2.8. 帐户,时区,服务和加固

2.8.1. 设置 root 密码

首先设置 root 密码。请注意输入密码时,被输入的字符并不会在屏幕上显示,因此为防止输入错误,必须再次输入相同的字符。

图 2.34. 设置 root 密码
设置 root 密码

2.8.2. 设置时区

下一系列菜单用于选择地理区域、国家/地区和时区来设置的本地时间。通过设置时区,系统可以自动修正时间(如夏令时),并正确执行时区相关功能。

此处显示的示例适用于位于欧洲西班牙时区的计算机。地理位置不同,选项可能不同。

图 2.35. 选择地区
选择地区

使用方向键选择合适的地区后按下 Enter 键。

图 2.36. 选择国家
选择国家

用方向键选择合适的国家后按下 Enter 键。

图 2.37. 选择时区
选择时区

用方向键选择合适的时区后按下 Enter 键。

图 2.38. 确认时区
确认时区

判断时区是否正确。

图 2.39. 选择日期
选择日期

使用方向键选择适当的日期,然后按 [ Set Date ]保存设置。若无需修改,选择[ Skip ]来跳过设置。

图 2.40. 设置时间
设置时间

使用方向键选择适当的时间,然后按 [ Set Time ]保存设置。若无需修改,选择[ Skip ]来跳过设置。

2.8.3. 开启服务

下一个菜单用于配置每当系统启动时将启动哪些系统服务。所有这些服务都是可选的。仅启动系统正常运行所需的服务。

图 2.41. 选择额外的要启用的服务
选择额外的要启用的服务

这里总结了在此菜单可以启用的服务列表:

  • local_unbound - 启用本地 DNS 解析。需要注意的是,这是基础系统的 unbound,仅作为本地缓存转发解析器使用。若需为网络提供 DNS 解析服务,请安装 dns/unbound

  • sshd - Secure Shell(即 SSH) 守护进程, 提供安全的远程访问。

  • moused - 支持在系统控制台中使用鼠标。

  • ntpdate - 在系统启动时自动校对时间。此功能由 ntpd(8) 提供。ntpdate(8) 未来将从系统中移除。

  • ntpd - Network Time Protocol(网络时间协议, 简称 NTP) 守护进程, 提供时钟自动同步。

  • powerd - 系统电量控制程序, 用于控制电量及节能。

  • dumpdev - 启用崩溃转储,在系统调试时很有用,推荐启用。

2.8.4. 启用安全加固

下一个菜单用于配置要启用的安全选项,您可根据需要启用它们。

图 2.42. 选择安全加固措施
选择安全加固措施

这里总结了在此菜单可以启用的服务列表:

  • hide_uids - 隐藏以其他用户身份运行的进程,防止非特权用户看到其他用户(UID)的进程,防止信息泄露。

  • hide_gids - 隐藏作为其他组运行的进程,防止非特权用户看到其他组(GID)执行的进程,防止信息泄露。

  • hide_jail - 隐藏 jail 中运行的进程,防止非特权用户看到 jail 中运行的进程。

  • read_msgbuf - 禁止未授权用户读取内核消息缓冲区,防他们止使用dmesg(8)查看内核日志缓冲区中的消息。

  • proc_debug - 禁用非特权用户的进程调试设施,禁用各种非特权的进程间调试服务,包括一些procfs功能、ptrace()和ktrace()。请注意,这也将妨碍调试工具,例如lldb(1), truss(1)procstat(1),以及某些脚本语言(如PHP等)的内置调试功能 ,防止未授权用户使用调试功能。

  • random_pid - 随机化新创建的进程的PID。

  • clear_tmp - 在系统启动时清除/tmp

  • disable_syslogd - 禁止打开 syslogd 网络套接字。默认情况下, FreeBSD 以安全的方式使用 -s 来运行 syslogd。这可以防止守护进程在 514 端口监听传入的 UDP 请求。启用了这个选项后, syslogd 将以 -ss 的标志运行, 以防止 syslogd 打开任何端口。要获得更多信息,请参考 syslogd(8)

  • disable_sendmail - 禁用 sendmail。

  • secure_console - 启用此选项后,控制台输入命令时需输入 root 密码。

  • disable_dtrace - DTrace可以以实际影响运行中的内核的模式运行。若非需要无需启用。使用 DTrace 时要启用这个选项,请使用 -w。要获得更多信息,请参考dtrace(1)

2.8.5. 添加用户

下一个菜单提示您建立至少一个用户账户。我们推荐用一个用户账户,而不是 root,来登陆系统。如果以 root 登陆,那之后进行的操作基本上没有任何限制或保护措施。以普通用户登陆更安全,也更有保障。

选择 [ Yes ] 来添加新用户。

图 2.43. 添加用户
添加用户

按照提示操作,并输入用户帐户的请求信息。图 2.44 “输入用户信息” 示例中的创建了asample用户。

图 2.44. 输入用户信息
输入用户信息

这里总结了要输入的信息:

  • Username - 用户登录时输入的用户名。常见做法是使用名字的第一个字母和姓氏,只要保证系统里每个用户名都唯一。用户名是大小写敏感的,不应包含任何空格。

  • Full name - 用户的全名。这可以包含空格。这被用于说明这个用户账户。

  • Uid - 用户 ID。一般来说,这项留空来让系统来指定一个值。

  • Login group - 用户的组。通常,这将留空以接受默认值。

  • Invite user into other groups? - 是否同时将用户加入其他权限组?如果需要,请输入权限组名称。

  • Login class - 登录类别。通常留空以接受默认取值。

  • Shell - 用户 shell。更多信息请参阅第 3.9 节 “Shell”

  • Home directory - 用户主目录。通常留空以接受默认取值。

  • Home directory permissions - 用户主目录的权限。通常留空以接受默认取值。

  • Use password-based authentication? - 是否使用基于密码的认证? 通常为 “yes”。

  • Use an empty password? - 是否使用空密码? 通常为 “no”。

  • Use a random password? - 是否使用随机密码? 通常为 “no”。

  • Enter password - 用户的实际密码。 输入的字符不会在屏幕上显示。

  • Enter password again - 必须再次输入密码以进行验证。

  • Lock out the account after creation? - 创建后锁定帐号? 通常为no

全部信息输入完成后,系统会显示摘要并询问是否正确。如果发现了错误,可以输入 no 后进行修改;如果没有错误,请输入 yes 以创建新用户。

图 2.45. 退出用户和组管理
退出用户和组管理

若需添加更多用户,请在问题Add another user?输入 yes;输入 no 以完成用户添加并继续安装。

更多有关用户添加及管理的信息, 请参见 第 3.3 节 “基础账户管理”

2.8.6. 最终配置

在一切都安装和配置完成之后,会提供一个最后修改设置的机会。

图 2.46. 最终配置
最终配置

使用这个菜单来在安装结束之前进行修改或任何额外配置。

所有配置完成以后,选择 Exit

图 2.47. 手动配置
手动配置

bsdinstall 会询问重启前是否还需要额外的配置。选择 [ Yes ] 进入 shell 进行配置, 选择 [ No ] 以执行安装的最后一步。

图 2.48. 完成安装
完成安装

如果需要进一步的配置或特殊的设置, 可以选择 [ Live CD ] 来进入安装介质的 Live CD 模式。

安装完成后,选择 [ Reboot ] 重启计算机,并开始使用全新的 FreeBSD 系统。请不要忘记移除 FreeBSD 的安装媒体,否则计算机可能会再次从这些介质启动。

FreeBSD 启动时,将显示一些系统信息。系统完成引导后,将显示登录提示。在login:提示下,输入安装过程中添加的用户名。尽量不要使用root用户登入。如何在需要时获取 root 权限请参阅第 3.3.1.3 节 “超级账户”

要查看开机过程显示的信息可按Scroll-Lock键来开启卷轴暂存,然后可使用PgUpPgDn以及方向键来卷动信息。查看完成之后再按Scroll-Lock键一次来解除画面锁定并返回Console。系统开机一段时间之后要查看这些信息可在指令提示后输入less / var/run/dmesg.boot,查看后按下q键便可返回指令列。

如果在图 2.41 “选择额外的要启用的服务”中启用了sshd,由于系统需要生成RSADSA密钥,第一次启动时可能会慢一点,之后将恢复正常。密钥的指纹像下面这样:

Generating public/private rsa1 key pair.
Your identification has been saved in /etc/ssh/ssh_host_key.
Your public key has been saved in /etc/ssh/ssh_host_key.pub.
The key fingerprint is:
10:a0:f5:af:93:ae:a3:1a:b2:bb:3c:35:d9:5a:b3:f3 root@machine3.example.com
The key's randomart image is:
+--[RSA1 1024]----+
|    o..          |
|   o . .         |
|  .   o          |
|       o         |
|    o   S        |
|   + + o         |
|o . + *          |
|o+ ..+ .         |
|==o..o+E         |
+-----------------+
Generating public/private dsa key pair.
Your identification has been saved in /etc/ssh/ssh_host_dsa_key.
Your public key has been saved in /etc/ssh/ssh_host_dsa_key.pub.
The key fingerprint is:
7e:1c:ce:dc:8a:3a:18:13:5b:34:b5:cf:d9:d1:47:b2 root@machine3.example.com
The key's randomart image is:
+--[ DSA 1024]----+
|       ..     . .|
|      o  .   . + |
|     . ..   . E .|
|    . .  o o . . |
|     +  S = .    |
|    +  . = o     |
|     +  . * .    |
|    . .  o .     |
|      .o. .      |
+-----------------+
Starting sshd.

更多关于指纹和SSH的信息请参阅 第 13.8 节 “OpenSSH”

FreeBSD 默认情况下不安装图形环境。有关安装和配置图形窗口管理器的详细信息,请参阅 第 5 章 X Window系统

正常关机能保护数据,减少硬件磨损。不要在正常关机前切断电源!。如果用户属于wheel组,使用su并输入root密码获取超级用户权限。然后输入shutdown -p now关机。

本文档和其它文档可从这里下载: ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.

如果对于FreeBSD有问题,请先阅读 文档,如不能解决再联系 <questions@FreeBSD.org>.

关于本文档的问题请发信联系 <doc@FreeBSD.org>.