FreeBSD 中文手册
FreeBSD 中文社区
  • FreeBSD 中文手册
  • 编辑日志
  • 译者说明
  • FreeBSD 中文手册
  • 概述
  • 前言
    • 致读者
    • 第四版
    • 第三版
    • 第二版(2004)
    • 第一版(2001)
    • 本书的组织结构
    • 本书中使用的一些约定
    • 致谢
  • 第一部分:快速开始
  • 第1章 简介
    • 1.1.概述
    • 1.2.欢迎来到 FreeBSD!
    • 1.3.关于 FreeBSD 项目
  • 第2章 安装 FreeBSD
    • 2.1.概述
    • 2.2.最低硬件要求
    • 2.3.安装前的准备工作
    • 2.4.开始安装
    • 2.5.使用 bsdinstall
    • 2.6.分配磁盘空间
    • 2.7.获取安装文件
    • 2.8.账户、时区、服务和安全
    • 2.9.故障排除
    • 2.10.使用 Live CD
  • 第3章 FreeBSD 基础
    • 3.1.概述
    • 3.2.虚拟控制台和终端
    • 3.3.用户和基本账户管理
    • 3.4.权限
    • 3.5.目录结构
    • 3.6.磁盘结构
    • 3.7.文件系统的挂载与卸载
    • 3.8.进程和守护进程
    • 3.9.Shell
    • 3.10.文本编辑器
    • 3.11.设备和设备节点
    • 3.12.手册页
  • 第4章 安装应用程序:软件包和 Ports
    • 4.1.概述
    • 4.2.软件安装的概述
    • 4.3.寻找所需的应用程序
    • 4.4.使用 pkg 管理二进制包
    • 4.5.使用 Ports
    • 4.6.使用 Poudriere 构建软件包
    • 4.7.安装后的注意事项
    • 4.8.如何处理损坏的 port
  • 第5章 X Window 系统
    • 5.1.概述
    • 5.2.安装 Xorg
    • 5.3.显卡驱动
    • 5.4.Xorg 配置
    • 5.5.在 X11 中使用字体
  • 第6章 FreeBSD 中的 Wayland
    • 6.1.简介
    • 6.2.Wayland 概述
    • 6.3.Wayfire 混成器
    • 6.4.Hikari 混成器
    • 6.5.Sway 混成器
    • 6.6.使用 Xwayland
    • 6.7.使用 VNC 进行远程连接
    • 6.8.Wayland 登录管理器
    • 6.9.实用工具
  • 第7章 网络
    • 7.1.概述
    • 7.2.设置网络
    • 7.3.有线网络
    • 7.4.无线网络
    • 7.5.主机名
    • 7.6.DNS
    • 7.7.故障排除
  • 第二部分:常见任务
  • 第8章 桌面环境
    • 8.1.概述
    • 8.2.桌面环境
    • 8.3.浏览器
    • 8.4.开发工具
    • 8.5.桌面办公应用
    • 8.6.文档阅读器
    • 8.7.财务
  • 第9章 多媒体
    • 9.1.概述
    • 9.2.设置声卡
    • 9.3.音频播放器
    • 9.4.视频播放器
    • 9.5.视频会议
    • 9.6.图像扫描仪
  • 第10章 配置 FreeBSD 内核
    • 10.1.概述
    • 10.2.为什么要构建定制内核
    • 10.3.浏览系统硬件
    • 10.4.配置文件
    • 10.5.构建并安装定制内核
    • 10.6.如果发生了错误
  • 第11章 打印
    • 11.1.快速入门
    • 11.2.连接打印机
    • 11.3.常见的页面描述语言(PDL)
    • 11.4.直接打印
    • 11.5.LPD(行式打印机程序)
    • 11.6.其他打印系统
  • 第12章 Linux 二进制兼容层
    • 12.1.概述
    • 12.2.配置 Linux 二进制兼容层
    • 12.3.Linux 用户空间
    • 12.4.高级主题
  • 第13章 WINE
    • 13.1.概述
    • 13.2.WINE 概述和概念
    • 13.3.在 FreeBSD 上安装 WINE
    • 13.4.在 FreeBSD 上运行第一个 WINE 程序
    • 13.5.配置 WINE 安装程序
    • 13.6.WINE 图形化用户管理界面
    • 13.7.多用户 FreeBSD 与 WINE
    • 13.8.FreeBSD 上的 WINE 常见问题
  • 第三部分:系统管理
  • 第14章 配置与优化
    • 14.1.概述
    • 14.2.配置文件
    • 14.3.管理 FreeBSD 中的服务
    • 14.4.Cron 和 Periodic
    • 14.5.配置系统日志
    • 14.6.电源和资源管理
    • 14.7.添加交换空间
  • 第15章 FreeBSD 的引导过程
    • 15.1.概述
    • 15.2.FreeBSD 的引导过程
    • 15.3.Device Hints
    • 15.4.关机流程
  • 第16章 安全
    • 16.1.概述
    • 16.2.简介
    • 16.3.账户安全
    • 16.4.入侵检测系统(IDS)
    • 16.5.安全等级
    • 16.6.文件标志位
    • 16.7.OpenSSH
    • 16.8.OpenSSL
    • 16.9.Kerberos
    • 16.10.TCP 封装器(TCP Wrapper)
    • 16.11.访问控制列表(ACL)
    • 16.12.Capsicum
    • 16.13.进程记账
    • 16.14.资源限制
    • 16.15.监控第三方安全问题
    • 16.16.FreeBSD 安全公告
  • 第17章 jail 与容器
    • 17.1.概述
    • 17.2.jail 的类型
    • 17.3.主机配置
    • 17.4.传统 jail(厚 jail)
    • 17.5.瘦 jail
    • 17.6.管理 jail
    • 17.7.更新 jail
    • 17.8.jail 资源限制
    • 17.9.jail 管理器与容器
  • 第18章 强制访问控制
    • 18.1.概述
    • 18.2.关键术语
    • 18.3.了解 MAC 标签
    • 18.4.规划安全配置
    • 18.5.可用的 MAC 策略
    • 18.6.用户锁定
    • 18.7.MAC Jail 中的 Nagios
    • 18.8.MAC 框架的故障排除
  • 第19章 安全事件审计
    • 19.1.概述
    • 19.2.关键术语
    • 19.3.审计配置
    • 19.4.使用审计跟踪
  • 第20章 存储
    • 20.1.概述
    • 20.2.添加磁盘
    • 20.3.调整和增加磁盘大小
    • 20.4.USB 存储设备
    • 20.5.创建和使用 CD
    • 20.6.创建和使用 DVD
    • 20.7.创建和使用软盘
    • 20.8.备份的基础知识
    • 20.9.内存盘
    • 20.10.文件系统快照
    • 20.11.磁盘配额
    • 20.12.加密磁盘分区
    • 20.13.加密交换分区
    • 20.14.高可用性存储(HAST)
  • 第21章 GEOM: 模块化磁盘转换框架
    • 21.1.概述
    • 21.2.RAID0——条带
    • 21.3.RAID1——镜像
    • 21.4.RAID3——带有专用奇偶校验的字节级条带
    • 21.5.软件 RAID 设备
    • 21.6.GEOM Gate 网络设备
    • 21.7.为磁盘设备添加卷标
    • 21.8.通过 GEOM 实现 UFS 日志
  • 第22章 Z 文件系统(ZFS)
    • 22.1.是什么使 ZFS 与众不同
    • 22.2.快速入门指南
    • 22.3.zpool 管理
    • 22.4.zfs 管理
    • 22.5.委托管理
    • 22.6.高级主题
    • 22.7.更多资源
    • 22.8.ZFS 特性和术语
  • 第23章 其他文件系统
    • 23.1.概述
    • 23.2.Linux® 文件系统
    • 23.3.Windows® 文件系统
    • 23.4.MacOS® 文件系统
  • 第24章 虚拟化
    • 24.1.概述
    • 24.2.使用 macOS® 上的 Parallels Desktop 安装 FreeBSD
    • 24.3.使用 macOS® 上的 VMware Fusion 安装 FreeBSD
    • 24.4.使用 VirtualBox™ 安装 FreeBSD
    • 24.5.在 FreeBSD 上安装 VirtualBox™
    • 24.6.使用 FreeBSD 上的 QEMU 虚拟化
    • 24.7.使用 FreeBSD 上的 bhyve 虚拟机
    • 24.8.基于 FreeBSD 的 Xen™ 虚拟机
  • 第25章 本地化——i18n/L10n 的使用和设置
    • 25.1.概述
    • 25.2.使用本地化
    • 25.3.寻找 i18n 应用程序
    • 25.4.特定语言的区域配置
  • 第26章 FreeBSD 更新与升级
    • 26.1.概述
    • 26.2.更新 FreeBSD
    • 26.3.更新 Bootcode
    • 26.4.更新文档
    • 26.5.追踪开发分支
    • 26.6.从源代码更新 FreeBSD
    • 26.7.多台机器的追踪
    • 26.8.在非 FreeBSD 主机上进行构建
  • 第27章 DTrace
    • 27.1.概述
    • 27.2.实现上的差异
    • 27.3.开启 DTrace 支持
    • 27.4.启用内核外部模块 DTrace
    • 27.5.使用 DTrace
  • 第28章 USB 设备模式/USB OTG
    • 28.1.概述
    • 28.2.USB 虚拟串行端口
    • 28.3.USB 设备模式网络接口
    • 28.4.USB 虚拟存储设备
  • 第四部分:网络通讯
  • 第29章 串行通信
    • 29.1.概述
    • 29.2.串行术语和硬件
    • 29.3.终端
    • 29.4.拨入服务
    • 29.5.拨出服务
    • 29.6.设置串行控制台
  • 第30章 PPP
    • 30.1.概述
    • 30.2.配置 PPP
    • 30.3.PPP 连接的故障排除
    • 30.4.使用以太网 PPP(PPPoE)
    • 30.5.使用 ATM 上的 PPP (PPPoA)
  • 第31章 电子邮件
    • 31.1.概述
    • 31.2.邮件组件
    • 31.3.DragonFly 邮件代理(DMA)
    • 31.4.Sendmail
    • 31.5.修改邮件传输代理
    • 31.6.邮件用户代理
    • 31.7.高级主题
  • 第32章 网络服务器
    • 32.1.概述
    • 32.2.inetd 超级服务器
    • 32.3.网络文件系统(NFS)
    • 32.4.网络信息系统(NIS)
    • 32.5.轻型目录访问协议(LDAP)
    • 32.6.动态主机设置协议(DHCP)
    • 32.7.域名系统(DNS)
    • 32.8.零配置网络(mDNS/DNS-SD)
    • 32.9.Apache HTTP 服务器
    • 32.10.文件传输协议(FTP)
    • 32.11.用于 Microsoft® Windows® 客户端的文件和打印服务(Samba)
    • 32.12.用 NTP 进行时钟同步
    • 32.13.iSCSI target 和 initiator 的配置
  • 第33章 防火墙
    • 33.1.概述
    • 33.2.防火墙的概念
    • 33.3.PF
    • 33.4.IPFW
    • 33.5.IPFILTER(IPF)
    • 33.6.Blacklistd
  • 第34章 高级网络
    • 34.1.概述
    • 34.2.网关和路由
    • 34.3.虚拟主机
    • 34.4.无线高级身份验证
    • 34.5.无线自组织(Ad-hoc)模式
    • 34.6.USB 网络共享
    • 34.7.蓝牙
    • 34.8.桥接
    • 34.9.链路聚合与故障转移
    • 34.10.使用 PXE 进行无盘操作
    • 34.11.共用地址冗余协议(CARP)
    • 34.12.VLAN
  • 第五部分:附录
  • 附录 A.获取 FreeBSD
    • A.1.镜像站
    • A.2.使用 Git
    • A.3.使用 Subversion
    • A.4.光盘
  • 附录 B.书目
    • B.1.FreeBSD 相关书籍
    • B.2.安全性参考文献
    • B.3.UNIX 历史
    • B.4.期刊与杂志
  • 附录 C.网络资源
    • C.1.网站
    • C.2.邮件列表
    • C.3.Usenet 新闻组
  • 附录 D.OpenPGP 密钥
    • D.1.官方成员
  • 术语表
  • 后记
由 GitBook 提供支持

FreeBSD 中文社区

在本页
  • 16.3.1. 防止登录
  • 16.3.2. 密码哈希
  • 16.3.3. 密码策略强制执行
  • 16.3.4. 使用 sudo 进行共享管理
  • 16.3.5. 使用 Doas 进行共享管理

这有帮助吗?

在GitHub上编辑
导出为 PDF
  1. 第16章 安全

16.3.账户安全

上一页16.2.简介下一页16.4.入侵检测系统(IDS)

最后更新于6天前

这有帮助吗?

在 FreeBSD 中,维护安全账户对于数据机密性、系统完整性和权限隔离至关重要,因为它可以防止未经授权的访问、恶意软件和数据泄露,同时确保合规性并保护组织的声誉。

16.3.1. 防止登录

在保护系统时,一个良好的起点是对账户进行审计。禁用不需要登录访问的账户。

技巧

确保 root 用户具有强密码,并且该密码不可共享。

有两种方法可以拒绝账户的登录访问。

第一种方法是锁定账户,以下示例演示了如何锁定 imani 账户:

# pw lock imani

第二种方法是通过将 shell 改为 /usr/sbin/nologin 来防止登录访问。 shell 防止系统在用户尝试登录时为其分配 shell。

只有超级用户可以为其他用户更改 shell:

# chsh -s /usr/sbin/nologin imani

16.3.2. 密码哈希

密码是技术领域中不得不面对的恶性问题。当必须使用密码时,应确保其复杂性,并使用强大的哈希机制对存储在密码数据库中的版本进行加密。FreeBSD 支持多种算法,包括 SHA256、SHA512 和 Blowfish 哈希算法,详细信息请参见 。

默认情况下,SHA512 不应更改为不安全的哈希算法,但可以更改为更安全的 Blowfish 算法。

注意

Blowfish 并非 AES 的一部分,也不符合任何联邦信息处理标准(FIPS)。在某些环境中,可能不允许使用它。

要确定使用哪种哈希算法加密用户的密码,超级用户可以查看 FreeBSD 密码数据库中该用户的哈希。每个哈希都以一个符号开头,表示用于加密密码的哈希机制类型。

如果使用的是 DES,则没有开始符号。对于 MD5,符号为 $。对于 SHA256 和 SHA512,符号为 $6$。对于 Blowfish,符号为 $2a$。在这个示例中,imani 的密码使用默认的 SHA512 算法进行哈希,因为哈希以 $6$ 开头。请注意,存储在密码数据库中的是加密哈希,而不是密码本身:

# grep imani /etc/master.passwd

输出应类似于以下内容:

imani:$6$pzIjSvCAn.PBYQBA$PXpSeWPx3g5kscj3IMiM7tUEUSPmGexxta.8Lt9TGSi2lNQqYGKszsBPuGME0:1001:1001::0:0:imani:/usr/home/imani:/bin/sh

哈希机制是在用户的登录类中设置的。

可以运行以下命令检查当前使用的哈希机制:

% grep passwd_format /etc/login.conf

输出应类似于以下内容:

:passwd_format=sha512:\

例如,要将算法更改为 Blowfish,可以将该行修改为:

:passwd_format=blf:\
# cap_mkdb /etc/login.conf

请注意,这一更改不会影响任何现有的密码哈希。这意味着所有密码都应通过要求用户运行 passwd 来重新哈希,以便更改其密码。

16.3.3. 密码策略强制执行

强制实施本地账户的强密码策略是系统安全的基本方面。在 FreeBSD 中,可以使用内置的可插拔身份验证模块(PAM)来实现密码长度、密码强度和密码复杂性的要求。

要配置此模块,请以超级用户身份登录并取消注释 /etc/pam.d/passwd 中包含 pam_passwdqc.so 的行。

然后,编辑该行以匹配密码策略:

password        requisite       pam_passwdqc.so         min=disabled,disabled,disabled,12,10 similar=deny retry=3 enforce=users

保存此文件后,当用户更改密码时,将看到类似如下的消息:

% passwd

输出应类似于以下内容:

Changing local password for user
Old Password:

You can now choose the new password.
A valid password should be a mix of upper and lower case letters,
digits and other characters.  You can use a 12 character long
password with characters from at least 3 of these 4 classes, or
a 10 character long password containing characters from all the
classes.  Characters that form a common pattern are discarded by
the check.
Alternatively, if no one else can see your terminal now, you can
pick this as your password: "trait-useful&knob".
Enter new password:

如果输入的密码不符合策略,将被拒绝,并出现警告,用户将有机会再次尝试,直到达到配置的重试次数。

如果组织的策略要求密码过期,FreeBSD 支持在用户的登录类中设置 passwordtime,该配置位于 /etc/login.conf 中。

default 登录类包含一个示例:

#       :passwordtime=90d:\

因此,要将此登录类的过期时间设置为 90 天,请删除注释符号 (#),保存编辑,然后执行以下命令:

# cap_mkdb /etc/login.conf

要为个别用户设置过期时间,可以向 pw 命令传递过期日期或过期天数和用户名:

# pw usermod -p 30-apr-2025 -n user

16.3.4. 使用 sudo 进行共享管理

系统管理员通常需要能够授予用户增强的权限,以便他们能够执行特权任务。让团队成员访问 FreeBSD 系统以执行其特定任务,这为每个管理员带来了独特的挑战。这些团队成员只需要超出普通用户级别的一部分访问权限;然而,他们几乎总是告诉管理层,他们无法在没有超级用户访问权限的情况下执行任务。幸运的是,提供此类访问权限给最终用户是没有必要的,因为已经有工具可以管理这一具体需求。

技巧

即使是管理员,也应在不需要时限制其权限。

执行以下命令来安装它:

# pkg install sudo

安装完成后,安装的 visudo 将使用文本编辑器打开配置文件。强烈建议使用 visudo,因为它内置了语法检查器,可以在文件保存前验证没有错误。

配置文件由多个小节组成,允许进行广泛的配置。在以下示例中,Web 应用程序维护者用户 user1 需要启动、停止和重启名为 webservice 的 Web 应用程序。为了授予该用户执行这些任务的权限,在 /usr/local/etc/sudoers 文件的末尾添加以下行:

user1   ALL=(ALL)       /usr/sbin/service webservice *

现在,用户可以使用以下命令启动 webservice:

% sudo /usr/sbin/service webservice start

虽然这个配置允许单个用户访问 webservice 服务;然而,在大多数组织中,通常由一个 Web 团队负责管理该服务。单行配置同样可以为整个组提供访问权限。以下步骤将创建一个 Web 组,将用户添加到该组,并允许该组所有成员管理该服务:

# pw groupadd -g 6001 -n webteam
# pw groupmod -m user1 -n webteam

最后,在 /usr/local/etc/sudoers 文件中添加这一行,允许 webteam 组的任何成员管理 webservice:

%webteam   ALL=(ALL)       /usr/sbin/service webservice *

技巧

大多数组织正在或已经转向双因素认证模型。在这种情况下,用户可能没有密码可供输入。

%webteam   ALL=(ALL)       NOPASSWD: /usr/sbin/service webservice *

16.3.5. 使用 Doas 进行共享管理

执行以下命令来安装它:

# pkg install doas

安装后,必须配置 /usr/local/etc/doas.conf 文件,以便为用户授予执行特定命令或角色的权限。

最简单的配置条目可能如下所示,它允许 local_user 在执行 doas 命令时以 root 身份运行命令,并且不要求输入密码:

permit nopass local_user as root

安装和配置好 doas 工具后,现在可以以提升的权限执行命令,例如:

doas vi /etc/rc.conf

然后,必须执行 来升级 login.conf 数据库:

本节演示了如何使用 模块配置最小和最大密码长度以及强制执行混合字符。此模块在用户更改密码时强制执行。

有关参数的解释,可以参见 。

如上所示,过期日期的设置格式为 日、月、年。有关更多信息,请参见 。

到目前为止,本章已经讨论了如何允许授权用户访问以及如何尽量防止未经授权的访问。另一个问题出现了,待授权用户有权访问系统资源。在许多情况下,一些用户可能需要访问应用程序启动脚本,或者一组管理员需要维护系统。传统上,标准的用户和组、文件权限,甚至是 命令用于管理这种访问。而随着应用程序需要更多的访问权限,更多用户需要使用系统资源,一个更好的解决方案应运而生。目前使用最广泛的应用程序是 Sudo。

Sudo 允许管理员配置更严格的访问控制系统命令,并提供一些高级日志记录功能。作为一个工具,它可以从 Ports 安装,路径为 ,或使用 工具。

使用相同的 命令,将用户添加到 webteam 组:

与 不同, 只需要最终用户输入自己的密码。这样可以避免共享密码,这是一种不良的做法。

被允许使用 运行应用程序的用户只需输入自己的密码。这比 更加安全,并且提供了更好的控制,因为在 [su(1)] 中,用户输入 root 密码后会获得所有 root 权限。

可以通过使用 NOPASSWD 变量配置为允许双因素认证模型。将其添加到上述配置中,将允许所有 webteam 组成员管理该服务,而无需密码:

是一个从 OpenBSD 移植过来的命令行工具,它作为 Unix-like 系统中广泛使用的 命令的替代品。

使用 doas,用户可以以 root 用户身份执行具有提升权限的命令,同时保持简化且注重安全的方法。与 不同,doas 强调简洁性和极简主义,专注于精简的权限委派,而不会出现复杂的配置选项。

更多配置示例,请参阅 。

nologin(8)
crypt(3)
cap_mkdb(1)
pam_passwdqc(8)
pam_passwdqc(8)
pw(8)
su(1)
security/sudo
pkg(8)
pw(8)
su(1)
sudo(8)
sudo(8)
su(1)
sudo(8)
doas(1)
sudo(8)
sudo(8)
doas.conf(5)