第21章 其他文件系统
附录 D. OpenPGP 密钥
2.8.账户、时区、服务和安全

2.8.1.设置root密码

首先,必须设置root密码。在输入密码时,正在输入的字符不会显示在屏幕上。输入密码后,必须再次输入。这有助于防止输入错误。
Figure 34. Setting the root Password

2.8.2.设置时区

接下来的一系列菜单用于通过选择地理区域、国家和时区来确定正确的当地时间。设置时区可以使系统自动纠正地区时间变化,如夏令时,并正确执行其他与时区有关的功能。
这里显示的例子是针对位于欧洲西班牙大陆时区的机器。根据地理位置的不同,选择也会有所不同。
Figure 35. Select a Region
使用方向键选择适当的区域,然后按回车键。
Figure 36. Select a Country
用方向键选择适当的国家,然后按回车键。
Figure 37. Select a Time Zone
使用箭头键并按下回车键,选择适当的时区。
Figure 38. Confirm Time Zone
确认时区的简写是正确的。
Figure 39. Select Date
使用方向键选择适当的日期,然后按Set Date。否则,可以通过按Skip来跳过日期的选择。
Figure 40. Select Time
使用方向键选择适当的时间,然后按Set Time。否则,可以通过按Skip来跳过时间的选择。

2.8.3.开启服务

下一个菜单用于配置在系统启动时哪些系统服务将被启动。所有这些服务都是可选的。只启动系统运行所需的服务。
Figure 41. Selecting Additional Services to Enable
下面是在这个菜单中可以启用的服务的摘要:
  • local_unbound - 启用 DNS 本地非绑定。有必要记住,这是基础系统的 unbound,只作为本地缓存转发解析器使用。如果目标是为整个网络建立一个解析器,请安装dns/unbound
  • sshd - 安全 shell(SSH)守护程序用于通过加密连接远程访问系统。只有在系统应该可用于远程登录的情况下才启用这个服务。
  • moused - 如果要从命令行系统控制台使用鼠标,则启用该服务。
  • ntpdate - 启用启动时的自动时钟同步功能。这个程序的功能现在在 ntpd(8) 守护进程中可用。在一段适当的哀悼期之后,ntpdate(8) 工具将退役。
  • ntpd - 用于自动时钟同步的网络时间协议(NTP)守护进程。如果网络上有一个 Windows®、Kerberos 或 LDAP 服务器,请启用这个服务。
  • powerd - 用于电源控制和节约能源的系统电源控制工具。
  • dumpdev - 启用崩溃转储在调试系统问题时很有用,所以鼓励用户启用崩溃转储。

2.8.4.启用强化安全选项

下一个菜单是用来配置哪些安全选项将被启用。所有这些选项都是可选的。但我们鼓励开启它们。
Figure 42. Selecting Hardening Security Options
下面是这个菜单中可以启用的选项的摘要:
  • hide_uids - 隐藏以其他用户身份运行的进程,防止非特权用户看到其他用户正在执行的进程(UID),防止信息泄露。
  • hide_gids - 隐藏以其他组的名义运行的进程,以防止非特权用户看到其他组正在执行的进程(GID),防止信息泄露。
  • hide_jail - 隐藏在 Jail 中运行的进程,防止非特权用户看到 Jail 中运行的进程。
  • read_msgbuf - 禁止非特权用户使用 dmesg(8) 查看内核日志缓冲区的信息,以防止读取内核信息缓冲区。
  • proc_debug - 禁用非特权用户的进程调试设施,禁用各种非特权的进程间调试服务,包括一些 procfs 功能、trace() 和 ktrace()。请注意,这也会阻止调试工具,例如 lldb(1)、truss(1)、procstat(1),以及某些脚本语言(如 PHP)中的内置调试设施对非特权用户的作用。
  • random_pid - 随机化新创建进程的 PID。
  • clear_tmp - 在系统启动时清理/tmp
  • disable_syslogd - 禁止打开 syslogd 网络套接字。在默认情况下,FreeBSD 以安全的方式运行 syslogd,并使用-s。这可以防止守护进程在 514 端口监听传入的 UDP 请求。启用该选项后,syslogd 将以标志-ss运行,它可以防止 syslogd 打开任何端口。要获得更多信息,请参考 syslogd(8)。
  • disable_sendmail - 禁用 sendmail 邮件传输代理。
  • secure_console - 当这个选项被启用时,在进入单用户模式时,提示要求输入根密码。
  • disable_ddtrace - DTrace 可以在实际影响运行中的内核的模式下运行。除非明确启用,否则不得使用破坏性的操作。要在使用 DTrace 时启用该选项,请使用 -w。要获得更多信息,请查阅 dtrace(1)。

2.8.5.添加用户

下一个菜单提示至少要创建一个用户账户。建议使用一个用户账户而不是以 root 身份登录系统。当以 root 身份登录时,对可以做的事情基本上没有限制或保护。以普通用户身份登录更安全、更有保障。
选择Yes来添加新用户。
Figure 43. Add User Accounts
按照提示,输入所要求的用户账户信息。输入用户信息中显示的例子创建了一个asample用户账户。
Figure 44. Enter User Information 以下是需要输入的信息的摘要:
  • Username - 用户登录时要输入的名字。一个常见的惯例是使用名字的第一个字母与姓氏相结合,只要每个用户名对系统来说是唯一的。用户名是区分大小写的,不应包含任何空格。
  • Full name - 用户的全名。这可以包含空格,作为用户账户的描述。
  • Uid - 用户 ID。通常情况下,这部分留空,所以系统会分配一个值。
  • Login group - 用户的组别。典型的情况是留空,以接受默认值。
  • Invite user into other groups? - 额外的组,用户将被添加为成员。如果用户需要管理权限,在这里输入轮子。
  • Login class - 通常留空以接受默认值。
  • Shell - 键入一个列出的值来设置用户的交互式 shell。关于 shell 的更多信息,请参考“shell”。
  • Home directory - 用户的主目录。默认值通常是正确的。
  • Home directory permissions - 用户的主目录的权限。默认值通常是正确的。
  • Use password-based authentication?- 通常是的,这样用户在登录时就会被提示输入他们的密码。
  • Use an empty password? - 通常不使用,因为空白的密码是不安全的。
  • Use a random password? - 通常不是,这样用户可以在下一个提示中设置自己的密码。
  • Enter password - 这个用户的密码。输入的字符不会显示在屏幕上。
  • Enter password again - 必须再次输入密码进行验证。
  • Lock out the account after creation?- 通常是没有,这样用户就可以登录。
在输入所有内容后,会显示一个摘要供审查。如果犯了一个错误,输入no,再试一次。如果一切正确,输入yes来创建新用户。
Figure 45. Exit User and Group Management
如果有更多的用户需要添加,请在Add another user?问题上回答yes。输入no可完成添加用户步骤并继续安装。
关于添加用户和用户管理的更多信息,请参阅“用户和基本账户管理”。

2.8.6.最终配置

在所有东西都被安装和配置好之后,提供了一个修改设置的最后机会。
Figure 46. Final Configuration
在完成安装之前,使用此菜单进行任何修改或做任何额外的配置。
  • Add User - 在添加用户章节中描述。
  • Root Password - 在设置 root 密码章节中描述。
  • Hostname - 在设置主机名章节中描述。
  • Network - 在配置网络接口章节中描述。
  • Services - 在启用服务章节中描述。
  • System Hardening - 在启用加固安全选项中描述。
  • Time Zone - 在设置时区章节中进行了描述。
  • Handbook - 下载并安装 FreeBSD 手册。
在任何最终配置完成后,选择Exit
Figure 47. Manual Configuration
bsdinstall 会提示在重启到新系统之前是否有任何其他配置需要完成。选择Yes退出到新系统的 shell,或者选择No进入安装的最后一步。
Figure 48. Complete the Installation
如果需要进一步的配置或特殊的设置,选择 Live CD 来启动安装介质进入 Live CD 模式。
如果安装完成,选择Reboot来重新启动计算机并开始新的 FreeBSD 系统。不要忘记卸载 FreeBSD 的安装介质,否则计算机可能会再次从它启动。
当 FreeBSD 启动时,会显示一些信息性的信息。在系统完成启动后,会显示一个登录提示。在 login:的提示下,输入安装时添加的用户名。避免以root身份登录。了解在需要管理权限时如何成为超级用户的说明,请参考“超级用户账户”,。
Scroll-Lock键打开回卷缓冲器,就可以查看启动时出现的信息。可以用PgUpPgDn和方向键来回滚信息。完成后,再按一次Scroll-Lock键,解除显示并返回到控制台。要在系统运行一段时间后查看这些信息,可以在命令提示符下输入less /var/run/dmesg.boot。查看后按q键返回到命令行。
如果在选择要启用的附加服务中启用了sshd,第一次启动时可能会慢一些,因为系统会生成 RSA 和 DSA 密钥。后续的启动会更快。密钥的指纹将被显示出来,如本例所示。
1
Generating public/private rsa1 key pair.
2
Your identification has been saved in /etc/ssh/ssh_host_key.
3
Your public key has been saved in /etc/ssh/ssh_host_key.pub.
4
The key fingerprint is:
5
10:a0:f5:af:93:ae:a3:1a:b2:bb:3c:35:d9:5a:b3:f3 [email protected]
6
The key's randomart image is:
7
+--[RSA1 1024]----+
8
| o.. |
9
| o . . |
10
| . o |
11
| o |
12
| o S |
13
| + + o |
14
|o . + * |
15
|o+ ..+ . |
16
|==o..o+E |
17
+-----------------+
18
Generating public/private dsa key pair.
19
Your identification has been saved in /etc/ssh/ssh_host_dsa_key.
20
Your public key has been saved in /etc/ssh/ssh_host_dsa_key.pub.
21
The key fingerprint is:
22
7e:1c:ce:dc:8a:3a:18:13:5b:34:b5:cf:d9:d1:47:b2 [email protected]
23
The key's randomart image is:
24
+--[ DSA 1024]----+
25
| .. . .|
26
| o . . + |
27
| . .. . E .|
28
| . . o o . . |
29
| + S = . |
30
| + . = o |
31
| + . * . |
32
| . . o . |
33
| .o. . |
34
+-----------------+
35
Starting sshd.
Copied!
关于指纹和 SSH 的更多信息请参考 OpenSSH。
FreeBSD 默认不会安装图形环境。请参考 X Window 系统以了解更多关于安装和配置图形化窗口管理器的信息。
正确地关闭 FreeBSD 计算机有助于保护数据和硬件免受损害。在系统正确关闭之前,请不要关闭电源!如果用户是wheel组的成员,通过在命令行输入su并输入 root 密码,成为超级用户。然后,输入shutdown -p now,系统就会干净利落地关闭,如果硬件支持,就会自动关闭。