.故障排除
29.6.高级主题
29.7.设置为仅发送
29.8.在拨号连接中使用邮件
29.9.SMTP 认证
29.10.邮件用户代理
29.11.使用 fetchmail
29.12.使用 procmail
第30章 网络服务器
30.1.概述
30.2.inetd 超级服务器
30.3.网络文件系统(NFS)
30.4.网络信息系统(NIS)
30.5.轻型目录访问协议(LDAP)
30.6.动态主机设置协议(DHCP)
30.7.域名系统(DNS)
30.8.Apache HTTP 服务器
30.9.文件传输协议(FTP)
30.10.用于 Microsoft® Windows® 客户端的文件和打印服务(Samba)
30.11.用 NTP 进行时钟同步
30.12.iSCSI 启动器和目标机器配置
第31章 防火墙
31.1.概述
31.2.防火墙的概念
31.3.PF
31.4.IPFW
31.5.IPFILTER (IPF)
31.6.黑名单
第32章 高级网络
32.1.概述
32.2.网关和路由
32.3.无线网络
32.4.USB Tethering
32.5.蓝牙
32.6.桥接
32.7.链接聚合和故障转移
32.8.使用 PXE 进行无盘操作
32.9.IPv6
32.10.共用地址冗余协议((CARP))
32.11.VLAN
第五部分:附录
附录 A. 获取 FreeBSD
A.1.镜像站
A.2.使用 Git
A.3.使用 Subversion
A.4.CD 和 DVD 套装
附录 B. 书目
B.1.FreeBSD 相关书籍
B.2.用户指南
B.3.管理指南
B.4.开发指南
B.6.安全性参考文献
B.5.深入操作系统
B.7.硬件参考文献
B.8.UNIX® 历史
B.9.期刊和杂志
附录 C. 网络资源
C.1.网站
C.2.邮件列表
C.3.Usenet 新闻组
附录 D. OpenPGP 密钥
D.1.官方成员
术语表
签名
Powered By GitBook
14.7.IPsec 上的 VPN
互联网协议安全(IPsec)是一组位于互联网协议(IP)层之上的协议。它允许两个或多个主机通过对通信会话的每个 IP 数据包进行身份验证和加密,以安全的方式进行通信。FreeBSD IPsec 网络堆栈基于 http://www.kame.net/ 实现。同时支持 IPv4 和 IPv6 会话。
IPsec 由以下子协议组成:
  • *封装安全有效负载 (ESP):*此协议通过使用对称加密算法(如 Blowfish 和 3DES)加密内容来保护 IP 数据包数据免受第三方干扰。
  • *身份验证标头 (AH):*此协议通过计算加密校验和并使用安全哈希函数对 IP 数据包标头字段进行哈希处理来保护 IP 数据包标头免受第三方干扰和欺骗。然后,后面是包含哈希的附加标头,以允许对数据包中的信息进行身份验证。
  • IP 有效负载压缩协议 (IPComp):此协议尝试通过压缩 IP 有效负载来提高通信性能,以减少发送的数据量。
这些协议可以一起使用,也可以单独使用,具体取决于环境。
IPsec 支持两种操作模式。第一种模式(传输模式)保护两台主机之间的通信。第二种模式,隧道模式,用于构建虚拟隧道,通常称为虚拟专用网络(VPN)。请查阅 ipsec(4) 以获取有关 FreeBSD 中 IPsec 子系统的详细信息。
默认情况下,IPsec 支持在 FreeBSD 11 及更高版本上是启用的。对于更早的 FreeBSD版本。将这些选项添加到自定义内核配置文件中。然后按照 配置 FreeBSD 内核 中的说明重建内核:
1
options IPSEC IP security
2
device crypto
Copied!
如果需要 IPsec 调试支持,还应添加以下内核选项:
1
options IPSEC_DEBUG debug for IP security
Copied!
本章的其余部分演示了在家庭网络和企业网络之间设置 IPsecVPN 的过程。在示例场景中:
  • 这两个站点都通过运行 FreeBSD 的网关连接到互联网。
  • 每个网络上的网关至少有一个外部 IP 地址。在这个例子中,公司局域网的外部 IP 地址是 172.16.5.4,家庭局域网的外部 IP 地址是 192.168.1.12
  • 两个网络的内部地址可以是公用或私有 IP 地址。但是,地址空间不得重叠。在此示例中,公司 LAN 的内部 IP 地址为 10.246.38.1 ,而家庭 LAN 的内部 IP 地址为 10.0.0.5
1
corporate home
2
10.246.38.1/24 -- 172.16.5.4 <--> 192.168.1.12 -- 10.0.0.5/24
Copied!

14.7.1. 在 FreeBSD 上配置 VPN

首先,必须从 Ports Collection 安装 security/ipsec-tools。该软件提供了许多支持该配置的应用程序。
下一个要求是创建两个 gif(4) 伪设备,它们将用于隧道数据包并允许两个网络正确通信。使用 root 账户,在每个网关上运行以下命令:
1
corp-gw# ifconfig gif0 create
2
corp-gw# ifconfig gif0 10.246.38.1 10.0.0.5
3
corp-gw# ifconfig gif0 tunnel 172.16.5.4 192.168.1.12
4
home-gw# ifconfig gif0 create
5
home-gw# ifconfig gif0 10.0.0.5 10.246.38.1
6
home-gw# ifconfig gif0 tunnel 192.168.1.12 172.16.5.4
Copied!
使用 ifconfig gif0 验证每个网关上的设置。以下是家庭网关的输出:
1
gif0: flags=8051 mtu 1280
2
tunnel inet 172.16.5.4 --> 192.168.1.12
3
inet6 fe80::2e0:81ff:fe02:5881%gif0 prefixlen 64 scopeid 0x6
4
inet 10.246.38.1 --> 10.0.0.5 netmask 0xffffff00
Copied!
下面是企业网关的输出:
1
gif0: flags=8051 mtu 1280
2
tunnel inet 192.168.1.12 --> 172.16.5.4
3
inet 10.0.0.5 --> 10.246.38.1 netmask 0xffffff00
4
inet6 fe80::250:bfff:fe3a:c1f%gif0 prefixlen 64 scopeid 0x4
Copied!
完成后,两个内部 IP 地址都应该可以使用 ping(8) 访问:
1
home-gw# ping 10.0.0.5
2
PING 10.0.0.5 (10.0.0.5): 56 data bytes
3
64 bytes from 10.0.0.5: icmp_seq=0 ttl=64 time=42.786 ms
4
64 bytes from 10.0.0.5: icmp_seq=1 ttl=64 time=19.255 ms
5
64 bytes from 10.0.0.5: icmp_seq=2 ttl=64 time=20.440 ms
6
64 bytes from 10.0.0.5: icmp_seq=3 ttl=64 time=21.036 ms
7
--- 10.0.0.5 ping statistics ---
8
4 packets transmitted, 4 packets received, 0% packet loss
9
round-trip min/avg/max/stddev = 19.255/25.879/42.786/9.782 ms
10
11
corp-gw# ping 10.246.38.1
12
PING 10.246.38.1 (10.246.38.1): 56 data bytes
13
64 bytes from 10.246.38.1: icmp_seq=0 ttl=64 time=28.106 ms
14
64 bytes from 10.246.38.1: icmp_seq=1 ttl=64 time=42.917 ms
15
64 bytes from 10.246.38.1: icmp_seq=2 ttl=64 time=127.525 ms
16
64 bytes from 10.246.38.1: icmp_seq=3 ttl=64 time=119.896 ms
17
64 bytes from 10.246.38.1: icmp_seq=4 ttl=64 time=154.524 ms
18
--- 10.246.38.1 ping statistics ---
19
5 packets transmitted, 5 packets received, 0% packet loss
20
round-trip min/avg/max/stddev = 28.106/94.594/154.524/49.814 ms
Copied!
正如预期的那样,双方都能够从配置的私有地址发送和接收 ICMP 数据包。接下来,必须告知两个网关如何路由数据包,以便网关能够准确的转发来自网关之后的网络流量。使用下面的命令实现这一配置:
1
corp-gw# route add 10.0.0.0 10.0.0.5 255.255.255.0
2
corp-gw# route add net 10.0.0.0: gateway 10.0.0.5
3
home-gw# route add 10.246.38.0 10.246.38.1 255.255.255.0
4
home-gw# route add host 10.246.38.0: gateway 10.246.38.1
Copied!
内部计算机应可从每个网关以及网关后面的计算机访问。同样,使用 ping(8) 确认:
1
corp-gw# ping -c 3 10.0.0.8
2
PING 10.0.0.8 (10.0.0.8): 56 data bytes
3
64 bytes from 10.0.0.8: icmp_seq=0 ttl=63 time=92.391 ms
4
64 bytes from 10.0.0.8: icmp_seq=1 ttl=63 time=21.870 ms
5
64 bytes from 10.0.0.8: icmp_seq=2 ttl=63 time=198.022 ms
6
--- 10.0.0.8 ping statistics ---
7
3 packets transmitted, 3 packets received, 0% packet loss
8
round-trip min/avg/max/stddev = 21.870/101.846/198.022/74.001 ms
9
10
home-gw# ping -c 3 10.246.38.107
11
PING 10.246.38.1 (10.246.38.107): 56 data bytes
12
64 bytes from 10.246.38.107: icmp_seq=0 ttl=64 time=53.491 ms
13
64 bytes from 10.246.38.107: icmp_seq=1 ttl=64 time=23.395 ms
14
64 bytes from 10.246.38.107: icmp_seq=2 ttl=64 time=23.865 ms
15
--- 10.246.38.107 ping statistics ---
16
3 packets transmitted, 3 packets received, 0% packet loss
17
round-trip min/avg/max/stddev = 21.145/31.721/53.491/12.179 ms
Copied!
此时,流量在封装在 gif 隧道中的网络之间传输,但没有任何加密。接下来,使用 IPSec 使用预共享密钥 (PSK) 加密流量。除了 IP 地址之外,两个网关上的 /usr/local/etc/racoon/racoon.conf 将完全相同,并且看起来类似于:
1
path pre_shared_key "/usr/local/etc/racoon/psk.txt"; #location of pre-shared key file
2
log debug; #log verbosity setting: set to 'notify' when testing and debugging is complete
3
4
padding # options are not to be changed
5
{
6
maximum_length 20;
7
randomize off;
8
strict_check off;
9
exclusive_tail off;
10
}
11
12
timer # timing options. change as needed
13
{
14
counter 5;
15
interval 20 sec;
16
persend 1;
17
# natt_keepalive 15 sec;
18
phase1 30 sec;
19
phase2 15 sec;
20
}
21
22
listen # address [port] that racoon will listen on
23
{
24
isakmp 172.16.5.4 [500];
25
isakmp_natt 172.16.5.4 [4500];
26
}
27
28
remote 192.168.1.12 [500]
29
{
30
exchange_mode main,aggressive;
31
doi ipsec_doi;
32
situation identity_only;
33
my_identifier address 172.16.5.4;
34
peers_identifier address 192.168.1.12;
35
lifetime time 8 hour;
36
passive off;
37
proposal_check obey;
38
# nat_traversal off;
39
generate_policy off;
40
41
proposal {
42
encryption_algorithm blowfish;
43
hash_algorithm md5;
44
authentication_method pre_shared_key;
45
lifetime time 30 sec;
46
dh_group 1;
47
}
48
}
49
50
sainfo (address 10.246.38.0/24 any address 10.0.0.0/24 any) # address $network/$netmask $type address $network/$netmask $type ( $type being any or esp)
51
{ # $network must be the two internal networks you are joining.
52
pfs_group 1;
53
lifetime time 36000 sec;
54
encryption_algorithm blowfish,3des;
55
authentication_algorithm hmac_md5,hmac_sha1;
56
compression_algorithm deflate;
57
}
Copied!
有关每个可用选项的说明,请参阅 racoon.conf 的手册页。
安全策略数据库 (SPD) 需要配置。以便 FreeBSD 和 racoon 能够加密和解密主机之间的网络流量。
这可以通过企业网关上的 shell 脚本(类似于以下内容)来实现。此文件将在系统初始化期间使用,并应另存为 /usr/local/etc/racoon/setkey.conf
1
flush;
2
spdflush;
3
# To the home network
4
spdadd 10.246.38.0/24 10.0.0.0/24 any -P out ipsec esp/tunnel/172.16.5.4-192.168.1.12/use;
5
spdadd 10.0.0.0/24 10.246.38.0/24 any -P in ipsec esp/tunnel/192.168.1.12-172.16.5.4/use;
Copied!
一旦应用,可以使用以下命令在两个网关上启动 racoon:
1
# /usr/local/sbin/racoon -F -f /usr/local/etc/racoon/racoon.conf -l /var/log/racoon.log
Copied!
输出应类似于以下内容:
1
corp-gw# /usr/local/sbin/racoon -F -f /usr/local/etc/racoon/racoon.conf
2
Foreground mode.
3
2006-01-30 01:35:47: INFO: begin Identity Protection mode.
4
2006-01-30 01:35:48: INFO: received Vendor ID: KAME/racoon
5
2006-01-30 01:35:55: INFO: received Vendor ID: KAME/racoon
6
2006-01-30 01:36:04: INFO: ISAKMP-SA established 172.16.5.4[500]-192.168.1.12[500] spi:623b9b3bd2492452:7deab82d54ff704a
7
2006-01-30 01:36:05: INFO: initiate new phase 2 negotiation: 172.16.5.4[0]192.168.1.12[0]
8
2006-01-30 01:36:09: INFO: IPsec-SA established: ESP/Tunnel 192.168.1.12[0]->172.16.5.4[0] spi=28496098(0x1b2d0e2)
9
2006-01-30 01:36:09: INFO: IPsec-SA established: ESP/Tunnel 172.16.5.4[0]->192.168.1.12[0] spi=47784998(0x2d92426)
10
2006-01-30 01:36:13: INFO: respond new phase 2 negotiation: 172.16.5.4[0]192.168.1.12[0]
11
2006-01-30 01:36:18: INFO: IPsec-SA established: ESP/Tunnel 192.168.1.12[0]->172.16.5.4[0] spi=124397467(0x76a279b)
12
2006-01-30 01:36:18: INFO: IPsec-SA established: ESP/Tunnel 172.16.5.4[0]->192.168.1.12[0] spi=175852902(0xa7b4d66)
Copied!
要确保隧道正常工作,请切换到另一个控制台,并使用 tcpdump(1) 通过以下命令查看网络流量。根据需要更换为网络接口卡 em0
1
corp-gw# tcpdump -i em0 host 172.16.5.4 and dst 192.168.1.12
Copied!
类似于以下内容的数据应显示在控制台上。如果不是,则存在问题,需要调试返回的数据。
1
01:47:32.021683 IP corporatenetwork.com > 192.168.1.12.privatenetwork.com: ESP(spi=0x02acbf9f,seq=0xa)
2
01:47:33.022442 IP corporatenetwork.com > 192.168.1.12.privatenetwork.com: ESP(spi=0x02acbf9f,seq=0xb)
3
01:47:34.024218 IP corporatenetwork.com > 192.168.1.12.privatenetwork.com: ESP(spi=0x02acbf9f,seq=0xc)
Copied!
此时,两个网络都应该可用,并且似乎是同一网络的一部分。很可能两个网络都受到防火墙的保护。若要允许流量在它们之间传输,需要添加规则来传递数据包。对于 ipfw(8) 防火墙。请将以下行添加到防火墙配置文件中:
1
ipfw add 00201 allow log esp from any to any
2
ipfw add 00202 allow log ah from any to any
3
ipfw add 00203 allow log ipencap from any to any
4
ipfw add 00204 allow log udp from any 500 to any
Copied!
注意
规则编号可能需要更改,具体取决于当前的主机配置。
对于 pf(4)ipf(8) 的用户。以下规则应该可以解决问题:
1
pass in quick proto esp from any to any
2
pass in quick proto ah from any to any
3
pass in quick proto ipencap from any to any
4
pass in quick proto udp from any port = 500 to any port = 500
5
pass in quick on gif0 from any to any
6
pass out quick proto esp from any to any
7
pass out quick proto ah from any to any
8
pass out quick proto ipencap from any to any
9
pass out quick proto udp from any port = 500 to any port = 500
10
pass out quick on gif0 from any to any
Copied!
最后,要允许计算机在系统初始化期间启动对 VPN 的支持,请将以下行添加到 /etc/rc.conf
1
ipsec_enable="YES"
2
ipsec_program="/usr/local/sbin/setkey"
3
ipsec_file="/usr/local/etc/racoon/setkey.conf" # allows setting up spd policies on boot
4
racoon_enable="yes"
Copied!
第14章 安全 - Previous
14.6.OpenSSL
Next - 第14章 安全
14.8.OpenSSH
Last modified 27d ago
Copy link
Edit on GitHub
Contents
14.7.1. 在 FreeBSD 上配置 VPN