2.8.账户、时区、服务和安全

2.8.1.设置root密码
首先，必须设置root密码。在输入密码时，正在输入的字符不会显示在屏幕上。输入密码后，必须再次输入。这有助于防止输入错误。
Figure 34. Setting the root Password
2.8.2.设置时区
接下来的一系列菜单用于通过选择地理区域、国家和时区来确定正确的当地时间。设置时区可以使系统自动纠正地区时间变化，如夏令时，并正确执行其他与时区有关的功能。
这里显示的例子是针对位于欧洲西班牙大陆时区的机器。根据地理位置的不同，选择也会有所不同。
Figure 35. Select a Region
使用方向键选择适当的区域，然后按回车键。
Figure 36. Select a Country
用方向键选择适当的国家，然后按回车键。
Figure 37. Select a Time Zone
使用箭头键并按下回车键，选择适当的时区。
Figure 38. Confirm Time Zone
确认时区的简写是正确的。
Figure 39. Select Date
使用方向键选择适当的日期，然后按Set Date。否则，可以通过按Skip来跳过日期的选择。
Figure 40. Select Time
使用方向键选择适当的时间，然后按Set Time。否则，可以通过按Skip来跳过时间的选择。
2.8.3.开启服务
下一个菜单用于配置在系统启动时哪些系统服务将被启动。所有这些服务都是可选的。只启动系统运行所需的服务。
Figure 41. Selecting Additional Services to Enable
下面是在这个菜单中可以启用的服务的摘要：
local_unbound - 启用 DNS 本地非绑定。有必要记住，这是基础系统的 unbound，只作为本地缓存转发解析器使用。如果目标是为整个网络建立一个解析器，请安装dns/unbound。
sshd - 安全 shell（SSH）守护程序用于通过加密连接远程访问系统。只有在系统应该可用于远程登录的情况下才启用这个服务。
moused - 如果要从命令行系统控制台使用鼠标，则启用该服务。
ntpdate - 启用启动时的自动时钟同步功能。这个程序的功能现在在 ntpd(8) 守护进程中可用。在一段适当的哀悼期之后，ntpdate(8) 工具将退役。
ntpd - 用于自动时钟同步的网络时间协议（NTP）守护进程。如果网络上有一个 Windows®、Kerberos 或 LDAP 服务器，请启用这个服务。
powerd - 用于电源控制和节约能源的系统电源控制工具。
dumpdev - 启用崩溃转储在调试系统问题时很有用，所以鼓励用户启用崩溃转储。
2.8.4.启用强化安全选项
下一个菜单是用来配置哪些安全选项将被启用。所有这些选项都是可选的。但我们鼓励开启它们。
Figure 42. Selecting Hardening Security Options
下面是这个菜单中可以启用的选项的摘要：
hide_uids - 隐藏以其他用户身份运行的进程，防止非特权用户看到其他用户正在执行的进程（UID），防止信息泄露。
hide_gids - 隐藏以其他组的名义运行的进程，以防止非特权用户看到其他组正在执行的进程（GID），防止信息泄露。
hide_jail - 隐藏在 Jail 中运行的进程，防止非特权用户看到 Jail 中运行的进程。
read_msgbuf - 禁止非特权用户使用 dmesg(8) 查看内核日志缓冲区的信息，以防止读取内核信息缓冲区。
proc_debug - 禁用非特权用户的进程调试设施，禁用各种非特权的进程间调试服务，包括一些 procfs 功能、trace() 和 ktrace()。请注意，这也会阻止调试工具，例如 lldb(1)、truss(1)、procstat(1)，以及某些脚本语言（如 PHP）中的内置调试设施对非特权用户的作用。
random_pid - 随机化新创建进程的 PID。
clear_tmp - 在系统启动时清理/tmp。
disable_syslogd - 禁止打开 syslogd 网络套接字。在默认情况下，FreeBSD 以安全的方式运行 syslogd，并使用-s。这可以防止守护进程在 514 端口监听传入的 UDP 请求。启用该选项后，syslogd 将以标志-ss运行，它可以防止 syslogd 打开任何端口。要获得更多信息，请参考 syslogd(8)。
disable_sendmail - 禁用 sendmail 邮件传输代理。
secure_console - 当这个选项被启用时，在进入单用户模式时，提示要求输入根密码。
disable_ddtrace - DTrace 可以在实际影响运行中的内核的模式下运行。除非明确启用，否则不得使用破坏性的操作。要在使用 DTrace 时启用该选项，请使用 -w。要获得更多信息，请查阅 dtrace(1)。
2.8.5.添加用户
下一个菜单提示至少要创建一个用户账户。建议使用一个用户账户而不是以 root 身份登录系统。当以 root 身份登录时，对可以做的事情基本上没有限制或保护。以普通用户身份登录更安全、更有保障。
选择Yes来添加新用户。
Figure 43. Add User Accounts
按照提示，输入所要求的用户账户信息。输入用户信息中显示的例子创建了一个asample用户账户。
Figure 44. Enter User Information 以下是需要输入的信息的摘要：
Username - 用户登录时要输入的名字。一个常见的惯例是使用名字的第一个字母与姓氏相结合，只要每个用户名对系统来说是唯一的。用户名是区分大小写的，不应包含任何空格。
Full name - 用户的全名。这可以包含空格，作为用户账户的描述。
Uid - 用户 ID。通常情况下，这部分留空，所以系统会分配一个值。
Login group - 用户的组别。典型的情况是留空，以接受默认值。
Invite user into other groups? - 额外的组，用户将被添加为成员。如果用户需要管理权限，在这里输入轮子。
Login class - 通常留空以接受默认值。
Shell - 键入一个列出的值来设置用户的交互式 shell。关于 shell 的更多信息，请参考“shell”。
Home directory - 用户的主目录。默认值通常是正确的。
Home directory permissions - 用户的主目录的权限。默认值通常是正确的。
Use password-based authentication?- 通常是的，这样用户在登录时就会被提示输入他们的密码。
Use an empty password? - 通常不使用，因为空白的密码是不安全的。
Use a random password? - 通常不是，这样用户可以在下一个提示中设置自己的密码。
Enter password - 这个用户的密码。输入的字符不会显示在屏幕上。
Enter password again - 必须再次输入密码进行验证。
Lock out the account after creation?- 通常是没有，这样用户就可以登录。
在输入所有内容后，会显示一个摘要供审查。如果犯了一个错误，输入no，再试一次。如果一切正确，输入yes来创建新用户。
Figure 45. Exit User and Group Management
如果有更多的用户需要添加，请在Add another user?问题上回答yes。输入no可完成添加用户步骤并继续安装。
关于添加用户和用户管理的更多信息，请参阅“用户和基本账户管理”。
2.8.6.最终配置
在所有东西都被安装和配置好之后，提供了一个修改设置的最后机会。
Figure 46. Final Configuration
在完成安装之前，使用此菜单进行任何修改或做任何额外的配置。
Add User - 在添加用户章节中描述。
Root Password - 在设置 root 密码章节中描述。
Hostname - 在设置主机名章节中描述。
Network - 在配置网络接口章节中描述。
Services - 在启用服务章节中描述。
System Hardening - 在启用加固安全选项中描述。
Time Zone - 在设置时区章节中进行了描述。
Handbook - 下载并安装 FreeBSD 手册。
在任何最终配置完成后，选择Exit。
Figure 47. Manual Configuration
bsdinstall 会提示在重启到新系统之前是否有任何其他配置需要完成。选择Yes退出到新系统的 shell，或者选择No进入安装的最后一步。
Figure 48. Complete the Installation
如果需要进一步的配置或特殊的设置，选择 Live CD 来启动安装介质进入 Live CD 模式。
如果安装完成，选择Reboot来重新启动计算机并开始新的 FreeBSD 系统。不要忘记卸载 FreeBSD 的安装介质，否则计算机可能会再次从它启动。
当 FreeBSD 启动时，会显示一些信息性的信息。在系统完成启动后，会显示一个登录提示。在 login:的提示下，输入安装时添加的用户名。避免以root身份登录。了解在需要管理权限时如何成为超级用户的说明，请参考“超级用户账户”，。
按Scroll-Lock键打开回卷缓冲器，就可以查看启动时出现的信息。可以用PgUp、PgDn和方向键来回滚信息。完成后，再按一次Scroll-Lock键，解除显示并返回到控制台。要在系统运行一段时间后查看这些信息，可以在命令提示符下输入less /var/run/dmesg.boot。查看后按q键返回到命令行。
如果在选择要启用的附加服务中启用了sshd，第一次启动时可能会慢一些，因为系统会生成 RSA 和 DSA 密钥。后续的启动会更快。密钥的指纹将被显示出来，如本例所示。
1
Generating public/private rsa1 key pair.
2
Your identification has been saved in /etc/ssh/ssh_host_key.
3
Your public key has been saved in /etc/ssh/ssh_host_key.pub.
4
The key fingerprint is:
5
10:a0:f5:af:93:ae:a3:1a:b2:bb:3c:35:d9:5a:b3:f3 [email protected]
6
The key's randomart image is:
7
+--[RSA1 1024]----+
8
|    o..          |
9
|   o . .         |
10
|  .   o          |
11
|       o         |
12
|    o   S        |
13
|   + + o         |
14
|o . + *          |
15
|o+ ..+ .         |
16
|==o..o+E         |
17
+-----------------+
18
Generating public/private dsa key pair.
19
Your identification has been saved in /etc/ssh/ssh_host_dsa_key.
20
Your public key has been saved in /etc/ssh/ssh_host_dsa_key.pub.
21
The key fingerprint is:
22
7e:1c:ce:dc:8a:3a:18:13:5b:34:b5:cf:d9:d1:47:b2 [email protected]
23
The key's randomart image is:
24
+--[ DSA 1024]----+
25
|       ..     . .|
26
|      o  .   . + |
27
|     . ..   . E .|
28
|    . .  o o . . |
29
|     +  S = .    |
30
|    +  . = o     |
31
|     +  . * .    |
32
|    . .  o .     |
33
|      .o. .      |
34
+-----------------+
35
Starting sshd.
Copied!
关于指纹和 SSH 的更多信息请参考 OpenSSH。
FreeBSD 默认不会安装图形环境。请参考 X Window 系统以了解更多关于安装和配置图形化窗口管理器的信息。
正确地关闭 FreeBSD 计算机有助于保护数据和硬件免受损害。在系统正确关闭之前，请不要关闭电源！如果用户是wheel组的成员，通过在命令行输入su并输入 root 密码，成为超级用户。然后，输入shutdown -p now，系统就会干净利落地关闭，如果硬件支持，就会自动关闭。